Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

dy.hu, p8.hu megtörve?

2009.05.10. 22:46 | buherator | 36 komment

secretworld hívta fel a figyelmemet erre, a magát szerényen csak 0x1337-nak nevező Twitter felhasználóra, aki állítása szerint több száz darab, magyar webhoszting szolgáltatónál - a dy.hu-n és a p8.hu-n -  elhelyezett oldalra pakolt távoli hozzáférést nyújtó PHP shelleket. Nekem ezeket még nem sikerült megtalálnom, lehet hogy eltávolították őket, vagy talán fent sem voltak, minden esetre kellő körültekintéssel látogassátok az említett domaineket, hátha került rájuk valami turpisság!

Az érintett szolgáltatókat értesítem, ha kapok választ, frissítek.

Lásd a kommenteket...

Címkék: incidens twitter p8 hu dy hu

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

HoaxSpecialist · http://hacker.blog.hu 2009.05.11. 05:46:30

p8n nem is fogod, ott az egesz aldomain strukturat tonkrevagtam egyetlen .htaccessel
a dy.hu pedig magahoz a tartalomhoz nem fertem hozza, de ha egy mappaba indexet helyezel el, akkor modosul az elerese is.
varhato meg fejlemeny, rendbetesszuk magyarorszagot es kiirtjuk az egesz elbaszott warez tarsadalmat... ocsmany ami itt megy.. mellesleg a p8 => oli.hu
a dy pedig azert lett bezuzva mert magukat kurva nagyra tarto senkik. koszonom szepen a publikaciot

Tovabbi szep napot, 0x1337 krassh

HoaxSpecialist · http://hacker.blog.hu 2009.05.11. 05:55:55

Es itt az eredmenye a publikalasnak, a twitter acc reportolva lett es suspendelve. Nemsokara inditok egy blogot valahol kanadaban. Hamarosan jelentkezem.
Twitterrol kep, aki lemaradt volna rola: i44.tinypic.com/dgm0io.jpg

JaniD++ 2009.05.11. 08:05:38

Kedves 4K+823!

Ha esetleg olvasgatnád ezt az oldalt:
Elég szánalmas, amit művelsz.....
dy.hu-n nem egy nálad sokkal nagyobb hal is úszkált már, mivel nem túl nehéz.
Ha minden biztonsági dolgot állandóan bekapcsolva tartanék, akkor a szegény amatőr oldalszerkesztők nem tudnának megfelelni a biztonsági követelményeknek, és még ennyi oldalunk sem lenne rajta, amennyi most van.
Szóval jó játszadozást.
Ha bejutottál, hát meg sem tapsollak, mert annyit nem ér a dolog. :-)
Addig is minden packetet logolok, hátha mutatsz valami újat, amit eddig még nem tudtam... :-D
Az igazság az, hogy én is tudnék ilyenekkel játszadozni, ha ennyi időt ráfordítanék, mint Te, de valójában nekem több eszem van annál, hogy ilyenekkel szúrjam el az időmet...

Az amornyila.hu-ban meg (amit szintén én írok) olyan hibát találtál, ami arra nem méltó, hogy foglalkozzak vele és persze teljesen veszélytelen.
Ilyenek bármilyen portálban lehetnek, de kit érdekel? :-)

++

buherator · http://buhera.blog.hu 2009.05.11. 08:29:18

@0x1337:
És elárulod, hogy mi lesz jobb attól, ha elkezdesz random randalírozni pár ingyen webhoszting-szolgáltatónál? Vagy én értem félre a helyzetet?

@JaniD++:
Én egyrészt nem büszkélkednék azzal, hogy nem tudok biztonságosan üzemeltetni egy szolgáltatást, másrészt az amornyila.hu-t erős felső becsléssel 10 perc alatt mag lehet fektetni. Csak szólok...

JaniD++ 2009.05.11. 08:39:01

@buherator:

dy.hu:
Nem büszkélkedem, de ha jól sejtem, nem csináltál még mass hostingot automata megoldásokkal, beleértve a biztonságot is...
Meg kicsit nem látod át a helyzetet. :)
(Nem csak technikai megoldásokról beszélek.)
Tudom üzemeltetni úgy, hogy sokkal biztonságosabb legyen, de akkor a sok gagyi ingyenesen letölthető portálrendszer nem képes létezni rajta, tehát most "optimumon" van a biztonság és nem is kívánom már feljebb venni.
Minden mentve van és logolva.
A 0-ról is újra tudom éleszteni a rendszert minimális veszteségekkel, és nyertem vele egy értékes logot. 8-)

amornyila.hu:
DOS attakot bármelyik php-s portálon könnyű csinálni, nem kell ahhoz 10 perc sem.
Meg floodolni, meg ilyenek, persze ez gyerekjáték.
De amit az okostojás talált, az tényleg olyan, mint ha abba kötnék bele, hogy ha fél literes kakaó kupakját tekerem a kólámra, akkor kifolyik, mert nem zár jól. :-D

++

buherator · http://buhera.blog.hu 2009.05.11. 08:56:52

@JaniD++:
Sajnos perpill nincs időm arra, hogy jobban átnézzem a szóbanforgó oldalakat, de ha tényleg működtek azok a c99 shellek, akkor az ingyenportáloktól függetlenül távol vagy az optimumtól. A társkeresőn meg kicsit durvább hibák vannak egy laza XSS-nél...

HoaxSpecialist · http://hacker.blog.hu 2009.05.11. 08:57:02

@buherator: Igen, félreértetted a helyzetet. ahol wareztartalom van, megyek jatszodok kicsit. :)

Dy: nc.. amornyilarol jutottam at az oldalra, azert kezdtem el ott is jatszani.

@JaniD++, legyszives buszkelkedj nekem az inject hibakrol is, az xss csak hab a tortan. :)
Sokat ersz a logokkal, irok masik kodot BTW csak foglalja a helyet. ^^

Az egesz egy poen volt, ezek kis trefak.
A java csak most jon ;)

udv, 0x1337@krassh

Fearless · http://kozepvonal.blog.hu 2009.05.11. 09:13:42

:) Biztonság optimumon :)
Kinek optimum? Neked, a Juzereknek vagy 4919 nek?

JaniD++ 2009.05.11. 09:53:58

@Fearless:

A válasz viszonylag egyszerű:
Az emberiség legnagyobb átlagának.
Az optimum nyilván valóan kompromisszumot is jelent.

@ 0xFFFF

El sem tudod képzelni, mennyi helyünk van logoknak és más hasonlóknak. :-)
A warez téma már kipusztult nálunk, már >1 éve még a jogvédők sem küldtek semmit sem, mivel nincs 1 oldal sem már nálunk ebben a témában. (tudomásom szerint).
Ha mégis tudsz, hát mutass, és ledörgölöm azonnal! 8-)
Amióta nincs warez, rögtön felszabadult egy csomó hely. :-D

@ everybody

BTW amornyila.hu csakis a magam szórakoztatására írodott, de gondolom, ezzel nem mondok újat.
Az alapvető biztonsági dolgokra figyeltem az írásánál, de nagyon nem vittem túlzásba.
Ha valaki felhívja a figyelmem valami hibára, ami őt zavarja, akkor veszem a fáradtságot, és megfixálom, addig nem. :-P
(Mostanában nincs időm arra, hogy csak úgy hibákat keresgessek...)

Na szép napokat!
csüsz

++

buherator · http://buhera.blog.hu 2009.05.11. 10:35:56

@0x1337:

"ahol wareztartalom van, megyek jatszodok kicsit. :)" Továbbra is az a kérdésem, hogy ennek mi az értelme (főleg ilyen formában)?

Egyébként netán ez is te voltál:

asva.info/ismet-uzen-a-magyar-warez-scene-2009-05-11.html

?

@JaniD++: A terelés az már jól megy... Felőlem olyan szar kódot írsz, amilyet nem szégyellsz, csak ne csodálkozz, ha mondjuk betalál pár távolkeleti bot, aztán feketelistára kerülsz ahol lehet.

HoaxSpecialist · http://hacker.blog.hu 2009.05.11. 10:45:51

@buherator: A warez tartalom eltavolitasa az elsodleges cel, oncelu/kicsit onbiraskodo viselkedes, ebben igazad van, de az elveim a warez ellen szolnak es nyiltan kiallok mellette, bar teny, kozre jatszik a hibak kihasznalasa is, kezdek atmenni valami 'csunya-blekk-het' manuszba, ezert a jovoben reportolom majd a hibakat az oldal tulajainak. :>

A rls nem az en muvem, bar teny hogy van igazsag a mondanivaloban. A hangvetelbol az egyik farawell csapatra asszocialok...

Mellesleg nem torrentezek ^^

JaniD - kezdj el foglalkozni az oldaladdal. big face = no server

bye. krassh @ 0x1337

JaniD++ 2009.05.11. 11:06:59

@ 0x

Nem teszem.
És tudod, hogy miért?
Mert már megtanultam -így adatmentőként dolgozva- (adatmentes.netcenter.hu) hogy nem érdemes izgulni semmin sem.
Csak mindent backupolni kell és logolni. :-)
Ha valaki felborítja a gépet, akkor előkapom a backupot, és visszaállítom.
Ha érdekel egyáltalán, hogy hogyan csinálta, akkor kibányászom a logokból, de a legtöbb esetben még annyira sem érdekel, hogy ezt megtegyem.

Amikor fiatalabb voltam, én is olyasmi voltam, mint te most. :-)
Én is megírtam a magam vírusait még annó DOS 5.0 környékén assemblyben, és én is büszke voltam magamra, hogy fel tudtam törni az iskolai novell hálózatot, de sosem engedtem el egy vírust sem, mert nem vagyok kártékony, mint ahogyan Te sem!
Ha akarnám, most is tudnék olyan vírust írni, ami kirántja a gépedben zümmögő hdd-ből a gyári hibalistát (P-list) és utána kapkodhatnád a fejedet, hogy hogyan csúsznak szét az adataid, de nem teszem!
És miért nem?
Mert van jobb dolgom is. 8-)
Most is épp van pár ügyfél, aki arra vár, hogy ne itt társalogjak, hanem szerezzem vissza az adatait...
A saját szervereim (oldalaim) másod vagy épp harmadrangú téma.

++

Fearless · http://kozepvonal.blog.hu 2009.05.11. 11:53:59

"A warez tartalom eltavolitasa" ?
ennek valóban mi értelmét látod? ez érdekelne, pláne igy ebben a formában

synapse · http://www.synsecblog.com 2009.05.11. 11:58:59

rofl @ security + amornyila.hu :)

"Mert már megtanultam -így adatmentőként dolgozva- (adatmentes.netcenter.hu) hogy nem érdemes izgulni semmin sem.
Csak mindent backupolni kell és logolni. :-)"

A CV-dbe ird bele, hogy: "nagy szakmai tapasztalat biztonsagos, robosztus szolgaltatasok tervezese es uzemeltetese teren"

synapse

omfglol 2009.05.11. 12:42:14

@JaniD++:
Kitörölheted a segged a backup-al ha már ellopták többezer/többtízezer user adatait.

Ahogy elnézem az "optumumon" lévő oldalaidat, már meg is tették páran, akik nem verték nagy dobra.

JaniD++ 2009.05.11. 13:03:32

@h0meless:

Aki ingyenes oldalra regisztrál, az nyilván számol ezzel a kockázattal.
Aki nem, azt meg csaj sajnálni tudom.
Amúgy mivel én mozgok ezen a téren, nem tudok olyan freeweb szolgáltatórol, amit még nem zúzott volna fel valaki már...
Ezeket egyszerűen nem lehet hatékonyan megvédeni, mert ha túl jól véded, akkor nem jó semmire sem.
Az alapvető biztonságra figyelünk, ha valaki nagyon akar, úgyis be tud törni akárhova...
Ha megteszi, akkor pedig megtesszük a szükséges jogi lépéseket, ami persze nem az elkövető ellen ér valamit, hanem a mi védelmünkre.
Ennyi, és ez így megy minden más szolgáltatónál is, jobb ha tudod!
Ne adj ki olyan adatot sehova sem, amit nem akarsz, hogy más megtudjon.
Ennyi a lényeg.

By the other hand:
Ez egy free szolgáltatás, ami most gyakorlatilag sem hoz hasznot, te ölnél bele felesleges energiákat egy széllel szemben való pisilés céljából?
Mert ha egy fizetett hosting lenne, akkor egész más a felállás!

++

HoaxSpecialist · http://hacker.blog.hu 2009.05.11. 13:24:30

@JaniD++: Baratom, a reklamokbol befolyo haszon micsoda? :) Amugy a dunahosting is hasonlo modon vegezte, csak ott ijedos volt az admin es torolte az egesz freehosting mappat :DD
Visszaterve az eredeti tenyallashoz, akkoranak hiszed a tudasod mint a pocakod.. :) Ha nem is en, valaki elmagyarazza majd nem szep szoval hogy a mass deface mit is jelent.

udv, krassh

_2501 2009.05.11. 13:39:27

@JaniD++:
Ne légy heves, bár munkádon más keres; Dolgozni csak pontosan, szépen, ahogy a csillag megy az égen, úgy érdemes. - József Attila

Sokan nem értenek veled egyet, talán észrevetted.
Mindegy, te ezt már úgysem fogod megérteni.

JaniD++ 2009.05.11. 13:39:32

@0x1337:

Ehhez már csak annyit tennék hozzá, hogy ha van 2 perced, kukkantsad meg, hogy milyen reklámok is vannak kirakva! :)
Csak mert reklámot 1x nem adtunk még el, amióta a szerver megvan.
Az összes vagy a mienk, vagy ismerősöké. akiknek segítünk, ha tudunk ezzel. :)
Az egész dy.hu nonprofit módon működik jelenleg, és ez komoly!
Talán lesz ez másképp is, ki tudja...
De ha nagyon nem lesz rá időm és sok gondot okoz, akkor egyszerűen lekapcsolom és ennyi volt.
És már előre jelzem, hogy ha a sok gondot valami okostojás okozza, akkor sem szükséges, hogy büszke legyen magára, mert nem ő miatta állt meg az egész móka, hanem azért, mert egy üzleti döntés ezt így indokolta.

++

JaniD++ 2009.05.11. 13:57:49

@_2501:

Ne hidd. ;-)
De az, hogy megértek valamit, sőt talán régebben én is így gondolkodtam, nem azt jelenti, hogy most is az az állapot van.
Most más szemmel látom a világot, mint régebben...

++

secretworld 2009.05.11. 14:49:19

Ti is jól elvagytok:)

Röviden összefoglalva.
JaniD++ ne csodálkozz akkor ha rosszbácsik bekukkantanak dolgaidba.. esetleg lerombolják azokat..
a hack általában nem a jókisfiúk világa.. itt nem bízhatsz meg senkiben..
dy.hu te dolgod.. de szerintem elkezhetnéd kicsit beindítani mert szégyen h mien szar:S
De te tudod nekem aztán mind1..:)
További szép napot:)
ja és 0x1337 azért grat..:)

JaniD++ 2009.05.11. 15:22:21

@secretworld:

A biztonságot kb oda lőttem be, hogy egy sima egyszerű (de nem kezdő) rendszergazda fel tudja törni, ha nagyon akarja, de egy egyszerű júzer még nem. :-D
Ennek megfelelően nálam ez még nem a gratulálandó kategória, hiszen ezt a szintet mindenkinek illik megütnie, aki hackernek adja ki magát....
Majd ha valaki elé teszek egy Linux Live CD-ről (readonly fs) futtatott php és cgi nélküli apache-ot, és azon le tudja cserélni távolról az index.html-t, akkor azt mondom, tud valamit! :-)
(Én már megtettem, mikor fiatalabb voltam.)

Amúgy ezen felül mit értesz az alatt, hogy "szar"?

++

_2501 2009.05.11. 15:54:28

Úristen hagyjuk abba. Tényleg. Már sok. Ne. Légyszíves. Buták vagyunk mind, nem értünk semmihez. Jobb vagy nálunk sokkal. Elmegyek péknek.

HoaxSpecialist · http://hacker.blog.hu 2009.05.11. 16:13:27

@_2501: /ctcp JaniD /quit
/quit Farawell

lol

synapse · http://www.synsecblog.com 2009.05.11. 17:13:44

"Majd ha valaki elé teszek egy Linux Live CD-ről (readonly fs) futtatott php és cgi nélküli apache-ot, és azon le tudja cserélni távolról az index.html-t, akkor azt mondom, tud valamit!"

Nehezen hiszem el, azok utan hogy lattam az oldalaid...

synapse

HoaxSpecialist · http://hacker.blog.hu 2009.05.11. 17:33:57

synapse is belenezett kicsit lol
/* off: zold meg a hajad? */

Tr3K 2009.05.11. 17:37:33

Hagyjatok mar...
0x1337: toljad csak, rajuk fer. Az egesz banda nem csinal semmit.

synapse · http://www.synsecblog.com 2009.05.11. 18:03:45

0x1337

Nem, mar nem. Drop me a mail ;)

synapse

matx 2009.05.11. 22:39:52

En az ilyen rejtelyes ... -tol es a zavarom szmajlik moge rejtemtol leszek rosszul. Komolyan, ilyen misztikus arcok utoljra a dvhc forumon voltak meg 1000 eve ;> lehet onnan jott?

GHost (törölt) 2009.05.12. 09:36:31

Ez egészen szórakoztató volt :)

HoaxSpecialist · http://hacker.blog.hu 2009.05.22. 21:17:24

dy.hu >
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
news:x:9:13:news:/etc/news:
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
mysql:x:27:27:MySQL Server:/var/lib/mysql:/sbin/nologin
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin
rpm:x:37:37::/var/lib/rpm:/bin/bash
ntp:x:38:38::/etc/ntp:/sbin/nologin
xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
apache:x:48:48:Apache:/var/www:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
pcap:x:77:77::/var/arpwatch:/sbin/nologin
dovecot:x:97:97:dovecot:/usr/libexec/dovecot:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin

HoaxSpecialist · http://hacker.blog.hu 2009.05.22. 21:18:04

El is felejtettem.. Jo szorakozast :))

m1key · http://rootsite.hu 2009.06.03. 13:17:09

nem semmi ami itt megy :)

0x1337: szeretettel várunk itt: rootsite.hu , ha megerkeztel nyomom a private forumhoz az accot :)

buherator: egy linkcserehez hogy viszonyulsz?
rootsite.hu 5 pr

HoaxSpecialist · http://hacker.blog.hu 2009.06.21. 00:56:27

Erőt vettem magamon és ránéztem amornyila-ra.. JaniD++ az md5 igazán nem ártott volna a kódodba. Na meg a csak számokból álló jelszó elég gyér egy ilyen NAGY embertől mint Te.. ;)

üdv.

conscience 2010.05.30. 16:24:53

@JaniD++

Annyira letaglózott a mennyeket ostromló tudásod, hogy az utóbbi pár kommentet már el sem olvastam.

"Aki ingyenes oldalra regisztrál, az nyilván számol ezzel a kockázattal."

Mert nyilván minden user információbiztonsági szakember, és tudja, hogy mit csinál. Nincs is szükség semmiféle bizotonságra ugye? Mert kizárólag a felhasználó hibája, ha a "terméked" jóvoltából kárt szenved.

Tényleg kísértetiesen emlékeztetsz a dvhc-féle csapatra. Az arcod mérete is megül ebben a kontextusban. Csinálsz valamit, ami a folyós szar szintjét sem éri el, majd azzal próbálsz takarózni, hogy te hatalmas orákulum vagy ám, csak épp nem érdekel, hogy mennyire hulladék, amit alkottál vagy odahánytál/fostál/turháztál. Szerintem keress fel egy pszichiátert, a nárcizmus kezelhető. ...Vagy legalább tanulj egy keveset, hátha attól összemegy az arcod...