Defacing, porca *****

**Sergio** · 01-05-2006, 02:44:58

Ora aggiorno il kernel e poi riavvio, potrebbe capitare di tutto.

**Sergio** · 01-05-2006, 02:46:14

Questo si che è un "attacco", raga dobbiamo rispondere, fuori i nomi di quelli che hanno le palle !!!
Ho gli IP nei file di log anche se saranno probabilmente proxy.

**Sergio** · 01-05-2006, 02:50:44

71.140.60.147 chi è ?
203.100.99.6

**Sergio** · 01-05-2006, 02:52:17

Entrato da una possibile falla del kernel

**esiclene** · 01-05-2006, 03:32:03

Originariamente Scritto da Sergio

Entrato da una possibile falla del kernel

Bella rottura di *****
poi attaccare un sito come il pharmapure che alla fine non è che fosse così pubblico ... mah .

**esiclene** · 01-05-2006, 03:36:21

L'unica cosa che ho capito è che l'hacker è pakistano e si diverte a far ste cose..
ma quale è il problema ? dove risiede il server?

**Sergio** · 01-05-2006, 03:43:28

In ufficio.
Te ne intendi un pò?

Per il momento sembra che hanno solo cancellato un file index.php , sto controllando i file di log ora, sono pieni di tentativi di ingresso e poi di tentativi di collegamento con SSH, maremma maiala, adesso cerco di allegarli.

Hanno fatto la stessa cosa a Onewayfitness un paio di giorni fa.

**esiclene** · 01-05-2006, 03:52:54

Originariamente Scritto da Sergio

In ufficio.
Te ne intendi un pò?

Son programmatore ma non di queste cose. (oddio non.. dipende a che livello) Ma nel mentre ho fatto un pò di ricerche in rete.. pare sia una falla di una versione vecchia del php forse ?

Per il momento sembra che hanno solo cancellato un file index.php , sto controllando i file di log ora, sono pieni di tentativi di ingresso e poi di tentativi di collegamento con SSH, maremma maiala, adesso cerco di allegarli.
Hanno fatto la stessa cosa a Onewayfitness un paio di giorni fa.

Ma non hai il tutto già backuppato? quale è il problema ? hai paura di nuovi attacchi?

**Sergio** · 01-05-2006, 04:05:41

Esatto, temo solo dei nuovi attacchi, il defacing non è distruttivo, ma io voglio essere sicuro.
Ora ho aggiornato il Kernel, ma nel file di log sto trovando una marea di tentativi di ingresso, anche attraverso il samba.
Stardiiiiiiiii !!

**esiclene** · 01-05-2006, 04:08:54

Sergio ma..

E' più di un mese che ci stavano a provà o sbaglio?!? Ora te ne sei accorto?

**Sergio** · 01-05-2006, 04:22:04

Esatto, porca *****...
Tu dici che hanno sfruttato una falla o si sono trovati una password ?
Cioè... hanno fatto un buco una tantum o si sono creati un passaggio ?

**Sergio** · 01-05-2006, 04:27:40

Ho disabilitato l'SSH per lo meno dall'esterno.
Vado a nanna, ma che paranoia adesso che mi è venuta....

**esiclene** · 01-05-2006, 04:33:56

Originariamente Scritto da Sergio

Esatto, porca *****...
Tu dici che hanno sfruttato una falla o si sono trovati una password ?
Cioè... hanno fatto un buco una tantum o si sono creati un passaggio ?

Dal log che vedo (che però è fino al 15 di aprile) non si vede molto. si vedono solo centinaia di tentativi ed il server pare rincoglionirsi dopo x tentativi, ma non per questo cede l'accesso

**Sergio** · 01-05-2006, 04:39:04

Ne ho altri più aggiornati, fino a questa notte che però in /var/log/message non appaiono, sembrano cancellati, ma se apro l'applicazione per leggere i log di sistema me li fa vedere, strano.
Utenti nuovi non ne sono stati creati, boo...

Domani appena ho un pò di tempo mostro gli ultimi accessi e parte di quel file di log.

Defacing, porca *****

Defacing, porca *****

Commenta

Commenta

Commenta

Commenta

Commenta

Commenta

Commenta

Commenta

Commenta

Commenta

Commenta

Commenta

Commenta

Commenta