PDA

Просмотр полной версии : Внимание всем, по поводу взлома форума!



Geser
10.06.2005, 17:20
1. Админ хостинга признал что взлом был через уязвимость в софте сервера, и что они её уже закрыли. Надеюсь это так, и теперь всё успокоится.
2. Всем проверить что у них правильное мыло. Этот кулхацкер успел изменить моё на своё, так что проверьте. Пароль не помешает сменить, хотя вроде бы у кулхацкера к ним не было доступа.
3. Теперь самое интересное. У меня есть IP кулхацкера, который остался в когах контрольной панели :)

5029 Geser 14:57, 10th Jun 2005 index.php 210.245.93.211
5028 Geser 14:50, 10th Jun 2005 options.php options 210.245.93.211
5027 Geser 14:49, 10th Jun 2005 options.php 210.245.93.211
5026 Geser 14:49, 10th Jun 2005 index.php 210.245.93.211
5025 Geser 14:49, 10th Jun 2005 options.php options 210.245.93.211
5024 Geser 14:49, 10th Jun 2005 options.php dooptions 210.245.93.211
5023 Geser 14:47, 10th Jun 2005 options.php options 210.245.93.211
5022 Geser 14:47, 10th Jun 2005 options.php 210.245.93.211
5021 Geser 14:46, 10th Jun 2005 index.php 210.245.93.211

это он зашел под моим логином

если он совсем дурак, то это его реальный IP, и еще он пытался меня заставить поставить ссылку на www.hackercenter.us
Кто знает как наказать?

egik
10.06.2005, 17:22
законно или как? в смысле наказания-то
а провайдер предложил компенсацию, ну типа месяц бесплатного хостинга )))

Geser
10.06.2005, 17:32
законно или как? в смысле наказания-то
а провайдер предложил компенсацию, ну типа месяц бесплатного хостинга )))
Наказать неплохо бы законно, но можно и незаконно :)
А провайдер сказал извените :)
Но боюсь я если их взломали, то то что они закрыли уязвимость не обязательно конец. Им могли залить какую-нить бяку через которую можно получить опять доступ ко всему чему угодно :(

egik
10.06.2005, 17:35
я этого тоже опасаюсь, насчет хвоста на хосте ))) а то третийраз переписывать темы будет тяжко ))) надо подумать как наказать )))

anton_dr
10.06.2005, 17:38
сходил, зарегился на их форуме - ниче не понятно, какие-то восточные акценты.

Cách này ai biết rồi thì hãy cùng thảo luận ai chưa biết thì xem kỹ ( Bug kín của HVA ) vì vậy tôi chỉ trình bày cho các bạn vài bước các bước còn lại thì hãy động não . Lưu ý Bug này các bạn chịu khó bỏ thời gian ra mà test đa số các site mắc lỗi đều có cách fix nhưng nếu may mắn thì bạn sẽ được trả công !

и айпишник его Ханойского провайдера

Geser
10.06.2005, 17:44
А как ты провайдера узнавал? Нужно будет написать им. Если правда китаец, а не через прокси ходил, то бошку ему оторвут. Там строго с этим.

egik
10.06.2005, 17:46
ага там щас новые законы вводят, кстати если незаконная инфа там лежит на сайте, то просто сделать так, чтоб ссылки попали по назначеию и все...

anton_dr
10.06.2005, 17:47
А как ты провайдера узнавал? Нужно будет написать им. Если правда китаец, а не через прокси ходил, то бошку ему оторвут. Там строго с этим.
Обычный whois. Но там диапазон айпишников огого
Информация об ip-адресе 210.245.93.211

inetnum: 210.245.0.0 - 210.245.127.255
netname: FPT-VNNIC-VN
country: VN
descr: The Corporation for Financing and Promoting Technology
descr: Internet exchange and service provider(IXP/ISP)
descr: 75 Tran Hung Dao st., Hanoi
admin-c: TDA1-AP
tech-c: TPV1-AP
remarks: For spamming matters, mail to [email protected]
status: ALLOCATED PORTABLE
remarks: ---------------------------------------------------
remarks: This object can only be modified by APNIC hostmaster
remarks: If you wish to modify this object details please
remarks: send email to [email protected] with your organisation
remarks: account name in the subject line.
remarks: ----------------------------------------------------
mnt-by: MAINT-VN-VNNIC
mnt-lower: MAINT-VN-FPT
mnt-routes: MAINT-VN-FPT
changed: [email protected] 20040831
source: APNIC

person: Truong Dinh Anh
address: Corporation for Financing and Promoting Technology
address: 75 Tran Hung Dao street
address: Hoan Kiem District, Hanoi capital, Vietnam
country: VN
phone: +84-4-8223100
fax-no: +84-4-8223111
e-mail: [email protected]
nic-hdl: TDA1-AP
remarks: mail to [email protected]
mnt-by: VNPT
changed: [email protected] 20020716
source: APNIC

person: Thang Pham Vinh
address: Corporation for Financing and Promoting Technology
address: 75 Tran Hung Dao street, Hoan Kiem district
address: Hanoi capital, Vietnam
country: VN
phone: +84-4-8223100
fax-no: +84-4-8223111
e-mail: [email protected]
nic-hdl: TPV1-AP
remarks: Contact: [email protected]
mnt-by: VNPT
changed: [email protected] 20020604
source: APNIC

anton_dr
10.06.2005, 17:48
А как ты провайдера узнавал? Нужно будет написать им. Если правда китаец, а не через прокси ходил, то бошку ему оторвут. Там строго с этим.
Кстати, ханой - это вьетнам :)

anton_dr
10.06.2005, 17:52
ага там щас новые законы вводят, кстати если незаконная инфа там лежит на сайте, то просто сделать так, чтоб ссылки попали по назначеию и все...
Насчет инфы - не знаю, посты иероглифами, но цитаты есть английские - типа руководство к действию что-ли. Первый же прикрепленный топик.


Cách này ai biết rồi thì hãy cùng thảo luận ai chưa biết thì xem kỹ ( Bug kín của HVA ) vì vậy tôi chỉ trình bày cho các bạn vài bước các bước còn lại thì hãy động não . Lưu ý Bug này các bạn chịu khó bỏ thời gian ra mà test đa số các site mắc lỗi đều có cách fix nhưng nếu may mắn thì bạn sẽ được trả công !

Victim : www.sitehack.com

Test : www.sitehack.com/index.cfm?id=1'
www.sitehack.com/index.cfm?id=1%27
www.sitehack.com/index.cfm?id=1char(0x27)

Tại sao LaV lại đưa ra 3 cái link như vậy dạ xin thưa nếu ai đã học rồi thì tất nhiên không cần bàn cãi về cái này tuy nhiên nếu ai chưa biết thì hãy xem giải thích chút xíu :
Trong đại đa số các trường hợp mắc lỗi SQL là thêm dấu nháy " ' " vào sau mã hex của nó là %27 hay cấp cao hơn là char(0x27) vấn đề chính là đây .

Nếu may mắn thì các bạn sẽ có một trang error như sau :

CODEError Occurred While Processing Request
Error Diagnostic Information
ODBC Error Code = 37000 (syntax error or access violation )
[Microsoft][ODBC SQL Server Driver] line 1 : incorrect syntax near " .
The error occurred while processing an element with a general identifier of (CFQUERY) occupying document position (2:1) to (2:89).
Date/Time: 06/04/05 05:59:48
Browser: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; (R1 1.3))
QueryString Matin=6228
Remote Address: 67.136.230.150

И так далее

Geser
10.06.2005, 17:52
Кстати, ханой - это вьетнам :)

Мда, с географией у меня плохо :(
Вьетнам это по моему пипец. Там наверное вообще никаких законов по поводу интернета? Или наоборот, всех имеют как в Китае? В общем я постараюсь написать телегу. Вдруг поможет :(
А каким сервером whois ты пользуешся?

парень
10.06.2005, 17:57
http://www.webnames.ru/

Geser
10.06.2005, 17:57
Хм, а это их хостинг
OrgName: HostDime.com DimeNoc - Infinitum Technologies
OrgID: HDIT
Address: 111 North Orange Ave
Address: Suite 1050
City: Orlando
StateProv: FL
PostalCode: 32801
Country: US

NetRange: 66.193.230.0 - 66.193.231.255
CIDR: 66.193.230.0/23
NetName: TWTC-INFINITUM-02
NetHandle: NET-66-193-230-0-1
Parent: NET-66-192-0-0-1
NetType: Reassigned
Comment:
RegDate: 2004-04-06
Updated: 2004-04-06

OrgTechHandle: SFA5-ARIN
OrgTechName: Faircloth, Sean
OrgTechPhone: +1-407-835-1615
OrgTechEmail: [email protected]

Странно, в Америке держат???

Geser
10.06.2005, 18:01
У кого хорошо, с английским, помочь мне телегу составить. Типа ваш клиент занимается взломом сайтов, пожалуйста примите меры...

anton_dr
10.06.2005, 18:06
Мда, с географией у меня плохо :(
Вьетнам это по моему пипец. Там наверное вообще никаких законов по поводу интернета? Или наоборот, всех имеют как в Китае? В общем я постараюсь написать телегу. Вдруг поможет :(
А каким сервером whois ты пользуешся?
http://www.whois-service.ru

парень
10.06.2005, 18:11
он в онлайне кстати )))

Geser
10.06.2005, 18:16
он в онлайне кстати )))
Или он, или зомби комп через который он работал :)
надеюсь он дурак и работал напрямую.

Гость
10.06.2005, 18:21
Или он, или зомби комп через который он работал :)
надеюсь он дурак и работал напрямую.
А если не напрямую?

парень
10.06.2005, 18:24
ну если он под прокси, то всё что мы ща делаем - бесполезно!:)
можно только попробовать добицца чтоб их ресурс www.hackercenter.us удалили.. т.к. в Америке вроде за такие названия тока могут уже репресии устроить )

upd

TO ALL FOREIGN MEMBERS IN ANOTHER COUNTRY WHO DON'T KNOW VIETNAMESE
WE DON'T LIKE YOU JOIN IN THIS FORUM ,SO PLEASE LEAVE BEFORE I DO SOMETHING WITH YOU,
THE NICKS WHICH I HAVE SEEN USE ENGLISH SHALL BE DELETE
NOTICE ALL OF MEMBERS

Думаю что это реальный айпи! т.к. пишут они все по вьетнамски и английский не любят!)

Geser
10.06.2005, 19:03
Короче накатал я телеги и хостеру того сайта, и провайдеру того чей IP засветился. Надеюсь будут результаты.

pig
10.06.2005, 19:40
Мне кажется, что в Ханой эффективнее писать на русском матерном :). Там его ещё не забыли.

SDA
10.06.2005, 20:03
А если его одновременно с нескольких машиш пингануть (чем больше тем лучше), правда не знаю но в локалке эффект хороший получается, лечили одного урода. В сети наверное слишком много машин надо, "овчинка выделки не стоит".

Geser
10.06.2005, 20:13
А если его одновременно с нескольких машиш пингануть (чем больше тем лучше), правда не знаю но в локалке эффект хороший получается, лечили одного урода. В сети наверное слишком много машин надо, "овчинка выделки не стоит".
Может и можно завалить один раз, а дальше что? Темболее IP может быть и димамическим.
Пока не будет централизованной интернет-полиции которая будет принимать жалобы, и работать с провайдерами сделать что-то очень сложно. Если бы еще он был с России или какой-то европейской страны еще была бы надежда что провайдер разберётся. А так, я не уверен что они даже письмо поймут.

Geser
10.06.2005, 20:43
Кстати, кулхацкер со мной переписывался до последнего письма. Потом потерялся :)



Sorry, but now u have no access to adminsp ;)
U can still be litle annoing, but i will fix this in few hours or days.
Now tell me something.
210.245.93.211 is it your real IP? I am going to find you ;)
Run, Destroyer, run ;)

zen hogward wrote:

> I did it again
> maybe your DB had denied DROP command ,but i still got admin permission
> now ,get lost and put my avartar on your site
> www.hackercenter.us/uploads/des.jpg
> ok
>
>
>

SDA
10.06.2005, 21:07
Если есть почтовый адрес этого недоделанного кулхацкера можно делать всякие "интересные вещи", за потерянную информацию из за этого урода надо его лечить.

Sanja
10.06.2005, 21:07
29 hopov do nego iz Estonii

NeoTrace posledniy opredelenniy hope pokazal v Hannoi :) dalse - Destination unrechargible ;)

Geser
10.06.2005, 21:11
Если есть почтовый адрес этого недоделанного кулхацкера можно делать всякие "интересные вещи", за потерянную информацию из за этого урода надо его лечить.
Да мыло есть [email protected] а что ему сделать? На порнорассылку подписать? :)

Geser
10.06.2005, 21:15
Кстати, если IP который засветился был реальный, то он просто ламер который нашел где-то експлоит для непропатченого сервака, т.к. комп его пинговался :) Так что есть надежда что он не оставил на хостинге бекдора и всё будет хорошо.

парень
10.06.2005, 21:34
хмм... если мыло есть, то может троянчика ему попробовать... Или кейлогер какой..

SDA
10.06.2005, 22:25
Больше не пингуется, но в спамерские базы он уже можно считать уже попал.

HATTIFNATTOR
10.06.2005, 23:03
telnet работает, мож кто попробует зателнетиться :)

Geser
10.06.2005, 23:14
telnet работает, мож кто попробует зателнетиться :)
Телнет, что за прикол. Телнет сервер на частном компе?
Да там и 110 порт открыт. То ли сервак то ли хакнутый комп с прокси

Geser
11.06.2005, 12:41
На всякий случай забанил нафиг всю их подсеть.

Geser
11.06.2005, 14:20
На всякий случай забанил нафиг всю их подсеть.
А теперь прикол. В их форуме есть уязвимость. Я уже посадил им снифер паролей. Ждём пароль админа :)
Вот это повеселимся скоро :)

anton_dr
11.06.2005, 14:22
Задал поиск на их форуме по "virusinfo"
Выдал два топика с постами некоего qqq :)
Это кто?

nEtVIL
11.06.2005, 14:23
Давайте устроим ему DDoS)))) Трафика ему накрутим, за инет не расплатится))

Geser
11.06.2005, 14:24
Задал поиск на их форуме по "virusinfo"
Выдал два топика с постами некоего qqq :)
Это кто?
Это я, а virusinfo это ссылка на код ловилки паролей :)

Geser
11.06.2005, 14:26
Давайте устроим ему DDoS)))) Трафика ему накрутим, за инет не расплатится))
Для этого нужно хотя бы сотня компов

anton_dr
11.06.2005, 14:33
У них там есть список прокси
http://www.hackercenter.us/index.php?showtopic=681&hl=
так этого IP там нет

anton_dr
11.06.2005, 14:35
Для этого нужно хотя бы сотня компов
Ну народу здесь больше сотни, некоторые не по одному могут.

Geser
11.06.2005, 14:47
Ну народу здесь больше сотни, некоторые не по одному могут.
Постоянных посетителей 50. Да и кто захочет этим заниматься?

Geser
11.06.2005, 22:10
Мля, всё еще не кончилось. Я закрыл доступ к админпанели дополнительным паролем, но у этого мудака есть доступ к базе данных напрямую. Написал опять в супорт. Эти идиоты так и не обновили весь софт на сервере. Блин, видать нужно опять искать другой хостинг :(

Geser
11.06.2005, 22:41
Ох, блин. Вместо отдыха в выходные должен ловить хакера :(
Дописал кусок скрипта в форум который пишет в лог все запросы к базе данных. Теперь хоть можно будет узнать точно пользуется ли эта падла уязвимостью форума, или дырами хостера

Зайцев Олег
12.06.2005, 13:04
Ох, блин. Вместо отдыха в выходные должен ловить хакера :(
Дописал кусок скрипта в форум который пишет в лог все запросы к базе данных. Теперь хоть можно будет узнать точно пользуется ли эта падла уязвимостью форума, или дырами хостера
Есть подозрение, что все-таки дырки у хостера - проблемы начались сразу после перехода на новый хостинг ... самое опасное, если у атакующих есть свои троянские/руткитные закладки в операционке на сервере у хостера - тогда если у хостера нет опытных админов (а судя по всему это именно так и есть - раз их смогли сломать), то побороть этих "кулхацкеров" он не сможет :(

Geser
12.06.2005, 13:13
В общем дам им еще шанс. Они обещали разобраться. Сегодня поменяю еще раз пароли и допишу лог всех запросов к скрипту форума. Если взлом повторится и логи будут чистые прийдётся искать другой хостинг :(

pig
13.06.2005, 02:12
The requested URL /customavatars/avatar1_0.gif was not found on this server

Это когда случилось?

Geser
13.06.2005, 12:41
The requested URL /customavatars/avatar1_0.gif was not found on this server

Это когда случилось?
Да этот кадр удалил мой профиль. Сейчс восстановил из бекапа как положено. Уже два дня спокойно вроде

Гость
13.06.2005, 16:04
"Постоянных посетителей 50. Да и кто захочет этим заниматься?" Я, сообщите здесь когда и куда. з.ы.Такого тупова который знает про уязвимости, может взломать форум, но не знает про прокси даже теоритически не бывает ИМХО.

Geser
13.06.2005, 16:07
з.ы.Такого тупова который знает про уязвимости, может взломать форум, но не знает про прокси даже теоритически не бывает ИМХО.
Угу, но может забыть :) А вообще это действительно прокси был.

nEtVIL
13.06.2005, 16:12
Туповатый хацкер, если он так хотел повесить свою ящерицу на наш форум, сам бы это сделал. И вообще профессионалы в этом деле не занимаются вандализмом.

stalles
22.07.2006, 17:33
1.Стопудова етот чел сидел через проксю!
2. Никто такой мелочью заниматься вашими проблемами небудет!
3. Пропатчите форум, поставьте htackess!
гггггггггггг

Синауридзе Александр
22.07.2006, 20:53
Да этот кадр удалил мой профиль. Сейчс восстановил из бекапа как положено. Уже два дня спокойно вроде

Привет!
Это «Хезболлах» атакует!:P
Если серьезно, топ письма писать - толку нет. Перебазироваться надо.:D

Палыч
22.07.2006, 23:26
Коллеги,
вы хоть смотрите на даты постов. Инциндент был больше, чем год назад. За прошедший год больше ничего такого не было. Geser недавно рекомендовал этот хостинг одной из посетительниц.
Значит -- всё ОК.

Синауридзе Александр
23.07.2006, 00:24
Коллеги,
вы хоть смотрите на даты постов. Инциндент был больше, чем год назад. За прошедший год больше ничего такого не было. Geser недавно рекомендовал этот хостинг одной из посетительниц.
Значит -- всё ОК.

Уж и пошутить нельзя!:P Вот так мертвые темы оживают.:D

pig
24.07.2006, 01:36
Чур меня...