Просмотр полной версии : Внимание всем, по поводу взлома форума!
1. Админ хостинга признал что взлом был через уязвимость в софте сервера, и что они её уже закрыли. Надеюсь это так, и теперь всё успокоится.
2. Всем проверить что у них правильное мыло. Этот кулхацкер успел изменить моё на своё, так что проверьте. Пароль не помешает сменить, хотя вроде бы у кулхацкера к ним не было доступа.
3. Теперь самое интересное. У меня есть IP кулхацкера, который остался в когах контрольной панели :)
5029 Geser 14:57, 10th Jun 2005 index.php 210.245.93.211
5028 Geser 14:50, 10th Jun 2005 options.php options 210.245.93.211
5027 Geser 14:49, 10th Jun 2005 options.php 210.245.93.211
5026 Geser 14:49, 10th Jun 2005 index.php 210.245.93.211
5025 Geser 14:49, 10th Jun 2005 options.php options 210.245.93.211
5024 Geser 14:49, 10th Jun 2005 options.php dooptions 210.245.93.211
5023 Geser 14:47, 10th Jun 2005 options.php options 210.245.93.211
5022 Geser 14:47, 10th Jun 2005 options.php 210.245.93.211
5021 Geser 14:46, 10th Jun 2005 index.php 210.245.93.211
это он зашел под моим логином
если он совсем дурак, то это его реальный IP, и еще он пытался меня заставить поставить ссылку на www.hackercenter.us
Кто знает как наказать?
законно или как? в смысле наказания-то
а провайдер предложил компенсацию, ну типа месяц бесплатного хостинга )))
законно или как? в смысле наказания-то
а провайдер предложил компенсацию, ну типа месяц бесплатного хостинга )))
Наказать неплохо бы законно, но можно и незаконно :)
А провайдер сказал извените :)
Но боюсь я если их взломали, то то что они закрыли уязвимость не обязательно конец. Им могли залить какую-нить бяку через которую можно получить опять доступ ко всему чему угодно :(
я этого тоже опасаюсь, насчет хвоста на хосте ))) а то третийраз переписывать темы будет тяжко ))) надо подумать как наказать )))
anton_dr
10.06.2005, 17:38
сходил, зарегился на их форуме - ниче не понятно, какие-то восточные акценты.
Cách này ai biết rồi thì hãy cùng thảo luận ai chưa biết thì xem kỹ ( Bug kín của HVA ) vì vậy tôi chỉ trình bày cho các bạn vài bước các bước còn lại thì hãy động não . Lưu ý Bug này các bạn chịu khó bỏ thời gian ra mà test đa số các site mắc lỗi đều có cách fix nhưng nếu may mắn thì bạn sẽ được trả công !
и айпишник его Ханойского провайдера
А как ты провайдера узнавал? Нужно будет написать им. Если правда китаец, а не через прокси ходил, то бошку ему оторвут. Там строго с этим.
ага там щас новые законы вводят, кстати если незаконная инфа там лежит на сайте, то просто сделать так, чтоб ссылки попали по назначеию и все...
anton_dr
10.06.2005, 17:47
А как ты провайдера узнавал? Нужно будет написать им. Если правда китаец, а не через прокси ходил, то бошку ему оторвут. Там строго с этим.
Обычный whois. Но там диапазон айпишников огого
Информация об ip-адресе 210.245.93.211
inetnum: 210.245.0.0 - 210.245.127.255
netname: FPT-VNNIC-VN
country: VN
descr: The Corporation for Financing and Promoting Technology
descr: Internet exchange and service provider(IXP/ISP)
descr: 75 Tran Hung Dao st., Hanoi
admin-c: TDA1-AP
tech-c: TPV1-AP
remarks: For spamming matters, mail to
[email protected]
status: ALLOCATED PORTABLE
remarks: ---------------------------------------------------
remarks: This object can only be modified by APNIC hostmaster
remarks: If you wish to modify this object details please
remarks: send email to
[email protected] with your organisation
remarks: account name in the subject line.
remarks: ----------------------------------------------------
mnt-by: MAINT-VN-VNNIC
mnt-lower: MAINT-VN-FPT
mnt-routes: MAINT-VN-FPT
changed:
[email protected] 20040831
source: APNIC
person: Truong Dinh Anh
address: Corporation for Financing and Promoting Technology
address: 75 Tran Hung Dao street
address: Hoan Kiem District, Hanoi capital, Vietnam
country: VN
phone: +84-4-8223100
fax-no: +84-4-8223111
e-mail:
[email protected]
nic-hdl: TDA1-AP
remarks: mail to
[email protected]
mnt-by: VNPT
changed:
[email protected] 20020716
source: APNIC
person: Thang Pham Vinh
address: Corporation for Financing and Promoting Technology
address: 75 Tran Hung Dao street, Hoan Kiem district
address: Hanoi capital, Vietnam
country: VN
phone: +84-4-8223100
fax-no: +84-4-8223111
e-mail:
[email protected]
nic-hdl: TPV1-AP
remarks: Contact:
[email protected]
mnt-by: VNPT
changed:
[email protected] 20020604
source: APNIC
anton_dr
10.06.2005, 17:48
А как ты провайдера узнавал? Нужно будет написать им. Если правда китаец, а не через прокси ходил, то бошку ему оторвут. Там строго с этим.
Кстати, ханой - это вьетнам :)
anton_dr
10.06.2005, 17:52
ага там щас новые законы вводят, кстати если незаконная инфа там лежит на сайте, то просто сделать так, чтоб ссылки попали по назначеию и все...
Насчет инфы - не знаю, посты иероглифами, но цитаты есть английские - типа руководство к действию что-ли. Первый же прикрепленный топик.
Cách này ai biết rồi thì hãy cùng thảo luận ai chưa biết thì xem kỹ ( Bug kín của HVA ) vì vậy tôi chỉ trình bày cho các bạn vài bước các bước còn lại thì hãy động não . Lưu ý Bug này các bạn chịu khó bỏ thời gian ra mà test đa số các site mắc lỗi đều có cách fix nhưng nếu may mắn thì bạn sẽ được trả công !
Victim : www.sitehack.com
Test : www.sitehack.com/index.cfm?id=1'
www.sitehack.com/index.cfm?id=1%27
www.sitehack.com/index.cfm?id=1char(0x27)
Tại sao LaV lại đưa ra 3 cái link như vậy dạ xin thưa nếu ai đã học rồi thì tất nhiên không cần bàn cãi về cái này tuy nhiên nếu ai chưa biết thì hãy xem giải thích chút xíu :
Trong đại đa số các trường hợp mắc lỗi SQL là thêm dấu nháy " ' " vào sau mã hex của nó là %27 hay cấp cao hơn là char(0x27) vấn đề chính là đây .
Nếu may mắn thì các bạn sẽ có một trang error như sau :
CODEError Occurred While Processing Request
Error Diagnostic Information
ODBC Error Code = 37000 (syntax error or access violation )
[Microsoft][ODBC SQL Server Driver] line 1 : incorrect syntax near " .
The error occurred while processing an element with a general identifier of (CFQUERY) occupying document position (2:1) to (2:89).
Date/Time: 06/04/05 05:59:48
Browser: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; (R1 1.3))
QueryString Matin=6228
Remote Address: 67.136.230.150
И так далее
Кстати, ханой - это вьетнам :)
Мда, с географией у меня плохо :(
Вьетнам это по моему пипец. Там наверное вообще никаких законов по поводу интернета? Или наоборот, всех имеют как в Китае? В общем я постараюсь написать телегу. Вдруг поможет :(
А каким сервером whois ты пользуешся?
Хм, а это их хостинг
OrgName: HostDime.com DimeNoc - Infinitum Technologies
OrgID: HDIT
Address: 111 North Orange Ave
Address: Suite 1050
City: Orlando
StateProv: FL
PostalCode: 32801
Country: US
NetRange: 66.193.230.0 - 66.193.231.255
CIDR: 66.193.230.0/23
NetName: TWTC-INFINITUM-02
NetHandle: NET-66-193-230-0-1
Parent: NET-66-192-0-0-1
NetType: Reassigned
Comment:
RegDate: 2004-04-06
Updated: 2004-04-06
OrgTechHandle: SFA5-ARIN
OrgTechName: Faircloth, Sean
OrgTechPhone: +1-407-835-1615
OrgTechEmail:
[email protected]
Странно, в Америке держат???
У кого хорошо, с английским, помочь мне телегу составить. Типа ваш клиент занимается взломом сайтов, пожалуйста примите меры...
anton_dr
10.06.2005, 18:06
Мда, с географией у меня плохо :(
Вьетнам это по моему пипец. Там наверное вообще никаких законов по поводу интернета? Или наоборот, всех имеют как в Китае? В общем я постараюсь написать телегу. Вдруг поможет :(
А каким сервером whois ты пользуешся?
http://www.whois-service.ru
он в онлайне кстати )))
Или он, или зомби комп через который он работал :)
надеюсь он дурак и работал напрямую.
Или он, или зомби комп через который он работал :)
надеюсь он дурак и работал напрямую.
А если не напрямую?
ну если он под прокси, то всё что мы ща делаем - бесполезно!:)
можно только попробовать добицца чтоб их ресурс www.hackercenter.us удалили.. т.к. в Америке вроде за такие названия тока могут уже репресии устроить )
upd
TO ALL FOREIGN MEMBERS IN ANOTHER COUNTRY WHO DON'T KNOW VIETNAMESE
WE DON'T LIKE YOU JOIN IN THIS FORUM ,SO PLEASE LEAVE BEFORE I DO SOMETHING WITH YOU,
THE NICKS WHICH I HAVE SEEN USE ENGLISH SHALL BE DELETE
NOTICE ALL OF MEMBERS
Думаю что это реальный айпи! т.к. пишут они все по вьетнамски и английский не любят!)
Короче накатал я телеги и хостеру того сайта, и провайдеру того чей IP засветился. Надеюсь будут результаты.
Мне кажется, что в Ханой эффективнее писать на русском матерном :). Там его ещё не забыли.
А если его одновременно с нескольких машиш пингануть (чем больше тем лучше), правда не знаю но в локалке эффект хороший получается, лечили одного урода. В сети наверное слишком много машин надо, "овчинка выделки не стоит".
А если его одновременно с нескольких машиш пингануть (чем больше тем лучше), правда не знаю но в локалке эффект хороший получается, лечили одного урода. В сети наверное слишком много машин надо, "овчинка выделки не стоит".
Может и можно завалить один раз, а дальше что? Темболее IP может быть и димамическим.
Пока не будет централизованной интернет-полиции которая будет принимать жалобы, и работать с провайдерами сделать что-то очень сложно. Если бы еще он был с России или какой-то европейской страны еще была бы надежда что провайдер разберётся. А так, я не уверен что они даже письмо поймут.
Кстати, кулхацкер со мной переписывался до последнего письма. Потом потерялся :)
Sorry, but now u have no access to adminsp ;)
U can still be litle annoing, but i will fix this in few hours or days.
Now tell me something.
210.245.93.211 is it your real IP? I am going to find you ;)
Run, Destroyer, run ;)
zen hogward wrote:
> I did it again
> maybe your DB had denied DROP command ,but i still got admin permission
> now ,get lost and put my avartar on your site
> www.hackercenter.us/uploads/des.jpg
> ok
>
>
>
Если есть почтовый адрес этого недоделанного кулхацкера можно делать всякие "интересные вещи", за потерянную информацию из за этого урода надо его лечить.
29 hopov do nego iz Estonii
NeoTrace posledniy opredelenniy hope pokazal v Hannoi :) dalse - Destination unrechargible ;)
Если есть почтовый адрес этого недоделанного кулхацкера можно делать всякие "интересные вещи", за потерянную информацию из за этого урода надо его лечить.
Да мыло есть
[email protected] а что ему сделать? На порнорассылку подписать? :)
Кстати, если IP который засветился был реальный, то он просто ламер который нашел где-то експлоит для непропатченого сервака, т.к. комп его пинговался :) Так что есть надежда что он не оставил на хостинге бекдора и всё будет хорошо.
хмм... если мыло есть, то может троянчика ему попробовать... Или кейлогер какой..
Больше не пингуется, но в спамерские базы он уже можно считать уже попал.
HATTIFNATTOR
10.06.2005, 23:03
telnet работает, мож кто попробует зателнетиться :)
telnet работает, мож кто попробует зателнетиться :)
Телнет, что за прикол. Телнет сервер на частном компе?
Да там и 110 порт открыт. То ли сервак то ли хакнутый комп с прокси
На всякий случай забанил нафиг всю их подсеть.
На всякий случай забанил нафиг всю их подсеть.
А теперь прикол. В их форуме есть уязвимость. Я уже посадил им снифер паролей. Ждём пароль админа :)
Вот это повеселимся скоро :)
anton_dr
11.06.2005, 14:22
Задал поиск на их форуме по "virusinfo"
Выдал два топика с постами некоего qqq :)
Это кто?
Давайте устроим ему DDoS)))) Трафика ему накрутим, за инет не расплатится))
Задал поиск на их форуме по "virusinfo"
Выдал два топика с постами некоего qqq :)
Это кто?
Это я, а virusinfo это ссылка на код ловилки паролей :)
Давайте устроим ему DDoS)))) Трафика ему накрутим, за инет не расплатится))
Для этого нужно хотя бы сотня компов
anton_dr
11.06.2005, 14:33
У них там есть список прокси
http://www.hackercenter.us/index.php?showtopic=681&hl=
так этого IP там нет
anton_dr
11.06.2005, 14:35
Для этого нужно хотя бы сотня компов
Ну народу здесь больше сотни, некоторые не по одному могут.
Ну народу здесь больше сотни, некоторые не по одному могут.
Постоянных посетителей 50. Да и кто захочет этим заниматься?
Мля, всё еще не кончилось. Я закрыл доступ к админпанели дополнительным паролем, но у этого мудака есть доступ к базе данных напрямую. Написал опять в супорт. Эти идиоты так и не обновили весь софт на сервере. Блин, видать нужно опять искать другой хостинг :(
Ох, блин. Вместо отдыха в выходные должен ловить хакера :(
Дописал кусок скрипта в форум который пишет в лог все запросы к базе данных. Теперь хоть можно будет узнать точно пользуется ли эта падла уязвимостью форума, или дырами хостера
Зайцев Олег
12.06.2005, 13:04
Ох, блин. Вместо отдыха в выходные должен ловить хакера :(
Дописал кусок скрипта в форум который пишет в лог все запросы к базе данных. Теперь хоть можно будет узнать точно пользуется ли эта падла уязвимостью форума, или дырами хостера
Есть подозрение, что все-таки дырки у хостера - проблемы начались сразу после перехода на новый хостинг ... самое опасное, если у атакующих есть свои троянские/руткитные закладки в операционке на сервере у хостера - тогда если у хостера нет опытных админов (а судя по всему это именно так и есть - раз их смогли сломать), то побороть этих "кулхацкеров" он не сможет :(
В общем дам им еще шанс. Они обещали разобраться. Сегодня поменяю еще раз пароли и допишу лог всех запросов к скрипту форума. Если взлом повторится и логи будут чистые прийдётся искать другой хостинг :(
The requested URL /customavatars/avatar1_0.gif was not found on this server
Это когда случилось?
The requested URL /customavatars/avatar1_0.gif was not found on this server
Это когда случилось?
Да этот кадр удалил мой профиль. Сейчс восстановил из бекапа как положено. Уже два дня спокойно вроде
"Постоянных посетителей 50. Да и кто захочет этим заниматься?" Я, сообщите здесь когда и куда. з.ы.Такого тупова который знает про уязвимости, может взломать форум, но не знает про прокси даже теоритически не бывает ИМХО.
з.ы.Такого тупова который знает про уязвимости, может взломать форум, но не знает про прокси даже теоритически не бывает ИМХО.
Угу, но может забыть :) А вообще это действительно прокси был.
Туповатый хацкер, если он так хотел повесить свою ящерицу на наш форум, сам бы это сделал. И вообще профессионалы в этом деле не занимаются вандализмом.
1.Стопудова етот чел сидел через проксю!
2. Никто такой мелочью заниматься вашими проблемами небудет!
3. Пропатчите форум, поставьте htackess!
гггггггггггг
Синауридзе Александр
22.07.2006, 20:53
Да этот кадр удалил мой профиль. Сейчс восстановил из бекапа как положено. Уже два дня спокойно вроде
Привет!
Это «Хезболлах» атакует!:P
Если серьезно, топ письма писать - толку нет. Перебазироваться надо.:D
Коллеги,
вы хоть смотрите на даты постов. Инциндент был больше, чем год назад. За прошедший год больше ничего такого не было. Geser недавно рекомендовал этот хостинг одной из посетительниц.
Значит -- всё ОК.
Синауридзе Александр
23.07.2006, 00:24
Коллеги,
вы хоть смотрите на даты постов. Инциндент был больше, чем год назад. За прошедший год больше ничего такого не было. Geser недавно рекомендовал этот хостинг одной из посетительниц.
Значит -- всё ОК.
Уж и пошутить нельзя!:P Вот так мертвые темы оживают.:D
vBulletin® v4.2.5, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot