Am hosting mişto

Nu, nu este reclamă, dar trebuie să îi laud pe băieţi. În seara următoare primului hack asupra site-ului meu băieţii de la hosting au trimis (încă) un mail clienţilor, printre care şi subsemnatul.

[…]

Acest atac s-a datorat faptului ca hackerul detinea userele si parolele de la ftp care le-a procurat ori prin virusii instalati pe calculatorul utilizatorului (stim ca suna cam aberant dar e adevarat) ori…

[…]

Tot ce trebuie sa faceti pentru a nu intampina astfel de probleme este sa aveti o parola puternica, nu "andrei1986" ci ceva de genul "&#andhj2(*", cu cat parola este mai lunga si contine si caractere speciale cu atat sunteti mai bine protejat.

Urmatorul pas care trebuie sa-l faceti dupa ce gatati de citit acest email este sa schimbati parola la ftp.

Mi se pare un mail foarte de bun simţ şi foarte OK. Dar io, ca vaca cu rulmenţi ce le răspund? Doar mă ştiţi, sigur pe mine şi coios:

Nu am virusi. Parola avea X+1 caractere. […]

Apoi am stat să mă gândesc: dar oare eu de unde ştiu că nu am viruşi? După ce am văzut că se împute treaba m-am apucat să scanez sistemul, dar nu aşa, la întâmplare, ci în mod organizat, academic, vorba aia.

Să vă povestesc de testarea academică a unui antivirus. Pentru că sunt un mândru posesor de site care are acces şi la înregistrările log-urilor (adică la cine vine şi cu ce gânduri) m-am uitat prin ele, prin loguri. Bine, n-am văzut nimic suspect şi asta încă mă îngrijorează (acum scriu, dar de fapt fac de gardă la site) însă mi-am dat seama că nu mă pot lupta cu turcii dacă nu ştiu cum mă atacă mişeleşte pe la spate.

Aşa că am pornit sistemul cu Windows-ul meu PE, care merge de pe CD şi care nu are nicio treabă cu hard disk-ul decât dacă vreau eu. Aşa că din log-uri am luat doi exploiţi (nu spun cum se face că nu vreau să am contul suspendat) pe care i-am salvat pe hard disk. Am instalat BitDefender Online Scanner care merge doar pe Internet Explorer, am instalat controlul ActiveX (un fel de program), şi-a făcut singur update, etc. Şi l-am lăsat să scaneze câteva ore. Aşa arată:

Nu a găsit nimic suspect. Iată rezultatele:

BitDefender Online Scanner

 

 

Scan report generated at: Tue, Apr 21, 2009 – 09:11:06

 

 

 

Scan path: C:\;D:\;E:\;F:\;

 

 

 

 

 

Statistics

Time

01:30:31

Files

122039

Folders

3587

Boot Sectors

0

Archives

12127

Packed Files

4623

 

 

Results

Identified Viruses

3

Infected Files

3

Suspect Files

0

Warnings

0

Disinfected

0

Deleted Files

2

 

 

Engines Info

Virus Definitions

2849535

Engine build

AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)

Scan plugins

17

Archive plugins

45

Unpack plugins

7

E-mail plugins

6

System plugins

4

 

 

Scan Settings

First Action

Disinfect

Second Action

Delete

Heuristics

Yes

Enable Warnings

Yes

Scanned Extensions

*;

Exclude Extensions

 

Scan Emails

Yes

Scan Archives

Yes

Scan Packed

Yes

Scan Files

Yes

Scan Boot

Yes

 

 

 

Scanned File

 Status

C:\Documents and Settings\1\My Documents\exploit1

Infected with: Backdoor.PHP.ALI

C:\Documents and Settings\1\My Documents\exploit1

Disinfection failed

C:\Documents and Settings\1\My Documents\exploit1

Deleted

C:\Documents and Settings\1\My Documents\exploit2

Infected with: Virtool.PHP.Ronad.A

C:\Documents and Settings\1\My Documents\exploit2

Disinfection failed

C:\Documents and Settings\1\My Documents\exploit2

Deleted

D:\PROGRAMS\FOUNDSTONE\FPIPE.EXE

Detected with: Application.Fpipe.N

D:\PROGRAMS\FOUNDSTONE\FPIPE.EXE

Disinfection failed

D:\PROGRAMS\FOUNDSTONE\FPIPE.EXE

Delete failed

 

 

 

 

 

 

 

Primele două fişiere, respectiv exploit1 şi exploit2, sunt exploiţii plantaţi de mine pentru a testa antivirusul. Cel de-al treilea fişier este de pe CD-ul cu Windows PE care nu se afla în unitatea optică în momentele atacurilor, deci nu are legătură. Şi nici nu cred că este virus ci o aplicaţie criptată.

Eu stau şi mă gândesc că dacă a recunoscut nişte fişiere text ca fiind exploiţi (şi erau) sigur găsea ceva dacă era un executabil dubios pe undeva. De unde trag concluzia că au intrat la mine în sistem folosind un exploit pentru sistemul de operare, care nu era tocmai actualizat. Morala: fără Windows Update eşti mâncat de viu.

Morala a doua: este bine să apleci urechea la ce zic cei de la hosting pentru că au acces şi la unele treburi la care tu nu ai. Şi au avut dreptate, de când am renunţat la vechiul Windows nu pare să mai fie vreo problemă. Şi nici nu mai sunt aşa de paranoic.

Deci ăia când au văzut că le tai macaroana au atacat sistemul meu, după ce în prealabil atacaseră site-ul. Ghesi a spus asta. Iar eu… le dau dreptate. Dacă erau alţii mă trimiteau la mama pachet şi-mi ziceau să mă descurs singur, lucru aproape imposibil pentru că nu am acces la unele treburi. În fine, bine că s-a rezolvat.

În continuare stau de pază la site că văd nişte mişei cum mă probează şi scriu ca să nu mă plictisesc.

12 Comentarii

  1. puiu 23 aprilie 2009 la 18:20 - Raspunde

    Eu unul m-am luat cu mâinile de cap și-am tăiat-o la peretele estic să mă rog la regele blogspot :woohoo:
    Sau am greșit peretele? 😀 😉

    • Robin Molnar 23 aprilie 2009 la 18:46 - Raspunde

      😆 Dacă şi pe blogspot te hackerşte careva e grav, ăia sunt angajaţi fie de Google, fie de Yahoo! fie de Microsoft. 😆 Nici hackeri chinezi (ăia chiar nu se înmulţesc decât dacă plăteşte guvernul vreo chinezoaică) n-au reuşit să-l spargă. Şi ăia au timp şi răbdare. 😆

  2. Mihai Todor 23 aprilie 2009 la 19:04 - Raspunde

    Ai cam multă încredere în Bitdefender… 🙂 Eu l-am folosit la servici multă vreme (că nu prea aveam încotro) şi m-am pomenit într-o zi cum mi se deschidea automat IE-ul din 5 în 5 minute şi naviga către ceva site obscur, iar Bitdefender zicea să stau liniştit că nu am nici un fişier infectat 😛

    Bine, am păţit ceva similar pe PC-ul de acasă pe care folosesc Kaspersky. Cică îşi băgase ceva troian coada în exe-le de la Firefox şi mi-a deschis un port la calculator, permiţându-i unui nemernic (drumm3r parcă îl chema) să îmi acceseze PC-ul. Aparent, tot ce reuşise să îmi facă a fost să îmi schimbe wallpaper-ul de pe desktop, deşi am impresia că putea lejer să îmi formateze HDD-ul… Îmi aduc şi acu\’ aminte cum mi-a picat faţa când m-am pomenit cu wallpaper-ul schimbat 😀 Oricum, a cam fost vina mea pentru că ţin minte că am rulat ceva aplicaţie, în ciuda faptului că urla antivirusul, dar, nu mă aşteptam să nu detecteze faptul că drăcia încearcă să modifice exe-le de la Firefox şi apoi că îmi deschide acel port…

    PS: vezi că noi (muritorii de rând) nu putem accesa linkul ăla de la Ghesi 😛

    PS2: Blogspot aparţine de Google, deci mă îndoiesc că şi-ar hackeri singuri propriul serviciu 😛

    • Robin Molnar 23 aprilie 2009 la 19:10 - Raspunde

      😆 Dacă BitDefender ţi-a zis că nu şi tu nu ai ascultat cine e de vină? 😆 Şi nu ştiu la care link te referi. ❓ Şi Google plăteşte hackeri care să-i testeze sistemele de securitate ca să vadă ce e de reparat. 😉

  3. Mihai Todor 23 aprilie 2009 la 19:18 - Raspunde

    Mă refer la linkul [url=http://www.ghesi.com/afiliere/idevaffiliate.php?id=6484]ăsta[/url]. 🙂

  4. Mihai Todor 23 aprilie 2009 la 19:29 - Raspunde

    Normal că pe tine te duce unde trebuie, că tu ai cont şi eşti logat 😆 😆 😆

    • Robin Molnar 23 aprilie 2009 la 19:31 - Raspunde

      😆 Dude, linkul ăla merge bine. 😆 Trebuie să ducă la Ghesi.com. 😆

  5. Mihai Todor 23 aprilie 2009 la 19:49 - Raspunde

    Bă, uită-te mai atent la [url=http://www.ghesi.com/afiliere/idevaffiliate.php?id=6484]link[/url] că indică spre altceva 🙂

    Că face automat redirect la domeniu aia e partea a 2-a. Credeam că vrei să ne araţi altceva 😛

    • Robin Molnar 23 aprilie 2009 la 20:13 - Raspunde

      😆 Man, dar e greu. 😆 Normal că are ceva în el. ID-ul meu. 😆 L-am luat cu Copy/ Paste din banner. 😆

  6. Articole de Presa 24 aprilie 2009 la 15:35 - Raspunde

    Si eu am site gazduit pe 3iX. Probleme grave nu am avut, pana acum. Pot sa ma consider multumit. Doar cateodata vad ca se incarca mai greu situl.. are momente.

    • Robin Molnar 24 aprilie 2009 la 20:17 - Raspunde

      😆 Prima dată am instalat Joomla! pe lx.ro acum mulţi ani, împreună cu 314ra2. 😆 Tot la fel mergea ca şi pe 3x.ro. 😆

Lasa un raspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Vreau să fiu părtaș la faptă. Poți, de asemenea, să fii părtaș și fără martori.

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.