Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out

Promó

H.A.C.K.

Keresés

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Magyar blogok

Magyar oldalak

Külföldi oldalak

Kultúra

Feedek

XML

Archívum

hacker jelvény

Licensz

Creative Commons Licenc

Legyetek üdvözölve Kiddie-országban!

2011.11.26. 10:57 | buherator | 10 komment

M1key hívta fel a figyelmem, hogy egy halom magyar weboldal feltöréséről szóló poszt jelent meg ezen a suttyófórumon. Általában nem szeretek reklámot csinálni hülyegyerekeknek, de ebben az esetben beleütköztem néhány érdekes/vicces dologba. 

Mindenek előtt a nagytudású T3es úgy gondolta, hogy egy tényleges bank rendszeréhez sikerült hozzáférnie egy shared hosting (úgy nézem deja.hu) szolgáltatónál, mivel az okobank.hu domain-nevében szerepel a "bank" szó, a kis barátai meg várják a CC dumpokat, szánalom...

Aztán a hős defacer által posztolt képernyőképeken látható egy helyi root exploit:

okobank_root1.png

Rövid guglizás után úgy tűnik, hogy a CVE-2010-3301 jelű sebezhetőségre készült exploitról van szó, amiről egészen jó elemzés olvasható itt. Humorbonbonként pedig egy, a találatok nagyobbik részét kiadó, különböző fórumokra posztolt Perl(!) szkript gyönyörűségeit érdemes ízlelgetni. A kedves alkotóra még a szkriptsuttyó kifejezés is túlzó lenne...

Itt tudjátok böngészni az érintett domainek listáját. Főleg zöld szervezetekről van szó, ha ismeritek valamelyiküket, értesítsétek őket! Ja, és megjegyezném, hogy keleti barátaink messze nem a legújabb vBulletint használják...

Facebook Tumblr Tweet Pinterest Tetszik
0

Címkék: incidens szánalom deface script kiddie facepalm

Ajánlott bejegyzések:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

loolek · http://loolek.tumblr.com 2011.11.26. 12:38:02

Érdekes, hogy buta, masszív, szkenneléssel mi mindenbe nem botlik/tanul az ember..

Erről az egészről az a program jutott az eszembe, amit tíz éve kellett írnom. A cégnek szüksége volt egy listára -> azokról a magyar IP címekről, ahol https szerver üzemel.

De még a magyar IP tartományokról se volt semmi infó, ezért ehhez a részhez írtam egy programot, ami európa esetében a nyilvános whois.ripe.net adatbázissal dolgozik.

loolek.tumblr.com/post/2944772710/mass-whois-tool

Előszedtem és pont meg van a 195.56.*.* blokk tíz évvel ezelőtti kiosztása (persze nincs meg az összes altartomány).

Sanszos, hogy a szkript-gyerekek az egész tartományt "vizsgálják", ezért ha nem gond érdekességből bemásolnám azt az idevágó régi 85 sort.
Válasz erre 

kövinnyó 2011.11.26. 21:57:16

az a perl szkript, uh...
Válasz erre 

attty · http://attty.blog.hu 2011.11.26. 23:04:07

Sziasztok,
A Dejahu (vagy deja.hu) tulajdonosaként érintett vagyok a történetben.
Valóban volt betörés az egyik shared hosting szerverünkön, egy régi, nem frissített ügyfélsiteon keresztül, ami után valóban sikerült helyi root exploitot futtatni.
A szükséges válaszlépéseket még a héten korábban megtettük, a rootkitet kitakarítottuk, így elvileg a tünetek megszűntek, és készülünk a sérült shared hosting gép adatainak elmigrálására, hogy a rootkit által gyanússá vált rendszert beszánthassuk.
Válasz erre 

Szántó Gábor · http://choirs.oftheworld.club 2011.11.28. 11:51:21

Jómagam a csalan.hu oldalt készítettem, mondjuk a szerverüzemeltetés részében nem vagyok illetékes, de most megnéztem, se az oldalon belül, se a fáljstruktúrában nem látok semmi jelét, hogy történt volna valami.
Mit kell még megnézni ezeken kívül?
Válasz erre 

buherator · http://buhera.blog.hu 2011.11.28. 12:21:15

@Szántó Gábor: A srác állítása szerint csak egy oldalt deface-elt, szóval elvileg a tiédet békén hagyta. Ha tároltál érzékeny adatot (jelszavak, ilyesmi) a szerveren, vedd úgy, hogy ahhoz hozzáfértek.
Válasz erre 

loolek · http://loolek.tumblr.com 2011.11.29. 00:02:20

Ha egy cím tartományt át akarnak vizsgálni, akkor azt egy ilyen listával kezdik. Érdekes, ezért előszedtem és pont meg van a 195.56.*.* blokk tíz évvel ezelőtti kiosztása (persze nincs meg az összes altartomány).

www.evernote.com/shard/s14/sh/87658ae8-b971-41b2-930f-9a81b08d58e0/8b5ebdfd3bb66cb4b878e512e7704bcc
Válasz erre 

loolek · http://loolek.tumblr.com 2011.11.29. 00:02:20

Ha egy cím tartományt át akarnak vizsgálni, akkor azt egy ilyen listával kezdik. Érdekes, ezért előszedtem és pont meg van a 195.56.*.* blokk tíz évvel ezelőtti kiosztása (persze nincs meg az összes altartomány).

www.evernote.com/shard/s14/sh/87658ae8-b971-41b2-930f-9a81b08d58e0/8b5ebdfd3bb66cb4b878e512e7704bcc
Válasz erre 

Szántó Gábor · http://choirs.oftheworld.club 2011.11.29. 08:12:02

@buherator: Köszi, közben kiderült, hogy nálunk minden ok, az előző szerver érintett, amin működött, nálunk meg tiszta lappal indult minden.
Válasz erre 

synapse · http://www.synsecblog.com 2012.01.25. 19:33:40

dat script O_O

btw ripe EU adatbazis letoltheto.
Válasz erre 
süti beállítások módosítása