rizome owned !!!

(click para ampliar)



Más que nada... preguntar si a alguien se le ocurre cómo ha podido pasar.

> Han encontrado el pass de mi FTP: 12caracteres(1simbolo,3números,8letras)
> Han capturado mi pass con un snifer o keyloger en mi PC.
> Han usado alguna vulnerabilidad extraña de mi web
(no tengo ninguna página al público, pues uso el server con fines personales/privados)
> Me han hackeado del lado de mi server (alojamiento compartido contratado a hostingLMI <-- basura, en diciembre que caduca, me cambio)


Imagino, que me recomendaréis que revise todas las páginas de mi web, por si ha dejado código oculto... ¿¿no??

PD: No puedo menos que sufrir de Síndrome de Estocolmo. En chico no me ha jodido nada más. Conservo el acceso, y sólo ha modificado mi index.php
Los únicos rastros que me han quedado... ha sido mi vergüenza..

Tu eres el tal "Saudi arabia Hacker?"

Bleend escribió:

¿ein?

Actualización:
No sólo fue mi "index".
Han sido TOOOODOS los index...
Y no sólo todos los index.html...
Sino los index.htm, index.php, y también los index2.php, index3.html... cualquier "index"

¿Cómo lo habría podido evitar?
No teniendo "index".

Las páginas que se leían desde "home.html", no han sufrido el ataque...
(menos mal, porque de esas, no tenía copia de seguridad)


Actualización 2
Creo que me han hackeado desde el server (alojamiento), pues mi cuenta de "cpanel", que está en los servers centrales, y la cual yo no puedo "editar", también ha sido hackeada, y ahora muestra el paso de S4udi^Sc0rpi0n.

rizome escribió:

Exacto este tipo de ataques se realizan "en masa", es decir, se descubre la vulnerabilidad X en cierto tipo de sistemas (como recientemente la de certificados en Debian) y entonces crean un pequeño bot que va probando de forma automática server a server a ver si alguno cuela y no está actualizado.


Básicamente es un script kiddie... xDDD

Así que si, cámbiate de hosting.

_CONEJO escribió:

ehm...

¿puedo aprovechar y preguntar de qué va un poco esa vulnerabilidad?
Ya sabes... "para tontos", nada serio ni académico...

rizome escribió:

Ummm para generar un certificado de seguridad se necesitan números aleatorios. Generar números aleatorios con un ordenador es jodidamente dificil porque ellos suman y comparan, no pueden decir números al azar. De hecho es común "plantar una semilla" (por lo general en base al tiempo) para que los números sean "aleatorios casi de verdad", es decir, en C puedes programar un programa, usar "rand" y SIEMPRE te generará la misma serie de número, lo ejecutes una y otra vez y siempre será la misma (aunque utilices rand). Por eso al poner la "semilla" se le dice "toma como base el tiempo actual". Como NUNCA podrás ejecutar un programa dos veces en el mismo instante exacto obtienes cierto azar.

Según leí, para generar los certificados se utilizaba como base una lectura de ciertas partes de la memoria "en frío", antes de iniciarla se leia. Es decir, tu tienes unos programas que ocupan la memoria, y meten datos en ella. Al terminar los programas la memoria se libera pero los datos siguen ahí (ocultos). Los certificados tomaban esos datos como punto de partida para generar números aleatorios. El bug en realidad era un parche para evitar que se accediese a memoria no inicializada, por lo que todos los certificados se generaban igual y de ahí el fallo.

Creo que eso fue lo que pasó (lo leí por encima) y creo que es así cómo funciona la memoria (desconozco si es así o no realmente, al menos creo que con los archivos en disco si es parecido)

(gracias)



PD: El síndrome de estocolmo se me está pasando... habia más "destrozo" del que inicialmente parecía.

y luego dicen los clientes que porque se les cobra tanto por un hosting...

a mi jefe le paso lo mismo, un marroki algo asi en todos los index.asp

Que mala suerte!

Ouch, lo siento risome, espero reestablesas pronto el 100%, estoy deacuerdo, juakearon el server en general y no solo tu cuenta, así que lo mejor será cambiarte de hosting. Saludos

bryanisimo escribió:

¿cambiarme?
¿Tú estas loco?

No no...
Ya lo arreglaron
Y parchearon el problema...


(click para ampliar)

Y lo dejaron tan bien solucionado... que ahora vuelven a visitarnos desde Turkía...

rizome escribió:

Cunato lo siento
En Argentina han huckeado al país

rizome escribió:

perdona osito no me rio de ti solo de la situacion

Yo me pregunto, los "hackers" no saben CSS del bueno? no conocen PS?, sus diseños son malísimos, usan gifs del año 300 a.fsm. Al menos deberían comprar un template, digo si van a vender su imagen, haganlo bien y de calidad, así ni ganas de seguir viendo sus trabajitos.










Nada como un hosting, confiable y seguro, incluso asegurado contra robos de DataCenter.

Dano escribió:

Entonces, es que no has visto el código (HTML)
El segundo, algo más cuidado.
Pero el primero (el árabe), un auténtico desastre:
Sólo mira cómo empieza:

Código :

<html xmlns:v="urn:schemas-microsoft-com:vml"
xmlns:o="urn:schemas-microsoft-com:office:office"
xmlns:w="urn:schemas-microsoft-com:office:word"
xmlns="http://www.w3.org/TR/REC-html40" dir="ltr">
<head>
<meta http-equiv=Content-Type content="text/html; charset=windows-1252">
<meta name=ProgId content=Word.Document>
<meta name=Generator content="Microsoft Word 11">
<meta name=Originator content="Microsoft Word 11">
<link rel=Edit-Time-Data href="r.files/editdata.mso">
[...]

No sé qué es peor...
Que te hackeen el server...
O que lo hagan con un documento en Word...

Al menos el turco... se ha molestado en hacer su página en "Microsoft FrontPage 6.0"

...

om...g, discula, donde estas hospedado?

Donde nunca deberías hospedarte.
En el peor estercolero de ladrones de basura de madrid.


Te lo recomiendo.

rizome escribió:

jajaja, cuanto cuesta el host?

neohunter escribió:

¿Cuesta tanto entrar en la web? ¡Si hasta ahbía enlaces de colorines!

0
Wow, pues estás jodidamente jodido, creo qeu deberas presionar el botón rojo de autodesctrucción de tu sitio antes de que se te biodegraden tus JPG's o te juakien la tienta de la impresora, te sirve de algo, deja veo si te puedo conseguir algo básico por aca, mandame un MP de que necesitas =), a ver si te podemos ayudar

Bleend escribió:

XDDDD

En todo caso solo te cambiaron los index, ahora estaba pensando y hace como 3 años me hackearon un dedicado a mi. El problema con los dedicados es que te cobran por transferencia mensual.

En ese entonces por un software que instale y tenia una vulneravilidad lograron tener acceso a mi server. Yo no supe hasta el mes siguiente. Entraron, llenaron el disco (1TB) de porno y lo usaron para proveer videos porno a no se quien carajos. Un mes sin que yo supiera ni viera nada.

Al otro mes me llego mi factura por mi dedicado, (debia llegar por 250 Dolares).

Llego por 2700 dolares.

Exceso de ancho de banda.

No saben. en serio no saben lo que es eso.

Los de Layered Tech no me perdonaron. Me dijeron que no es su culpa, y les rogue. Me desactivaron el server. Luego mis clientes casi em matan y me vi obligado a pagar esos 2700 dolares (porque si no me iban a demandar).

...

En cualquier servidor, dedicado o no, te cobran por exceso de transferencia.

Lo que fué un error por tu parte, fue no montar un script que te avisase del consumo de ancho de banda.
Cuando hay tanto en juego... hay que ser precabidos.

(dios... 2700€... qué putadon... ya lo siento... )

@neo mier...... y tuviste que sacar $2700, que mala vaina

@rizome: la verdad era muy novato en ese entonces.

@jpcw sip,,,