Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Legyetek üdvözölve Kiddie-országban!

2011.11.26. 10:57 | buherator | 10 komment

M1key hívta fel a figyelmem, hogy egy halom magyar weboldal feltöréséről szóló poszt jelent meg ezen a suttyófórumon. Általában nem szeretek reklámot csinálni hülyegyerekeknek, de ebben az esetben beleütköztem néhány érdekes/vicces dologba. 

Mindenek előtt a nagytudású T3es úgy gondolta, hogy egy tényleges bank rendszeréhez sikerült hozzáférnie egy shared hosting (úgy nézem deja.hu) szolgáltatónál, mivel az okobank.hu domain-nevében szerepel a "bank" szó, a kis barátai meg várják a CC dumpokat, szánalom...

Aztán a hős defacer által posztolt képernyőképeken látható egy helyi root exploit:

okobank_root1.png

Rövid guglizás után úgy tűnik, hogy a CVE-2010-3301 jelű sebezhetőségre készült exploitról van szó, amiről egészen jó elemzés olvasható itt. Humorbonbonként pedig egy, a találatok nagyobbik részét kiadó, különböző fórumokra posztolt Perl(!) szkript gyönyörűségeit érdemes ízlelgetni. A kedves alkotóra még a szkriptsuttyó kifejezés is túlzó lenne...

Itt tudjátok böngészni az érintett domainek listáját. Főleg zöld szervezetekről van szó, ha ismeritek valamelyiküket, értesítsétek őket! Ja, és megjegyezném, hogy keleti barátaink messze nem a legújabb vBulletint használják...

Címkék: incidens szánalom deface script kiddie facepalm

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

loolek · http://loolek.tumblr.com 2011.11.26. 12:38:02

Érdekes, hogy buta, masszív, szkenneléssel mi mindenbe nem botlik/tanul az ember..

Erről az egészről az a program jutott az eszembe, amit tíz éve kellett írnom. A cégnek szüksége volt egy listára -> azokról a magyar IP címekről, ahol https szerver üzemel.

De még a magyar IP tartományokról se volt semmi infó, ezért ehhez a részhez írtam egy programot, ami európa esetében a nyilvános whois.ripe.net adatbázissal dolgozik.

loolek.tumblr.com/post/2944772710/mass-whois-tool

Előszedtem és pont meg van a 195.56.*.* blokk tíz évvel ezelőtti kiosztása (persze nincs meg az összes altartomány).

Sanszos, hogy a szkript-gyerekek az egész tartományt "vizsgálják", ezért ha nem gond érdekességből bemásolnám azt az idevágó régi 85 sort.

kövinnyó 2011.11.26. 21:57:16

az a perl szkript, uh...

attty · http://attty.blog.hu 2011.11.26. 23:04:07

Sziasztok,
A Dejahu (vagy deja.hu) tulajdonosaként érintett vagyok a történetben.
Valóban volt betörés az egyik shared hosting szerverünkön, egy régi, nem frissített ügyfélsiteon keresztül, ami után valóban sikerült helyi root exploitot futtatni.
A szükséges válaszlépéseket még a héten korábban megtettük, a rootkitet kitakarítottuk, így elvileg a tünetek megszűntek, és készülünk a sérült shared hosting gép adatainak elmigrálására, hogy a rootkit által gyanússá vált rendszert beszánthassuk.

Szántó Gábor · http://choirs.oftheworld.club 2011.11.28. 11:51:21

Jómagam a csalan.hu oldalt készítettem, mondjuk a szerverüzemeltetés részében nem vagyok illetékes, de most megnéztem, se az oldalon belül, se a fáljstruktúrában nem látok semmi jelét, hogy történt volna valami.
Mit kell még megnézni ezeken kívül?

buherator · http://buhera.blog.hu 2011.11.28. 12:21:15

@Szántó Gábor: A srác állítása szerint csak egy oldalt deface-elt, szóval elvileg a tiédet békén hagyta. Ha tároltál érzékeny adatot (jelszavak, ilyesmi) a szerveren, vedd úgy, hogy ahhoz hozzáfértek.

loolek · http://loolek.tumblr.com 2011.11.29. 00:02:20

Ha egy cím tartományt át akarnak vizsgálni, akkor azt egy ilyen listával kezdik. Érdekes, ezért előszedtem és pont meg van a 195.56.*.* blokk tíz évvel ezelőtti kiosztása (persze nincs meg az összes altartomány).

www.evernote.com/shard/s14/sh/87658ae8-b971-41b2-930f-9a81b08d58e0/8b5ebdfd3bb66cb4b878e512e7704bcc

loolek · http://loolek.tumblr.com 2011.11.29. 00:02:20

Ha egy cím tartományt át akarnak vizsgálni, akkor azt egy ilyen listával kezdik. Érdekes, ezért előszedtem és pont meg van a 195.56.*.* blokk tíz évvel ezelőtti kiosztása (persze nincs meg az összes altartomány).

www.evernote.com/shard/s14/sh/87658ae8-b971-41b2-930f-9a81b08d58e0/8b5ebdfd3bb66cb4b878e512e7704bcc

Szántó Gábor · http://choirs.oftheworld.club 2011.11.29. 08:12:02

@buherator: Köszi, közben kiderült, hogy nálunk minden ok, az előző szerver érintett, amin működött, nálunk meg tiszta lappal indult minden.

synapse · http://www.synsecblog.com 2012.01.25. 19:33:40

dat script O_O

btw ripe EU adatbazis letoltheto.