hacked by Hmei7 - HELP!

От: От: hacked by Hmei7 - HELP!

Аз също бях поразен от същия мизерник, но слава богу всичко е възстановено и вече работи.
На същия хостинг съм и всички WP сайтове не работеха. Другите акаунти на същия хостинг не са засегнати.
Ако твоите NS са тези ns39.redbackinternet.net, ns40.redbackinternet.net, може да се окаже, че сме на един и същ сървър.

ХА! Там съм мака му !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

И сега какво? Ти в Лондон ли си? Хайде кажи къде ще се местим, че ми писна от бъгави доставчици на услуги.

Остави другото, ами съпорта още не ми е отговорил, е поне можеха да кажат - работим ....

Баси тъпаците!!!!!
 
От: hacked by Hmei7 - HELP!

ktomov - Благодаря! Е не мога да ти дам пак репутация, за съжаление.

Аз тези файлове ги изтривам мака му, ама хич не се свeтнах, че се пoявяват пак при ъпдейт, баси къв съм тъп! Мнооооогоо! Сега ми трябва един cron дето да го трие постоянно, ако се появят.

Ма то верно wp била гадина... знаят го и не го fix-ват - въщо като win ....
 
От: hacked by Hmei7 - HELP!

:!:

Колеги, това, че wordpress-a не си трие install.php или поне не подсеща да бъде изтрито, както е в други системи, е доста кофти.

В момента ми е адски криво, че нямам хостинг никъде, за да разбера сам, затова искам да питам, ако някой е забелязал, на споделен хостинг с какви права са файловете и директроиите, а също и с какъв собственик? Имам предвид може ли да бъде видян config.php на друг сайт (ще го наричам "комшията") ?


Защото аз си мисля, че за да върви примерно Cpanel - това е уеб-базиран интерфейс, трябва или той да подава username&password и команди към c програма, която прави съответните неща, "логвайки" се с подадените username&pass, или уеб-сървъра да има права за четене & писане в директориите на всички потребители на съответния сървър.

Поне аз като си гледам данните от стар хостинг, няма отделен cpanel и отделен web server за всеки клиент. Т.е. cpanel-а ми не е на отделен порт, различен от 80 и не ми се вярва за всеки да има отделно IP - все пак става дума за една от най-евтините тарифи споделен хостинг. Кофти е и че не е на HTTPS, но за това е задължително всеки клиент на хостинга да има отделен IP адрес.


Отделно, ако горната ми логика е вярна, излиза че web server-а има права да чете всички PHP файлове на всички потребители, в т.ч. и config.php. Или иначе казано - с Ваш PHP скрипт би трябвало, използвайки fopen да прочетете config.php на който и да е "комшия".

:!:
 
Написа големи глупости :) Cpanel създава отделен потребител. Потребителя има право да чете определени файлове, но само апачето има право да чете цялата информация за определена група.

Практически, ако сървъра не е конфигуриран от второкласник е невъзможно да имаш проблеми, възникнали от правата на файловете. Това се ползваше преди 4-5 години, вече не е актуално.
 
От: Re: hacked by Hmei7 - HELP!

Е ако PHP скрипт на cpanel има възможност да рови, влизайки като съответия потребител, това е ОК.


но само апачето има право да чете цялата информация за определена група

Щом е така, сигурен ли си, че не мога с един php файл да направя ето това:

Код:
<?php
// get contents of a file into a string
$filename = "/document-root-накомшията/config.php";
$handle = fopen($filename, "r");
$contents = fread($handle, filesize($filename));
fclose($handle);
echo $contents;
?>
и да си го отворя през браузъра?


Т.е. за да е невъзможно това, което казваш, трябва apache да стартира PHP интерпретатора при заявка към съответния virtual host със съответния user за неговата document root директория. Което вероятно е направено, до сега не се бях сетил и затова попитах. Щеше да е супер, ако можех да го проверя "с очите си" как е направено, но както казах, в момента нямам хостинг никъде :)
 
Захващаш се с правата на файловете, което не се ползва вече ;) С всичките дупки из wordpress, joomla и останалите ОС продукти, кой според теб ще си вземе споделен хостинг, само за да се изгаври с някой друг? Не, че нещо, ама да дефейснеш сайт с инклудване на чужд, правата които имат файловете са ти от най-малко значение ;)
 
От: Re: hacked by Hmei7 - HELP!

ама да дефейснеш сайт с инклудване на чужд, правата които имат файловете са ти от най-малко значение ;)

Къде видя include? Това горе е четене на файл не include. Примерно за да се сдобия с паролата за БД.


Добре, за да не ти губя времето, предлагам да спрем тази дискусия, когато имам възможност ще се разровя. И ако открия нещо нердно, ще пиша. Благодаря, че отдели време да ми отговориш! :)
 
Четенето на файл, практически е безполезно, освен ако не го правиш целенасочено за да добиеш някаква информация за конкурентна фирма.

В момента нещата са на тип "квото стане". Няколко баш скрипта са пуснати на Н на брой системи проверяващи за дупка А, втори за дупка Б, трети за В и така нататък. Явно не ти прави впечатление, че едно време под хакер се разбираше човек, който открива дупка с цел премахването и, а в момента това са деца, правещи го с цел да кажат "вижте колко съм голям".

Мисълта ми е, че в момента обсъждаме автоматизирани процеси и потребителските права на файловете и групите са от най-малко значение :) И не се притеснявай за моето време, ако отговора ти не беше интересен, а и темата не беше такава - нямаше да пиша. Даже напротив - радвам се, че повече хора пишат в такива теми, защото форума има нужда от това. Колкото повече гласност - толкова повече хора ще знаят - толкова по-малко хора ще плачат :) Ряпа за което :)
 
От: hacked by Hmei7 - HELP!

Мерси за ряпата! :)

Ами аз повдигнах въпроса, защото съм имал следния хостинг:

Cpanel, по подразбиране една и съща парола за БД, cpanel, а от него и за FTP. Споделен хостинг => логично е на същото IP да има и други споделени хостинги. Cpanel е на порт 80, значи един и същ уеб сървър се ползва за всички cpanel-и и всички сайтове.


Този уеб сървър трябва:
- или да има права за четене и писане във всички document root, за да може купилите хостинги да качват и редактират файловете си
- или качените файлове да се записват във временна директория, след което cpanel да стартира друг скрипт (с друг потребител/права), който виждайки за кое потребителско име се отнасят файловете, да ги запише в document root на съответния потребител/сайт



Ако приемем, че е първия вариант, тогава аз, влизайки през FTP, не мога да чета чужди файлове. Но уеб-сървъра може. От тук следват два случая:

- ако PHP интерпретатора се стартира като същия потребител, който е уеб-сървъра, аз мога да си напиша прост скрипт като онзи по-горе, който като си го отворя в уеб-браузъра, ще прочете съдържанието на config.php на атакувания сайт и ще го пльосне пред мен. И ако собственикът на съответния сайт държи същата парола за FTP и другите неща като тази за БД, аз получавам пълен достъп

- ако обаче web сървъра стартира PHP интерпретатора с моя потрбител, аз ще имам достъп за четене само в моите файлове и няма да мога да ровя в тези на комшиите. Или по-точно ще спя спокойно, че комшиите не могат да ровят в моите файлове :)


За съжаление не съм в течение с механизмите, които се ползват за защита на споделените хостинги и затова нещата, които пиша, вероятно са пълна глупост, но като се сблъскам с тези неща, ще разбера.
 
Наистина са пълна глупост. И аз избягвам споделения хостинг, защото се дразня от ограниченията му, но принципа на работа е коренно различен. Там вече са включени и групите. Ако ще целиш пробив, само на база контролния панел - по-добре се откажи.

Панела е, част от групата, която има достъп до файловете на потребителите, но няма как да се възползваш от правата на самата група. Това не зависи само за този софтуер, и други изискват това. Дори sphinx, което е просто търсачка, трябва да работи в групата на лапачето, за да нямаш проблеми.

Разводнихме много темата. Прочети документацията за цпанел, ако се интересуваш от това. За щастие или съжаление, съм сигурен, че панела няма общо с проблема на хората оплакали се по-рано.
 
От: hacked by Hmei7 - HELP!

Темата се измести.

Това какво можеш като клиент на определен хостинг зависи от теб и от админа на хостинга. Аз съм писал php-та с които съм отварял чужди акаунти поради моя грешка в скрипта. Беше отдавна и няма да кажа кой е хостинга, но е БГ и е доста популярен. До колкото знам го оправиха после, аз така и не съм се занимавал с това, защото моята идея е да създавам, а не да руша и не ми дреме какво мога да направя на комшията независимо от неговото поведение спрамо мен. Аз трябва да се защитя не само от комшията а по принцип. Осъзнавайки че 100% защита няма , то е добре да се вземат мерки, които да ти предоставят спокоен сън, Другото е параноя.


Интересни в случая са няколко неща:

1. Бах хакнат аз и брад, на един съврър но различни акаунти. Предполагам са хакнати всички акаунти на този сървър. Или почети всички.

2. Това ми е първият хак до сега, ползвам няколко хостинга и това е първа издънка. Нищо лично, просто статистика.

3. От хостига се държат като педали - пробелма бил в мен. ОК, ама е и в брад, и в другите и .... малко е пресилено, не мислите ли? Но е ясно че те така ще кажат

4. В моя акаунт имам шаблон с timtumbl което може и да е причина за хака. Никой не ми е крив ако е така. Но готините темплейти го ползват, и аз го искам, имам ли избор? Ами работете на DOS тогава да няма вируси и хакове.

5. След хака поведението на хостинга се промени - явно са направили нещо, или не са оправили нещо. Сега ме дразни как работи и ми пречи. И ако не го опраят (което го вярвам) ще се преместя ако намеря друг, по-добър UK хостинг, ама за сега не съм намерил - е нямам избор, ще търпя!

6. този хак е едно от най-добрите неща които са ми се случвали напоследък - отвори ми очите и ми изостри вниманието. Това е добре. Трябва някой да ни държи будни и свежи. И по -добре да е добронамерен от колкото...

и.т.н

Нека тази тема да не се превърне в място за разправия - отворих я за да се сподели и натрупа опит.

cPanel е най-доброто нещо до което съм се докосвал (не че имам кой знае какъв опит) от както се занимавам с хостинги. И не ползвам хостинг без cPanel. Това че някой келеш не знае как да го настрои е същото ако имате win машина с кофти админ.

Извода е един - правете си архиви ако искате спокоен сън. Другото е плямпане. :)
 
От: hacked by Hmei7 - HELP!

Това да твърдиш, че не си деструктивен хакер звучи хубаво, но реално един хакер трябва да вижда дупки и да знае как се ползват. Ако не му хрумва това, което хрумва на друг злонамерен негов колега, то той не може да осигури никаква защита. Важно е да усещаш слабостите на хоста или сайт системата, която ползваш, тъй като ако ти не ги усетиш, все някой злонамерен ще го направи.
Това от хоста да твърдят, че ти си виновен е класически номер. Само дето ако са професионалисти, трябваше да обяснят как се е получило. Не е трудно да се анализират логовете. Ако не дават такава информация на хакнатия, явно гафът е техен. Другият вариант е да не им пука, което е още по-жалко.
А иначе с четене на файлове много може да се постигне. Пресягаш config файл на някоя сайт система (например Wordpress) и вечер имаш username и password за MySQL акаунта му. След това можеш да правиш каквото си искаш с данните му.

Между другото, пробва ли пресягане с php към съседски файлове, че ми е любопитно.
 

Горе