Взломали Billur...
 

Новость о взломе Billur'а:

Уважаемые Абоненты! Только для клиентов, которые размещают свои сайты на нашем сервере под номером 4, имя хоста: u4.billur.net, IP адрес: 94.75.224.25, НС сервера: ns9.billur.net, ns10.billur.net. Утром, 01 января 2010 года, в 08:52:39 по Ташкентскому времени была осуществлена хакерская атака на сервер u4.billur.net. В результате атаки были повреждены начальные (индексные) страницы всех сайтов расположенных на этом сервере, в том числе, был нанесен ущерб панели управления Plesk, что не позволяет запускать ее в штатном режиме. Данные сайтов, файлы, картинки, базы данных MySQL и PostgresSQL, содержание почтовых ящиков не повреждены и остаются в сохранности. Предварительная информация о злоумышленнике: Мужчина, из Турции, называющий себя по нику "Iskorpitx" . Это не первый случай виновником, которого он является. Подробную информацию о его проделках можете почитать: здесь, здесь и вот здесь. Этот инцидент касается только сервера u4.billur.net. Все остальные сервера функционируют в штатном режиме.

Источник. Новость от 01.01.2010 в правой колонке.

Добавлю, что злоумышленник на сайтах, размещенных на этом сервере (например: http://www.caravan-one.uz/, http://www.4office.uz/, http://www.setko.uz/ и так далее…)
Разместил вот такую вот страницу с анимацией.
(кстати, кто сможет перевести то там написано?)

https://img.uforum.uz/images/zjmmwdx4745894.jpg

Поди Windows стоял. Ну кто же must die ставит в интернет. Думать же надо :) (гы-гы-гы)

"Все сделано для гордости турков. Делайте что угодно только не будьте ламерами"
Дожили :)

гм
 

Дя. Список не маленький... Чуваку делать нечего чтоль. Почти сайты из всех стран мира...:naughty:

Не обязательно. Большого смысла ставить Postgres на нём нет. Под *nix куда лучше было бы. А под Windows ставить веб-сервера есть смысл, когда нужен MSSQL, .NET и тому подобная хр технология.

Прям вот так вот? Маразм.

Таки Линь —

Ответ сервера (заголовок)
HTTP/1.1 200 OK
Date: Sun, 03 Jan 2010 10:02:49 GMT
Server: Apache/2.2.8 (Fedora)
Last-Modified: Fri, 01 Jan 2010 02:00:15 GMT
ETag: "1468e71-41d-47c10bb90e9c0"
Accept-Ranges: bytes
Content-Length: 1053
Connection: close
Content-Type: text/html

Хм.. а как же непревзойденная безопасность? Или это только вирусов касалось? ;)

Ну наверное ребята из «Биллура» расскажут потом в чем была слабость.
(Была бы полезная информация, кстати…)

Оффтоп:

А может рутовый пасс был 1234 :biggrin:

Да вообще позорище - турок(!!!) хакнул.

Тут вы не правы, турки много сайтов за бугром хакнули, например недавно иранцы twitter хакнули.

Чем это ты его? По 25-му? А я по ssh пыталась...

Оффтоп:

Цитата:

Сообщение от Ruslan Khudyakov (Сообщение 334655) Оффтоп: А может рутовый пасс был 1234

А может и вовсе - qwerty :(

Ребят из компании Billur.net надо гнать шваброй - компания откровенно плюёт на своих клиентов.

Если всех, кто ведёт неверно бизнес, гнать...

Такие взломы идут на автомате. Взлом через OS обычно, ее уязвимость.
Пропустили пару обновлений версий ядра - уже уязвимы. А хостинговые админы не любят часто апгрейдить софт, ибо есть боязнь что какой-то из сайтов может "полететь"
Софт на автомате внедряет зашифрованный javascript во все файлы с названием index, default, header, footer c различными расширениями.
То, что взлом на автомате, легко увидеть - дата изменения всех таких файлов на ПК - почти одна и та же.
Я вообще сомневаюсь, что целенаправленно прямо только Биллур ломали. Обычно софт парсит поисковую выдачу и проводит атаку на уязвленные хосты

Такие взломы не редкость. Не обходят даже стороной таких хостеров как HostGator, Godaddy и др.

Да я понимаю. Но никак не соображу:
- Я полный ламер в ИТ но тем не менее - существует ли какой либо инструментарий с которым можно:
а) определить набор правила таким образом что бы на NS сервера можно было отправить только ns запрос определенной длины;
б) - запретить любые иные обращения со всех подсетей по всем остальным протоколам;
в) - уметь определять подозрения на атаку и своенвременно информировать администратора и блокировать IP-адрес;
?
Наверное более менее продвинутая "огненная стена" (типа CheckPoint ) умеет делать подобное... (Я даже слышал подобную гнусность про ISA Server ;) )

А уже нестандартное поведение на порту свитча... (IDM?) По моему подобное умеет делать не только сверофигенная Cisco (не знаю что это такое) но и остальные производители более\менее продвинутых "хабов" :)

Тем более что на форуме представлены 5 компаний занимающиеся подобными хреновинками ("Мягкая линия", HP, Cisco, IBM и кишкентейжумсак.... )

Цена вопроса - копейки... по сравнению со всем остальным

Давно пора было. Лузеры.

Ага, именно это я и хотел сделать

Эти турки, год назад хакнули, ни с того ни с сего - украинский форум спутникового телевидения... sat-forum.org ))))

Никакой привлекательности в выбранных объектах не было. Просто, где тонко - там и рвётся. Ломают не то, что выгодно, а то, что доступно.

Что не убило - сделало сильнее. Админы получили дозу адреналина и знаний про то, что такое бывает и как это предотвращать (постфактум конечно, но зато именно такие случаи и есть наилучшее средство усвоения навыков). Надеюсь случай будет должным образом задокументирован и опубликован в учебниках.

А есть кто из Биллура? серьезно, расскажите, как ломанули, через откуда пролезли и т.п. Другим будет полезно. Мне лично очень интересно.

Однозначно, подобной инфой нужно делиться.
Поддерживаю.

Федору значит взломали? У нас проблемы с сусликом были.

Фряху надо ставить, или дебиан на крайний случай. Если уж донастраивать права лень.

Думаю что пролезут в любом случае - надо ставить фиревалл, а сервера размещать в DMZ... лучше если фиреваллов будет два как минимум.

И какой нить ISS\IDS ставить... всем хостинг провайдерам. А то берут бабло за хостинг, а ничего обеспечить не могут. Куда денежку девают непонятно.

Ну два фаирвола уже через чур, одного PF-а более чем достаточно.
А вот SSH-порт закрыть надо было, конечно, для не своих адресов.
Сервер забугорный, большего не придумать для него. ;)

По большому счету, хостер должен иметь свой ДатаЦ и тогда спокойно держать сервера в DMZ, а не перепродавать видимые отовсюду железки.

Федору на сервер... Оригинально

Хм... а разница? Типа демон апач под RHEL отличается от демона апач под Федору?

Дефолтные настройки юзер-ориентированной ОС отличаются же.

Тем что, федора это тестовая площадка для Red Hat, а RHEL стабильный продукт. Вместо RHEL можно заюзать CentOS или какой нибудь другой основанный на RHEL.

Так... давайте мне курс по федоре... это деривация RHEL (Red Hat Enterprise Linux) или некая десктопная сборка (ограниченая по функционалу, подключениям, безопасности, времени жизни etc) на базе RH (Red Hat)?
Если эта Федора просто деривация RHEL не понимаю почему нельзя поставить тот же самый ISS\IDS перед ним (ними... хостами на базе "чегоугодно")?
Если эта Федора некая десктопная сборка RH - то на ней нельзя (как я понимаю) настроить некий IDS и Firewall (я слышал про какой то IPTable)... опять же возникает вопрос о неком централизованном IDS "перед" хост-площадкой... нельзя? Дорого? Нет ни одного опенсурсного ISS\IDS которая позволила бы свести к минимуму саму возможность атаки на хосты?
Мужики... если у админа (под Линь) не хватает времени на настройку превентивных мер защиты хостинг-площадки стоит ли вообще провайдеру этим заниматся? :)

Когда редхат прикрыли как проект, из него сделали RHEL, который поддерживается только Red Hat. В тот момент Fedora отпочковалась и поддерживается открытым сообществом, развивается дальше незавсимо от RHEL (хотя редхат ее немного подкармливает).

CentOS - открытый продукт, собранный из тех исходников RHEL, которые доступны свободно (почти полная бинарная совместимость). Однако редхат его не поддерживает вообще.