WN

WN (https://www.wn.se/forum/index.php)
-   Off Topic (https://www.wn.se/forum/forumdisplay.php?f=7)
-   -   Iranska hackare i farten (https://www.wn.se/forum/showthread.php?t=30660)

Magnus_A 2008-07-20 20:42
Har sett exempel på mig närstående webbsidor (dock inte mina) att det blivit lite defacegrejer av några sidor. Iranian hackers kallar de sig för bland annat. Nån som drabbas av nåt liknande? Inte min server så jag vet inte hur de kommit in & jag slipper röja upp efteråt.

expression 2008-07-21 01:41
Tror iallafall inte dessa hackarna befinner sig i Iran. I Iran har man begränsad uppkoppling pga. att staten inte vill att man ska hitta olämpliga saker på nätet etc. Deras snabbaste uppkoppling är ungefär som 2 mbit/s hos telia = segt.

Men låter hemskt, vad har de bl.a. hittat på?

Slacker 2008-07-21 08:21
Jag har en PHP-Nuke sajt, som har blivit hackad flera gånger tidigare bl.a av iranska hackers. De utnyttjade oftast uppladdningsfunktionen i någon modul för att ladda upp deras egen index.php och så att säga kapa sajten. Det är enkelt att fixa och också att förhindra. Crosscripting var värre för då lyckades de få reda på användarnamn och lösenord för att via ftp radera filer. Jag har följande rader i .htaccess, som stoppar crosscripting och även de som sitter bakom en proxy:


RewriteCond %{THE_REQUEST} .*http:\/\/.* [OR]
RewriteCond %{THE_REQUEST} .*http%3A%2F%2F.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^libwww(-FM|-perl) [OR]
RewriteCond %{HTTP_USER_AGENT} Indy\ Library [NC,OR]
RewriteCond % _CONF [OR]
RewriteCond % THEME_DIR [OR]
RewriteCond %{HTTP:VIA} !^$ [OR]
RewriteCond %{HTTP:FORWARDED} !^$ [OR]
RewriteCond %{HTTP:USERAGENT_VIA} !^$ [OR]
RewriteCond %{HTTP:X_FORWARDED_FOR} !^$ [OR]
RewriteCond %{HTTP:PROXY_CONNECTION} !^$ [OR]
RewriteCond %{HTTP:XROXY_CONNECTION} !^$ [OR]
RewriteCond %{HTTP:HTTP_PC_REMOTE_ADDR} !^$ [OR]
RewriteCond %{HTTP:HTTP_CLIENT_IP} !^$
RewriteRule ^.* - [F]

Magnus_A 2008-07-21 09:59
Deface endast vad vi kan se hittills. Kan vara någon svaghet i Joomla som de utnyttjat.
Utdrag ur deface-texten:
Citat:
Old.Zone Crew h4x0rd you =] [ ph4x0r && Huxe && Belial ] [ Islamic Republic OF Iran ]

__________________________________________________ __________________________________________



... iam best and nothing more

Iran is Alive Iranian rulz ?! and Islamic Republic OF Iran ?1 Iranian hackers ?! yup!

Seller:

Server

Botnet

Database

Informtion

and zero day ... just connect.

[email protected]

Slacker 2008-07-21 14:23
Det påminner mig om de index.php och config.php filer, som hackers laddade upp på min PHP-Nuke site. De använde smileyupload.php från en chatmodul för att ladda upp filerna. Jag har även läst att hackare använt gallerimoduler med uploadfunktion för samma syfte. Jag stoppade hackarna genom att i .htaccess lägga till:

<Files "smileyupload.php">
Order allow,deny
Allow from XX.XXX.XXX
Deny from all
</Files>

XX.XXX.XXX är min ip-adress, så det är bara jag som kan använda denna fil.

Den här typer av hackare utgör inga stora problem bara du har en backup av dina Joomlafiler och kan ladda upp dem på nytt igen. Om du blir hackad kan du med ditt ftp-program kolla fildatumen på dina filer och du upptäcker då vilken fil, som blivit hackad. Notera datumet och klockslaget, när filen blev skapad för med hjälp av den informationen och dina accessloggar kan du se hur de hackade sig in.

Magnus_A 2008-07-21 15:51
Tack för svar, vi får gå igenom allt och se om det finns kända säkerhetshål i någon av installationerna. Finns inte bara Joomla där, utan annat också.

Slacker 2008-07-21 18:52
Det går också via .htaccess att blockera specifika länder t.ex Iran. Jag blockerar själv Turkiet, eftersom de flesta av mina hackers kom därifrån och de använde inte proxy. Du kan hitta koden du skall lägga in för olika länder på denna sajt.

http://blockacountry.com/index.php


Alla tider är GMT +2. Klockan är nu 11:22.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson