[Magnus_A]

Har sett exempel på mig närstående webbsidor (dock inte mina) att det blivit lite defacegrejer av några sidor. Iranian hackers kallar de sig för bland annat. Nån som drabbas av nåt liknande? Inte min server så jag vet inte hur de kommit in & jag slipper röja upp efteråt.

[expression]

Tror iallafall inte dessa hackarna befinner sig i Iran. I Iran har man begränsad uppkoppling pga. att staten inte vill att man ska hitta olämpliga saker på nätet etc. Deras snabbaste uppkoppling är ungefär som 2 mbit/s hos telia = segt.

Men låter hemskt, vad har de bl.a. hittat på?

[Slacker]

Jag har en PHP-Nuke sajt, som har blivit hackad flera gånger tidigare bl.a av iranska hackers. De utnyttjade oftast uppladdningsfunktionen i någon modul för att ladda upp deras egen index.php och så att säga kapa sajten. Det är enkelt att fixa och också att förhindra. Crosscripting var värre för då lyckades de få reda på användarnamn och lösenord för att via ftp radera filer. Jag har följande rader i .htaccess, som stoppar crosscripting och även de som sitter bakom en proxy:


RewriteCond %{THE_REQUEST} .*http:\/\/.* [OR]
RewriteCond %{THE_REQUEST} .*http%3A%2F%2F.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^libwww(-FM|-perl) [OR]
RewriteCond %{HTTP_USER_AGENT} Indy\ Library [NC,OR]
RewriteCond % _CONF [OR]
RewriteCond % THEME_DIR [OR]
RewriteCond %{HTTP:VIA} !^$ [OR]
RewriteCond %{HTTP:FORWARDED} !^$ [OR]
RewriteCond %{HTTP:USERAGENT_VIA} !^$ [OR]
RewriteCond %{HTTP:X_FORWARDED_FOR} !^$ [OR]
RewriteCond %{HTTP:PROXY_CONNECTION} !^$ [OR]
RewriteCond %{HTTP:XROXY_CONNECTION} !^$ [OR]
RewriteCond %{HTTP:HTTP_PC_REMOTE_ADDR} !^$ [OR]
RewriteCond %{HTTP:HTTP_CLIENT_IP} !^$
RewriteRule ^.* - [F]

[Magnus_A]

Deface endast vad vi kan se hittills. Kan vara någon svaghet i Joomla som de utnyttjat.
Utdrag ur deface-texten:

Citat:

Old.Zone Crew h4x0rd you =] [ ph4x0r && Huxe && Belial ] [ Islamic Republic OF Iran ]

__________________________________________________ __________________________________________



... iam best and nothing more

Iran is Alive Iranian rulz ?! and Islamic Republic OF Iran ?1 Iranian hackers ?! yup!

Seller:

Server

Botnet

Database

Informtion

and zero day ... just connect.

[email protected]

[Slacker]

Det påminner mig om de index.php och config.php filer, som hackers laddade upp på min PHP-Nuke site. De använde smileyupload.php från en chatmodul för att ladda upp filerna. Jag har även läst att hackare använt gallerimoduler med uploadfunktion för samma syfte. Jag stoppade hackarna genom att i .htaccess lägga till:

<Files "smileyupload.php">
Order allow,deny
Allow from XX.XXX.XXX
Deny from all
</Files>

XX.XXX.XXX är min ip-adress, så det är bara jag som kan använda denna fil.

Den här typer av hackare utgör inga stora problem bara du har en backup av dina Joomlafiler och kan ladda upp dem på nytt igen. Om du blir hackad kan du med ditt ftp-program kolla fildatumen på dina filer och du upptäcker då vilken fil, som blivit hackad. Notera datumet och klockslaget, när filen blev skapad för med hjälp av den informationen och dina accessloggar kan du se hur de hackade sig in.

[Magnus_A]

Tack för svar, vi får gå igenom allt och se om det finns kända säkerhetshål i någon av installationerna. Finns inte bara Joomla där, utan annat också.

[Slacker]

Det går också via .htaccess att blockera specifika länder t.ex Iran. Jag blockerar själv Turkiet, eftersom de flesta av mina hackers kom därifrån och de använde inte proxy. Du kan hitta koden du skall lägga in för olika länder på denna sajt.

http://blockacountry.com/index.php