Defacing, porca *****

Collapse
X
 
  • Filter
  • Ora
  • Show
Clear All
new posts
  • Christian Troy
    Il Fabbricatorte
    • Oct 2005
    • 6570
    • 288
    • 55
    • Gorizia (prov.)
    • Send PM

    #46
    sergiuzzo migra a gentoo :P
    2010-07-25:


    I miei deliri

    Commenta

    • cula.79
      • 0
      • 0
      • Send PM

      #47
      Originariamente Scritto da Sergio
      Notiziona, oggi ho preso per le palle i tecnici di Fastweb ed abbiamo risolto il problema, da domani (notte) probabilmente riusciremo a fare tornare il forum on-line.
      GRANDE!!!!!


      speriamo bene!

      Commenta

      • corlis1
        Cialis abuser
        • Jun 2004
        • 7902
        • 209
        • 220
        • Cairo
        • Send PM

        #48
        allora sarebbe utile sapere che vers di apache avevi su cmq

        basta cercare sui giusti forum per vedere se fa parte di una azione di gruppo o un singolo burlone
        Last edited by corlis1; 02-05-2006, 23:12:32.
        Perle !!!

        Commenta

        • Sergio
          Administrator
          • May 1999
          • 88092
          • 2,188
          • 2,827
          • United States [US]
          • Florida
          • Send PM

          #49
          Originariamente Scritto da corlis1
          allora sarebbe utile sapere che vers di apache avevi su cmq

          basta cercare sui giusti forum per vedere se fa parte di una azione di gruppo o un singolo burlone
          Hanno fatto il defacing anche ad almeno un altro server nell'ambito del BB, sembra la moda del BB in questo periodo.

          Ora ad ogni modo ho "chiuso" il mio server, ho cambiato le password, esagerando con i caratteri, poi ho stretto un bel pò i rubinetti a servizi e firewall.. bho, tocchiamoci le palle



          Commenta

          • Smasher
            Banned
            • Nov 2005
            • 285
            • 0
            • 0
            • Tiffany Taylor's house
            • Send PM

            #50
            Originariamente Scritto da Sergio
            Hanno fatto il defacing anche ad almeno un altro server nell'ambito del BB, sembra la moda del BB in questo periodo.

            Ora ad ogni modo ho "chiuso" il mio server, ho cambiato le password, esagerando con i caratteri, poi ho stretto un bel pò i rubinetti a servizi e firewall.. bho, tocchiamoci le palle
            hmm stai attento,potrebbero aver usato qualche rootkits e aver installato una bella backdoor

            cmq hai capito da dove sono entrati?da ssh?
            se mi passi i logs ti posso aiutare..


            ps.installa una distro tipo debian , ci guadagni in sicurezza

            Commenta

            • Sergio
              Administrator
              • May 1999
              • 88092
              • 2,188
              • 2,827
              • United States [US]
              • Florida
              • Send PM

              #51
              Originariamente Scritto da Smasher
              hmm stai attento,potrebbero aver usato qualche rootkits e aver installato una bella backdoor

              cmq hai capito da dove sono entrati?da ssh?
              se mi passi i logs ti posso aiutare..
              :
              Grazie mille, ho questo sospetto, non sono sicuro SSH o vsftpd, ho anche visto partire un processo con "cron" e non mi piace proprio.
              Se riesco ti allego altri file, questo è una parte di log : http://www.bodyweb.it/forums/showpos...6&postcount=33



              Commenta

              • Smasher
                Banned
                • Nov 2005
                • 285
                • 0
                • 0
                • Tiffany Taylor's house
                • Send PM

                #52
                Originariamente Scritto da Sergio
                Grazie mille, ho questo sospetto, non sono sicuro SSH o vsftpd, ho anche visto partire un processo con "cron" e non mi piace proprio.
                Se riesco ti allego altri file, questo è una parte di log : http://www.bodyweb.it/forums/showpos...6&postcount=33
                da li non si capisce molto,cmq sembra che abbiano disattivato i log di sistema (syslog-ng),oltre a provare un brute-force su vsftpd
                insomma degli script kiddies,sono sicuro che hanno usano un rootkit per pulire le tracce(e magari per installare qualche backdoor)...

                prova a controllare la /root/.bash_history,anche se a meno che non siano dei polli è probabile che l'abbiano cancellata..

                Commenta

                • Sergio
                  Administrator
                  • May 1999
                  • 88092
                  • 2,188
                  • 2,827
                  • United States [US]
                  • Florida
                  • Send PM

                  #53
                  Originariamente Scritto da Smasher
                  da li non si capisce molto,cmq sembra che abbiano disattivato i log di sistema (syslog-ng),oltre a provare un brute-force su vsftpd
                  insomma degli script kiddies,sono sicuro che hanno usano un rootkit per pulire le tracce(e magari per installare qualche backdoor)...

                  prova a controllare la /root/.bash_history,anche se a meno che non siano dei polli è probabile che l'abbiano cancellata..
                  il flie index.php che hanno sostituito difatti era fatto con Frontpage, azz un attacco così bello e poi usano Frontpage per fare l'Html, mi sono cadute le palle, sono ragazzetti che usano programmi già pronti.

                  Mi hanno anche parlato di knock daemons che rispondono "chiuso" alle chiamate sulle porte a meno che la chiamata non sia in codice da un altro programma.



                  Commenta

                  • RolloTommasi
                    Bodyweb Member
                    • May 2006
                    • 17
                    • 0
                    • 0
                    • Roma
                    • Send PM

                    #54
                    Originariamente Scritto da Smasher
                    hmm stai attento,potrebbero aver usato qualche rootkits e aver installato una bella backdoor

                    cmq hai capito da dove sono entrati?da ssh?
                    se mi passi i logs ti posso aiutare..


                    ps.installa una distro tipo debian , ci guadagni in sicurezza
                    Giusto. Ma se sono bravi forte hanno pure eliminato tutte le tracce e lasciato solo quelle che volevano.

                    In ogni caso, ti suggerisco di leggere quotidianamente o + spesso possibile i siti che informano sulle falle e i relativi problemi di sicurezza.
                    Come per esempio http://www.securityfocus.com/.

                    Cmq....nn mi preoccuperei tanto i defacer hanno dei tool che "scorazzano" per la rete alla ricerca di possibili "falle"

                    Ciao,
                    Rollo

                    Commenta

                    Working...
                    X