Insaider.lt hacked!

Ištikimesni insaider.lt tinklaraščio lankytojai tikriausiai pastebėjo, kad nuo vakar vakaro mano tinklaraštis buvo nulaužtas. Šiandien ryte vėl viskas veikia, todėl tik nedidelė lankytojų dalis spėjo pasigrožėti padariniais. Nenusiminkite, visus sugadintus failus ir kitas grožybes išsaugojau ir pademonstruosiu šiame įraše.

Blogą nulaužė kažkoks Indonezijos „hakeris” pasivadinęs Fran_73 (dabar google suindeksuos šį straipsnį ir programišius galės maudytis šlovės spinduliuose). Realios žalos nepadarė, tiesiog sugadino index.php failą ir sukūrė savo pristatomąjį pradinį failą (atsisiųsti failą .txt formatu). Savo pristatomajame puslapyje patalpino jo supratimu labai gražių Indonezijos panelių nuotraukas (tikriausiai lietuvaičių nematė). Viena nuotrauka tiesiogiai iš facebook buvo naudojama kaip paslėptas fono paveikslėlis (šio straipsnio iliustracija), o kita foto su iki puses uždengtu kūnų buvo kaip pagrindinė iliustracija (nuotrauka šone).

Taip pat sukūrė auto.php failą, kurį naudojo siuntinėti spamui el. paštu (atisiųsti failą .zip formatu). Pagrindiniame aplankale radau užkrėstą failą allnet.jpg, kurį teko ištrinti, nes antivirusinė pradėjo spygauti (nėra prasmės virusą viešai platinti šiame įraše).

Kokiu būdu buvo įsilaužtą iki šiol nežinau. Tačiau tai labai panašu į wodpress.com tinklaraščių atakas. Priėjimo prie ftp negavo, todėl greičiausiai bus kaltas koks nors įskiepis. Naudoju visus legalius įskiepius su naujausiomis versijomis, wp versija taip pat šiuo metu naujausia (3.3.1). Pateikiu šiuo metu naudojamų įskiepių pavadinimus ir versijas:

  • Akismet 2.5.4
  • All in One SEO Pack 1.6.13.8
  • BulletProof Security .46.7 (įrašyta po nulaužimo)
  • Conditional Captcha for WordPress 3.2.4
  • Facebook Revised Open Graph Meta Tag 0.5
  • FeedBurner FeedSmith 2.3.1
  • Google XML Sitemaps 3.2.6
  • IntenseDebate 2.9.3
  • lbcd78 Meta Keyword Generator 0.7
  • Lightbox 2 2.9.2
  • No IE Welcome 1.0.1
  • Page Lists Plus 1.1.8
  • Recent Google Searches Widget 1.40
  • SyntaxHighlighter Plus 1.0b2
  • Target Blank In Posts And Comments 3.2
  • WordPress.com Popular Posts 2.5.2
  • WordPress.com Stats 1.8.5
  • WordPress Related Posts 1.2
  • Puslapių numeravimas 2.81
  • WP-Polls 2.62
  • WP Security Scan 3.0.9 (įrašyta po nulaužimo)
  • WPtouch 1.9.37
  • WP YouTube Player 1.5

Galbūt jūsų manymų šiame sąraše yra nesaugių įskiepių? Keisčiausia, kad daugelį įskiepių naudoju ir kituose wp projektuose, tačiau buvo nulaužtas tik šis.

Kaip bebūtų, šiuo metu viskas veikia. Dėka mano pažįstamo, ipcoders.com hostingo administratoriaus problema buvo išspręsta per keletą minučių: atstatytas backup’as, pašalinti užkrėsti failai, įdiegta antivirusinė, kuri nuolat skenuoja visus mano talpinamus failus, pakeisti visi slaptažodžiai… todėl tokių „stebuklų” turėtų nepasitaikyti. Iš savo pusės su .htaccess apsaugojau wp-admin aplankalą, įdiegiau papildomos wp apsaugos įskiepius.

Daugeliui wordpress tvs naudotujų, kurie skaito šį įrašą, sukilo nerimas, kad galbūt wordpress tvs yra nesaugi ir jų projektams iškyla grėsmė. Deja, taip tikrai nėra. Jei naudojate naujausia 3.3.1 versiją, jums niekas negrasia. Norėdami užtikrinti saugumą įsidiekite vieną iš wp apsaugos įskiepių ir atidžiai perskaitykite Povilo straipsnį apie wp saugumą bei Ričardo patarimus.

EDIT: Problema išspręsta dėka Marijaus Urbono. Saugumo spraga buvo rasta wp temos timthumb.php faile. Informaciją, kaip ją pašalinti rasite šiuose straipsniuose: How To Fix The Security Issue in Timthumb ir How to fix Timthumb security issue?.

Facebook hacked?

facebook reklama

Internete paviešinta daugiau kaip 62 000 vartotojų vardų ir slaptažodžių, fiksuojami įsilaužimai į „PayPal“, „Gmail“, „Facebook“, „Twitter“. Vieni teigia, kad buvo sukurta programa, kurioje buvo surašyti jau sugaudyti el. pašto adresai  ir skripto pagalba jiems buvo spėliojami lengvi slaptažodžiai sutampantys su vartotojų vardais, pavardėmis ir t.t. Visa tai įvykdė  programuotojų (hakerių) grupuotė „Lulz Security“, kuri jau buvo nulaužusi JAV Centrinės žvalgybos valdybos interneto svetainę. Apie šį įvykti plačiau aprašo 15min.lt.

Man pavyko gauti šį sąrašą, kol jis dar buvo viešinamas internete. Nudžiugau jame neradęs nei vieno iš savo ar savo draugų el. pašto adresų. Patariu jums pasikeisti savo facebook profilio, gmail, paypal bei kitus slaptažodžius.

Įkeliu šį sąrašą, kad pasitikrintumėte ar jame nėra jūsų duomenų. Nors jei yra, manau, kad profilių jau netekote. Prisijungti į kitų facebook, gmail, paypal, twitter ir t.t. vartotojų profilius pasinaudojant šiuo sąrašu tikriausiai jau vėlu, nes daugumos slaptažodžiai jau bus pakeisti. Tačiau jei turite noro bei laiko galite bandyti laimę. Naudodamiesi šiuo sąrašu prisiimate pilną atsakomybę. Šį sąrašą su duomenimis patalpinau ne savo serveryje:  http://www10.zippyshare.com/v/16062159/file.html

DDoS ataka?

Viskas prasidėjo nuo to, kai įsirašiau Aardvark Topsites TVS. Niekam nepatarčiau kartoti šios klaidos. Iš pradžių keletą mėnesiu viskas buvo puiku, top.wps.lt puikiai veikė, žinoma pasitaikydavo keletas užsieniečių svetainių su „dideliu atvestų lankytojų skaičiumi”, tačiau nieko įtartino. Juos kartas nuo karto ištrindavau ir nekreipiau į tai dėmesio. Vėliau tokių registracijų vis gausėjo, o realaus projekto lankomumo nebuvo. Galiausiai projektą palikau likimo valei. Kadangi naudojuosi serveriai.lt paslaugomis žymių trukdžių nepastebėjau, o registracijos vis nesiliovė…
Praeito mėnesio vakare trumpą laikotarpį visi mano projektai tapo nepasiekiami. Žinoma susisiekiau su serveriai.lt ir jie patikino, kad viskas kuo puikiausiai veikia. Po kiek laiko vėl tas pats… Tuomet pats pradėjau aiškintis ir savo hostingo statistikoje atradau netikėtą naujieną: 80% užklausų iš Turkijos. Detaliau paanalizavus statistiką paaiškėjo, kad visas srautas nukreiptas į top.wps.lt/button.php failą, kurio dėka generuoja „unikalius” lankytojus. Šis generavimas „valgė” nemažai man skirto srauto, tad nedelsiant pašalinau visą projektą. Šį mėnesį vieną vakarą vėl projektai tapo nepasiekiami. Serveriai.lt pasiūlė persikelti į kitą serverį su dvejais branduoliais. Deja tam visai neturėjau laiko. Neseniai mano projektai visiškai buvo palaužti ir nepasiekiami ilgą laiką. Vėl pasidomėjus statistika paaiškėjo, kad tie patys Turkai atakuoja jau nebeegzistuojantį failą. Tuomet persikėliau į ankstesniame straipsnyje minėtą serverį bei planą, tačiau tai nepadėjo. Kreipiausi pagalbos į serveriai.lt jie teigė, kad 40-50 tūks. užklausų per dieną labai nedidelis kiekis… Bandžiau užblokuoti per htaccess konfiguraciją, tačiau apache klaidų logas toliau įrašinėjo užklausas.
Galiausiai teko wps.lt domeną perkelti į pažįstamo dar kuriamą hostingą Vokietijoje ipcoders.com Atakos buvo sustabdytos arba bent jau man nebejaučiamos ir toliau sėkmingai veikia visi mano projektai. Deja dėl visų šių nesklandumų kai kurie mano projektai neveikia 1-4 dienas…

Žemiau pateikiu atakų statistikos duomenis:
Rereralų nuorašas:
Top 30 of 8388 Total Referrers
# Hits Referrer
1 31298336 65.86% http://www.sohbet1.org/teyyare.php
2 2624192 5.52% http://www.guzelsozl…n.tr/omerci.php
3 2208551 4.65% http://www.turkcepor….com/frodo.html
4 2161013 4.55% http://www.harikaporno.com/frodo.html
5 1758872 3.70% http://www.sexbul.net/xpornofilm.php
6 1381772 2.91% http://www.cinselsex…com/toplist.php
7 1338659 2.82% http://www.ilahiciler.net/dua.php
8 1070046 2.25% http://www.canlitviz…age_rank665.php
9 1042950 2.19% http://www.canlipornom.com/qes.html
10 482887 1.02% http://www.itirafsit…om/itirafim.php
11 320763 0.67% http://www.damarsohbet.com/gurkans.php
12 274314 0.58% http://www.sohbet1.org/okut.php
13 185855 0.39% http://www.canlitvizlet.net/en.php
15 114671 0.24% http://www.turkishmirc.net/enya.html
16 111145 0.23% http://www.sohbetfm.gen.tr/img.php
18 84435 0.18% http://www.sexsohbeti.org/x.html
19 45760 0.10% http://www.xpornofil…/xpornofilm.php
20 45119 0.09% http://www.sohbet1.org/refreshin.php
21 41560 0.09% http://www.mirckurdu.com/qes.html
22 40408 0.09% http://www.videosayfasi.net/a/amk.html
23 28978 0.06% http://www.trakyaguv…com/toplist.php
26 17858 0.04% http://barzellette.a…s.com/barzi.htm
27 16297 0.03% http://www.forex-int…m/forex/for.htm

(Tik paspaudę ant paveikslėlių pamatysite kokybišką vaizdą)

Šiuolaikiniai hakeriai

Linksmas video, kuriame atskleidžiami tikrieji šiuolaikinių hakerių poreikiai