Blog

Ukrajinska spam mafija i sibirska posla


Ukrajina je jedna od država koju je kriza i recesija zahvatila jače čak i od nas, a obično kad nastupi financijska neimaština ljudi se okreću raznim inovativnim idejama i zahvatima. Ovdje nema ništa inovativno, ali mi je izgledalo kao dobar uvod.

Posljednjih nekoliko dana moj blog je bio meta napada hakera, koji, srećom, nisu prouzročili neku veću materijalnu ili drugu štetu već su mi popili određenu dozu živaca, ali svakako me opametili i poučili jednim dobrim iskustvom. Na kraju krajeva ostavili mi i alat kojim su to radili.

Igrom prilika već duže vrijeme tražim neki alata koji nije ftp, kojim pristupam http protokolom klijentu na server te eventualno tim remote načinom rješavam određene zadatke i zahvate. Ovaj hack mi svakako to nudi. Baciti ću se na dekodiranje koda, analizu i uljepšavanje i tko zna, možda jednog dana i budem imal kontroliranu web aplikaciju za remote prisup podacima na serveru. Ok, nije da toga nema, ali ipak, svako zlo za neko dobro, ovo mi je free, a aplikacije obično koštaju te, na kraju krajeva, ova odlično radi svoj posao.
Kaj se desilo u mom slučaju. Negdje oko četvrtka prošlog tjedna mi je probijena lozinka za ftp pristup. Radilo se o kombinaciji malih i velikih slova te brojaka, dakle nije neka Ivan1 ili mojalozinka123 ili kaj ja znam kakva lozinka. Prema mjeraču snage bila je strong do very strong, ali ipak nedovoljno strong za ukrajinsku internetsku spamersku mafiju sibirskog podrijetla.
Ono što je mene osobno najviše isfrustriralo na kraju cijelog slučaja je to što se datoteka nalazila u root folderu, što sam je bio gledao prilikom čišćenja i što iz nekog razloga nisam uopće pomislio na nju te da bi ona mogla biti izvor problema. Ja sam tražio neki JS kod, neko neprepoznatljivo smeće negdje skriveno duboko na siteu. To je ona poznata činjenica, ako opljačkaš banku, najbolje mjesto za skrivanje plijena je policijska stanica. Tako je i ovo, neka bude očito. Svakako je upalilo u mom slučaju.
Radilo se o mr_config.php datoteci koja se igrom prilika smjestila odmah ispod problematične index.php datoteke. I radila je s njom kaj je htjela. Na slijedećem primjeru vidimo kaj se dešavalo kad je napadač pokrenuo mr_config.php datoteku.

Vidimo sve mogućnosti koje je napadač imao prilikom spajanja na moj site ovim putem. Da stvar bude još gora on je slobodno mogao šetati većinom servera i napraviti puno veću štetu od bezazlenog editiranja index.php datoteke i ubacivanja raznih linkova na forume koji su opet haknuti i napunjeni postovima reklamnog sadržaja. Marketinški gledano ovdje se radi o antireklami tako da ne vidim svrhu istog osim dokazivanja da ja ili mi to možemo.

Ovim putem stvarno moram zahvaliti administratorima Avalon.hr koju su si dali vremena i otkrili nametnika, ali i otkrili odakle dolaze spajanja. Radilo se o Ukrajini i Sibiru. Doduše spajanja su dolazila sa tih servera, ali sami napadač može biti i na drugom kraju svijeta, a opet može biti i kolega u uredu do mene.
Uglavnom, nakon što su otkrili stvar, maknuli je sa servera, očistili od mogućih ostataka, sačuvali kopiju za mene, ekipa je promijenila passworde s njihove strane kako ne bi ja lokalno imao zakačeni neki password cracker ili kaj ja znam na mom računalu pa da se stvar ne ponovi. Iako radim na Mac stroju i mogu eliminirati činjenicu da sam zaraženi, ali ipak zlu ne trebalo. Ono kaj sam ja nakon svega toga napravio je da sam uzeo par sati vremena i promijenio sve moguće zaporke koje koristim na internetu, ujedno sam si stavio i agendu da ću ih kompletno mijenjati svaka tri mjeseca.
Sami server, konkretno site je stavljen u read only mode, osim onih nužnih datoteka i direktorija koji trebaju za rad sitea. Aplicirao sam i korake koje sam spominjao u prethodnom postu oko zaštite WordPress stranica. Iz slika se vidi da je stanoviti hack predefinirani za WP sučelja.

Eto nadam se da će ova moja škola, zajedno s ovim postom, pomoći barem nekome u otkrivanju nametnika ili spriječiti uopće nastalu situaciju.
Ovim putem bih se prije svega zahvalio Avalon.hr crew, mom hosting provideru na profesionalno odrađenom poslu i samoj usluzi, te twiterašima i blogerima na savjetima, idejama, pomoći, ali i otkrivanju da mi je site hakiran 🙂 @gblagus, @MojPortal, @hrvojemihajlic, @DomagojPa, @tstankovic, @dsusanj te mnogima koji su prenijeli riječ dalje.

Oznake:, , ,

8 komentara

  1. uberVU - social comments
    31. ožujka 2010. Odgovori

    Social comments and analytics for this post...
    This post was mentioned on Twitter by buzz4web: Ukrajinska spam mafija i sibirska posla http://is.gd/b7Lrp [ blog post #buzz4web ]...

  2. 3kolone
    31. ožujka 2010. Odgovori

    sve je dobro što se dobro svrši, čini mi se da ovih dana i nešto više pišeš, kao za inat ;-)

  3. 3kolone
    31. ožujka 2010. Odgovori

    sve je dobro što se dobro svrši, čini mi se da ovih dana i nešto više pišeš, kao za inat ;-)

  4. Robi
    31. ožujka 2010. Odgovori

    Evo ja se odmah ulogirao na korisnički račun i potražio takvo nešto :)

  5. Robi
    31. ožujka 2010. Odgovori

    Evo ja se odmah ulogirao na korisnički račun i potražio takvo nešto :)

  6. Tomislav Buza
    31. ožujka 2010. Odgovori

    Ma vraćam se na stari ritam :)
    @Robi I? našao što?

  7. Tomislav Buza
    31. ožujka 2010. Odgovori

    Ma vraćam se na stari ritam :)
    @Robi I? našao što?

  8. #pratipetak #followfriday pored svih „napada“ ipak napisan! « Uspesi, padovi i život uopšte
    2. travnja 2010. Odgovori

    [...] jedan u nizu blog postova kod buzz4web je i  Ukrajinska spam mafija i sibirska posla CITAT: …..Posljednjih nekoliko dana moj blog je bio meta napada hakera, koji, srećom, nisu [...]

Odgovori

Vaša adresa e-pošte neće biti objavljena. Obavezna polja su označena sa *