Mam za sebou odpaneni :-) muj server poprve hacknut

to sem byl jááááá

Priznam se, ze ackoli je pocitacova bezpecnost muj denni chleba, hackerske techniky jsem zatim nestudoval.

Tak to asi nebude chleba, jen rohlík.

Na Youtube má ten tvůj fanda nějaké tutorialy, např. watch

Ak robi niekto nieco v PHP tak o tom ma vediet HODNE, aby to nebolo derave. Odkial si mal ten PHP kod?
Kto spravuje server? (je mozne ze je neopatchovana nejaka diera v OS/serveri ale to nepredpokladam)

Ja naopak jsme spravcem toho serveru a ty php veci jsem nedelal. Podezrivam prave php ( ktere je tak 4 mesice neupgradovane, taktez apache ). Weby jsem nedelal ja a jsou hacknute do jednoho. Neco delal bracham, neco je joomla, neco dalsi dva lide a neco je jen jednoduchy triradkovy script, ktery ma vypisovat, ze uvedena domena na serveru neni hostovana.

Zameral by som sa hlavne na ten PHP kod. Musi si to pozriet niekto kto ma o PHP paru. Hlavne ci su osetrene vsetky vstupy, premenne, inicializovat premenne pred pouzitim, vypnut PHP globals, ak tam je aj SQL tak tam si davat 3x pozor a poriadne osetrit vsetky vstupy, radsej byt paranoidny a vyhodit zo vstupov vsetky znaky okrem pismen :)

Ja si opravdu nemyslim, ze to byla chyba v php kodu, ale v php interpreteru nebo v samotnem apache2. I index.php s obsahem:

<?php
header( 'Location: stredisko.radobyl.eu' ) ;
?>

nebo

<?php
header("content-type: text/plain");
echo "Adresa \"".$_SERVER["SERVER_NAME"]."\" neni hostovana na tomto serveru\n";
echo "Address \"".$_SERVER["SERVER_NAME"]."\" is not hosted on this server";
?>

byly nahrazeny. Vsechny do jednoho

No ved ak ti zmeni jeden subor tak moze zmenit vsetky. Aj cez chybu v PHP, ktora napr. dovoli spustit prikaz systemu apod. Diera moze byt aj v PHP kode, aj v serveroch, to sa neda povedat kym ti to nepovie ten hacker :)
Najprv zaplatuj, ale skontrolujte si ten PHP kod, hlavne osetrenie vstupov (premenne, GET/POST) a pristupy do databazy (taktiez osetrenie vstupov).

Samozrejme, uz mam odzaplatovano schvalne jsem jim napsal na ten email dotaz Ano, to jsem pochopil, ze kdyz prepsal index, tak bude pravdepodobne schopny prepsat cokoli v tom adresari a podadresarich. Jinam by se dostat opravdu nemel, kazda domena je zamcena ve svem adresari a pro ten apache i toho uzivatele se to jevi jako root. Proste to vys nejde. To co jsem uvedl jsou index.php ze dvou domen. V tech domenach neni vubec nic jineho, jen tohle, tam to opravdu zneuziti php kodu byt nemohlo.

To vypada na nejaky pristup pro zapis, ktery vyuzil ve svuj prospech.
Asi by ses mel zamyslet nad tim, jaka prava k jakym souborum ma svet a kde vsude(vsechna mista) je mozne zapisovat.
To je vzdy slabina, misto kde je mozne neco zapsat "ze sveta".

Pokud jsem to nenapsal spravne, necht me nekdo opravi, ja se zlobit nebudu, rad se poucim.

Můj tip je podstrčení zákeřného kódu namísto registračních údajů.

S najväčšou pravdepodobnosťou ide o zneužite bezpečnostnej chyby v Joomle. Akú verziu si tam mal nainštalovanú? Určite nainštaluj poslednú verziu.

Nájdenie a následné zneužitie chyby v tvojich vlastných skriptoch je oveľa menej pravdepodobnejšie, takže ďalšími možnosťami sú ostatné open-source aplikácie, ale Joomla je podľa mňa kandidát číslo jeden (bol to môj tip ešte predtým, než si napísal, že si ju tam mal).

Jenze ona je jen na jednom z webu ostatni jsou jine psane v php. Dale jsem uvedl, ze prepsany byli i indexy webu, kde jedinym PHP souborem jsou uvedene kratke vypisy bez jakychkoli promennych.

Tak s tou joomlou mas pravdu. Mam smazane vsechny ucty v databazi a jsou nahrazeny jednim, ktery se ma email FucK@radobyl.eu