Hacked websites : prevenire si combatere

Mi-a hackuit un idiot un script oscommerce, am sters tot ce se putea si tot se conecteaza la un site nenorocit.
http://2314.in
http://2314.in/1297670998.php
http://2314.in/dududu.js
http://2314.in/kqfzcmxokrkve.asx
Vad ca javra asta e si aici http://www.malwareurl.com/listing.php?domain=3113.in

A folosit o unealta de la http://www.exploit-db.com/

http://network-tools.com/default.asp?prog=express&host=2314.in

petrosvotr@gmail.com
Admin Email:petrosvotr@gmail.com
Tech ID:TS_12113086
Tech Name:Piter Palkerton
Tech Organization:N/A
Tech Street1:19 Long Green Ct
Tech Street2:
Tech Street3:
Tech City:Silver Spring
Tech State/Province:Maryland
Tech Postal Code:20906
Tech Country:US
Tech Phone:+001.2405356683
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:petrosvotr@gmail.com
Name Server:1ST.REGISTERDOMAIN.NAME
Name Server:2ND.REGISTERDOMAIN.NAME
Name Server:3RD.REGISTERDOMAIN.NAME
Name Server:4TH.REGISTERDOMAIN.NAME

ex http://www.malwareurl.com/listing.php?domain=8gov.co.cc

Interesesant
Ma bucur sa vad ca sunt hotomani mai mari ca tine

Ontopic:
Doar in Google Chrome e afisat un mesaj de atentionare cum ca "2314.in contains malware".

In Firefox si IE "The webpage cannot be found" sau se deschide Google.

Poate dai si link-ul site-ului hackuit...Poate descoperim cum ai fost "spart" ... Cred ca e vorba de un Sql injection

Cred ca e o gaura de securitate in osCommerce. Un prieten a fost contactat de un alt prieten care detine un site ce are la baza osCommerce si care a fost compromis de cateva ori la rand. Se pare ca atacatorul reuseste sa uploadeze scripturi .php (cu precadere un shell) prin intermediul scriptului care se ocupa cu upload-ul de imagini. Ne-am uitat evaziv peste scriptul respectiv, dar nu ne-am dat seama unde e bugul de securitate.

Si din cauza asta un script/cms custom va fi mai bun, mai apreciat si mai bine platit decat un script/cms public.

Total comander are optiunea: show hiden files, vezi ce gasesti in root sau in foldere.
Poti sa stergi baza de date, faci alta .
Am avut si eu client care cauta acest script, oricum eu nu folosesc
Aaaa am uitat sa zic. Daca ai acces in logs file, vei gasi acolo ip-ul cine a fost , si cum a facut...

Note: Posts were merged

si ce crezi ca faci cu ip-ul ce il gasesti in log? se folosesc no logine in cazurile astea pentru anonimizare

Daca vrea neaparat sa afle, adevaratul IP al hackerului, o poate face... E chestie de reclamatie si acel anonymizator va dezvalui adevaratul IP. Acum depinde , domnul Hotoman cat de necajit e.
Pe internet nimic nu e secret, totul se poate afla.

s-a folosit de permisiunea de scriere a folderului images a oscommerce-ului si a uploadat acolo niste fisiere php ::
account_manage.php
goog1e_etc.php ,
image.php
si images.php

prin aceste fisiere php are acces chiar si la radacina domeniului !
deci cum se pot uploada aceste fisiere din exterior pe folderul cu permisiunea de scriere?

pe care le am sters mai tarziu si culmea a dat permisiune de scriere la cateva din imagini, se vede ca nu am facut eu asta pentru ca apare utilizatorul apache acolo si nu zmeu lol. problema e ca tot imi da kaspersky alerta la pagina mea de virus catre 2314.in se incarca in codul sursa a paginii mele dar nu mereu


si chiar asa nu poti fi trasi la raspundere hackerii astia , chiar nimic nu se poate face?

da am inteles ca e sql injection dar cum pot sa scap in totalitate de urmele hackului? am comparata fisierele vechi cu cele noi si nu am gasit nici o diferenta de caractere

Deci e vorba fix de problema de care s-a intalnit prietenul ala al meu: se pot uploada fisiere php in images/. Cred ca scriptul care uploadeaza imaginile (admin/files_upload.php) nu verifica daca cel ce uploadeaza are dreptul sa o faca. Sterge toate fisierele straine de tine si redenumeste folderul admin intr-un nume ceva mai criptic, pe care sa il stii doar tu. Faptul ca userul care detine fisierele straine e apache demonstreaza ca ele au fost uploadate prin HTTP si nu prin FTP

ok multumesc o sa ma invat minte , dar cum pot sa elimin toate efectele hackului? am comparat toate fisierele ale oscommerceului cu un backup de dinainte si doar in folderul images apar acele fisiere pe care degeaba le am sters.


amuzant e ca a uitat sa elimine fisierele pe care acum le am sters si au fost doar instrumentele

aici sunt fisierele php uploadate in images pentru a prelua controlul asupra tuturor fisierelor

Filename: hack oscommerce images.rar
Filesize: 22.24 KB

#/download.php?id=599388

am uploadat aici DOAR tampenii din images si uitati cum avea access la tot

http://testam.hi2.ro/account_manage.php

, ce e interesant ca vad ca toate fisierele s-au uploadat pe hi2.ro direct cu permisiunea 666 acum le am facut fara sa poata fi modificate sper lol

are optiunea si de self remove in colt dreapta

interesant $explink = 'http://exploit-db.com/list.php?description='; dar nu gasesc siteul meu acolo lol

Deci am scris. In acces log e salvat cum a reusit, si ce adrese a utilizat/rescris. Injectie cam asa se face.
chmod folosesc 644 la fisiere. Daca un fisier nu trebuie modificat, rescris, ci numai citit, da-i acolo un chmod 444 si la revedere. Nu folosi cmod 777.
poti din .htaccess daca ai acces la el, sa restrictionezi, foldere, fisiere , etc, sa fie accesibile numai pentru ip-ul tau , sau un grup de ip definit.

da mersi de sfaturi acum am intereseaza sa elimin efectele hackului am sters fisierele instrument dar efect e tot acolo nu stiu cum se produce am comparat la sange fisierele de dinainte si de dupa atac si nu vad diferenta iar in baza de date nimic suspect