|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
raxz
HV Guru
liitunud: 27.07.2003
|
02.05.2007 21:16:28
Veebisaitide rünnak pronkssõduriga - kes selle taga ja kuidas? |
|
|
Terv.
Sain mõned failid, mis olid häkitud serveritesse pandud.
Nii palju, kui ma uurisin neid, siis kustutavad nad failid ja andmebaasid ära.
Asja taga mingi openteam.info.
Oskab keegi öelda, kuidas need failid ikkagi serverisse on saadud? Mind paneb imestama, et igale poole on nii lihtne sisse saada.
Kokku leidsin 3 faili, php skripte ei soovita enda serveris käivitada, kui ei tea, mida need täpselt teevad.
Kuna failide sisud liiga pikad, siis lasin failidena üles.
http://raxz.halley.ee/index.txt HTML
http://raxz.halley.ee/letterp1.txt PHP
http://raxz.halley.ee/letterp2.txt PHP
edit: Typo pealkirjas.
viimati muutis raxz 02.05.2007 21:26:55, muudetud 1 kord |
|
| Kommentaarid: 46 loe/lisa |
Kasutajad arvavad: |
   |
:: |
1 :: |
0 :: |
45 |
|
| tagasi üles |
|
 |
heikis
HV Guru
liitunud: 17.03.2003
|
|
02.05.2007 21:19:47
|
|
|
nod32 leidis letterp2.txt failist PHP/Rst.F troyani
mingi backdoor
|
|
| Kommentaarid: 338 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
4 :: |
290 |
|
| tagasi üles |
|
|
Dijital
HV Guru
liitunud: 09.06.2003
|
|
| Kommentaarid: 40 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
31 |
|
| tagasi üles |
|
|
raxz
HV Guru
liitunud: 27.07.2003
|
|
02.05.2007 22:19:18
|
|
|
Seal olid ka täpselt need samad failid. Nood mul üles ongi pandud praegu uurimiseks.
|
|
| Kommentaarid: 46 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
45 |
|
| tagasi üles |
|
|
jossi 1
Kreisi kasutaja
liitunud: 19.08.2004
|
|
04.05.2007 23:32:15
|
|
|
Kontrollige oma index lehekülgi.
Kuna vene kräkkerid prognoosivad, et 8-9 mai on neil võimatu eesti lehtedele pääseda suure liikluse tõttu, siis proovivad nad lahtimuugitud lehtedel 9 mail käivituva skripti lisada. Näiteks sellise:
$d=getdate();
if($d['mon']>=5 && $d['mday']>=9)
{ print("<html><head><title>S Dnjem Pobedõ!</title></head><body><div align=center><br /><br /><img src=tee_pildini/def.jpg border=0></div><br /><br /><br /></body></html>");die;}
|
|
| Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
15 |
|
| tagasi üles |
|
|
ruutu
HV vaatleja
liitunud: 01.07.2003
|
|
09.05.2007 22:35:47
Re: Veebisaitide rünnak pronkssõduriga - kes selle taga ja kuidas? |
|
|
miks need maha võtsid? huvitav oleks näha mida teha soovitakse.
|
|
| Kommentaarid: 2 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
2 |
|
| tagasi üles |
|
|
raxz
HV Guru
liitunud: 27.07.2003
|
|
09.05.2007 22:40:39
Re: Veebisaitide rünnak pronkssõduriga - kes selle taga ja kuidas? |
|
|
| ruutu kirjutas: |
miks need maha võtsid? huvitav oleks näha mida teha soovitakse. |
Vahetasin serverit, ajutiselt olid asjad kättesaamatud. Nüüd on tagasi.
|
|
| Kommentaarid: 46 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
45 |
|
| tagasi üles |
|
|
mightythor
HV veteran
liitunud: 02.12.2004
|
|
10.05.2007 19:36:06
|
|
|
kas riigiasutuste(ja ettevõtete) serverite vastu suunatud DoS ründed olid lihtsalt serveri pingimine(umbes ping www.riik.ee -t )? Vist mitte, sest ICMP protokolli saaks serveris ilmselt küllaltki hõlpsalt keelata(midagi olulist minuarust katki ei jääks kui server pingile ei vasta)  Või on see kinni keeramine ikkagi sedasi, et server vastab igale ICMP päringule, et "serverit ei leitud"(mis teeb siis sisuliselt ju sama välja kui ta ütleks, et "olen server see-ja-see, aega kulus nii-ja-nii palju")
|
|
| Kommentaarid: 62 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
53 |
|
| tagasi üles |
|
|
kpihus
Kreisi kasutaja
liitunud: 14.04.2003
|
|
10.05.2007 20:40:37
|
|
|
| noh sa võid kogu ICMP lihtsalt drop'ida ka, drop'i puhul ei vastata misagi, rejecti puhul vastatakse teatega. Aga targad adminni lihtsalt limiteerivad pingile vastamise a'la x paketti per sekund ja ylejäänud dropitakse. Kuid häkkimise puhul on olulised vahvam DOS'i teha SYN floodiga, ehk ujutatakse näiteks http server päringutega üle. Neid vahvaid mooduseid on muidugi veel.
|
|
| Kommentaarid: 26 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
25 |
|
| tagasi üles |
|
|
HacaX
HV Guru
liitunud: 22.01.2004
|
|
11.05.2007 10:15:51
|
|
|
| mightythor kirjutas: |
| kas riigiasutuste(ja ettevõtete) serverite vastu suunatud DoS ründed olid lihtsalt serveri pingimine(umbes ping www.riik.ee -t )? Vist mitte, sest ICMP protokolli saaks serveris ilmselt küllaltki hõlpsalt keelata(midagi olulist minuarust katki ei jääks kui server pingile ei vasta) Või on see kinni keeramine ikkagi sedasi, et server vastab igale ICMP päringule, et "serverit ei leitud"(mis teeb siis sisuliselt ju sama välja kui ta ütleks, et "olen server see-ja-see, aega kulus nii-ja-nii palju") |
Kui ikka pool Venemaa arvuteid 64kB'seid pakette saadab, siis serveris pingile vastamise ärakeelamine ei anna just palju - võrk ummistatakse ikkagi ära, mis sest et sa vastu midagi ei saada. Probleemi lahenduseks tuleks asi kinni keerata juba ISPi poolelt enne kui vastavad päringud üldse sihtmasinateni jõuavad.
Muidu need rünnakud just täpselt sellised olidki. On too BAT mis portsu saite pingib isegi vähemalt ühes venekeelses foorumis ette sattunud. Selle lahenduse parim külg on lihtsus - kaasalööjad ei pea midagi oskama ega mingit ekstra programmi masinasse tirima/installima, lihtsalt kopeerib vajalikud read Notepadi, salvestab .BATiks ja annab minna. Ehk siis kasutatav absoluutselt igal pool kus Võrku pääseb, ka siis kui masin millest tegutsetakse on antiviiruse ja mitmekordse tulemüüriga varustatut ning konto millega sisse on loginud on piiratud õigustega.
_________________
IMO & GPLed |
|
| Kommentaarid: 24 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
22 |
|
| tagasi üles |
|
|
8
HV Guru
liitunud: 27.04.2005
|
|
12.05.2007 07:12:16
|
|
|
| HacaX kirjutas: |
| Kui ikka pool Venemaa arvuteid 64kB'seid pakette saadab, siis serveris pingile vastamise ärakeelamine ei anna just palju - võrk ummistatakse ikkagi ära, mis sest et sa vastu midagi ei saada. Probleemi lahenduseks tuleks asi kinni keerata juba ISPi poolelt enne kui vastavad päringud üldse sihtmasinateni jõuavad. |
Ma olen ka just seda mõelnud, et miks ei püüta juba Eestisse sisenevate väliskanalite magistraal-ruuterites teatud IP-vahemikke ära blokeerida. Selle asemel aga mässab iga mees ise oma serveri ees filtreerimisega... Muidugi, ka väliskanali enda võib juba ära ummistada ja siis peaks vist juba selle teise otsa ruuteritesse (teise riiki) filtreerima minema (sageli on see võimalik, kuna teise otsa ruuter kuulub ka tavaliselt ikka meie ISP-le)...
No ja kui juhtubki neisse blokeeritud vahemikesse ka vajalikke kasutajaid, siis nende jaoks saab teha selekteeritud valge nimekirja juba konkreetsete IP-dega. Sooviavaldused näiteks telefoni teel... Muidugi, jamasid jääb nii või naa, kuid võib-olla just sedasi on natuke kergem võidelda.
|
|
| Kommentaarid: 37 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
37 |
|
| tagasi üles |
|
|
morgoth
HV kasutaja
liitunud: 14.01.2004
|
|
23.05.2007 12:17:32
|
|
|
| See oli nüüd küll hea mõte, et neid linke siia kopeerida. EEmalda need kiiremas korras ära.
|
|
| Kommentaarid: 11 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
10 |
|
| tagasi üles |
|
|
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
