| Autor |
Mensaje |
Sebastian Santisi
Administrador Técnico
Edad: 42
Registrado: 23 Ago 2005
Mensajes: 17451
|
|
Gente;
Hackearon el foro (por lo que se ve, algún scriptkid aprovechando una vulnerabilidad del phpBB) y borraron el 100% de los archivos que lo conforman. Restauré desde backup; por lo que avatares y archivos subidos recientemente se perdieron.
Esto cayó justo después de que salí de casa para venirme al trabajo, así que no ando con mucho tiempo para hacer algo más pulcro.
El backup que restauré es de mayo del año pasado; no tengo tiempo de buscar y levantar uno más nuevo. En el transcurso del día, si tengo un rato, intentaré recuperar lo que se haya perdido.
Como es obvio, la vulnerabilidad que hayan usado para borrar, sigue estando; por lo que si nos hacemos blanco de otro ataque con la misma metodología probablemente caeremos de vuelta. De momento, no puedo hacer otra cosa.
Saludos;
Sebastián Santisi
20/I: UPDATEO con lo que posteé acá para mayor visibilidad: http://www.foros-fiuba.com.ar/viewtopic.php?p=264212#264212
Bueno; tras bastantes bastantes horas, pude recontruir qué pasó y cerrar el agujero por el cual entraron, por lo que puedo dar un poco más de detalles.
En primer lugar, nos eligieron totalmente al voleo. Cayeron al foro porque rankeábamos en la segunda página de Google preguntando por la existencia de determinado archivo, y una palabra clave.
Detrás de esto, estuvo (como decía en el mensaje) un albano, con IP 91.187.103.4, y para reforzar el estereotipo de scriptkid pedorro cabe destacar que llegó buscando el foro con la versión 1337 de G00g73 (...).
La vulnerabilidad que explotó le permitió obtener el hash del usuario de Claus, el cual revirtió con alguna herramienta externa. Con eso, pudo loguearse como administrador del foro.
Cabe decir que ahora que trackeé los pasos que realizó el flaco y revisé por updates críticos la página del proveedor de la versión de foro que usamos me encuentro con que dicha vulnerabilidad fue reportada el mismo día del lanzamiento de esta versión (lo cual fue hace ya casi 2 años) y que jamás hicieron ningún tipo de update y ni siquiera una noticia en su portal para avisar... como vulnerabilidad no sólo potencial sino además totalmente explotable y con exploits circulando, realmente es desastroso que en 2 años no hayan ni siquiera publicado ya no un release sino tan sólo un artículo al respecto. En fin.
Con el acceso como administrador; hizo uso de un módulo inexplicable de esta versión de phpBB que permite editar templates de estilos a través de la interfase web. Sí, permite editar templates... pero también permite editar cualquier archivo físico que esté en el servidor; ¡cualquiera!
Con acceso a escribir fuentes en el servidor; reemplazó un script del foro por un netshell, por lo que tuvo a su disposición una herramienta web para acceder al servidor.
Por suerte, debido a las características de configuración; el acceso estuvo totalmente circunscripto a realizar tareas con el usuario del servidor web; y dado que el foro corre de manera casi exclusiva, no hubo posibilidad de acceso a archivos por fuera de los propios del foro.
El salame este, con el acceso a la escritura del directorio raiz del foro realizó el defaced que ya vieron (está la captura en el thread de falcald) y no contento con esto (y, a mi gusto, totalmente desubicado) no pudiendosabiendo hacer nada más borró el 100% de los archivos del foro.
Siguiendo el resgistro de los pasos dados, las cosas potenciales que podría haber hecho, y lo que hizo, tomando en cuenta la cereza del postre de haber eliminado todo... no hay mucho más veredicto de que se trataba de alguien que no tenía la menor capacidad sobre lo que estaba haciendo sino que simplemente estaba siguiendo una receta. Si se hubiera limitado al defaced nomás, entendería la secuencia; pero si culminó haciendo bolsa todo, entonces se entiende unas ganas soberanas de joder. Siendo que quería joder, resulta inexplicable que no haya tocado el contenido de la base de datos o haber tocado cualquier cosa desde el panel de control, o al menos intentado buscar algo más en el servidor. Se limitó a seguir una secuencia de pasos que no incluyeron en ningún momento ni siquiera ver si había algo más en el servidor más allá del directorio del foro.
El saldo es la pérdida de varios meses de acumulación de archivos subidos como adjuntos al foro y de avatares alojados en el servidor; la pérdida no afecta a la estructura propia del foro dado que la versión que se encuentra productiva es una réplica de la versión de desarrollo que está instalada en Keyra. Por encima de eso, se perdieron algunos detalles como el banner de Neolo quien nos provee el hosting, y tal vez algún parche que le haya hecho al sistema de LaTeX.
En cuanto a los puntos explotados, es más grave lo potencial que podría haber pasado que lo que realmente pasó. En cuanto a lo que pasó, fue una combinación de más de un factor; y si bien luego de haberse ganado el acceso como administrador sólo la imaginación pone un coto a las múltiples maneras de joder posibles, tal vez parte de esto podría haberse evitado con un sistema más rígido de acceso de escritura a los diferentes sectores del foro; así como de la eliminación de todos los módulos y funcionalidades que actualmente no se encuentran en uso en el foro (en particular, la vulnerabilidad explotada es de la Knowledge Base, la cual no se usó jamás). En este momento la puerta de acceso que utilizaron se encuentra cerrada, pero varias de las puertas internas siguen abiertas; por lo que aún me queda trabajo por hacer para evitar algo similar en algún futuro. Las cosas que todavía no restituí de la versión del foro que estaba corriendo previo a la borrada, las repondré en el transcurso de esta noche.
Siendo que el foro está corriendo en un servidor sponsoreado por Neolo, me reservo el último párrafo en negrita (que asumo será de los más visibles) para señalar que los problemas que tuvimos con este incidente no son responsabilidad en lo absoluto por parte de ellos. Neolo nos brinda el servidor físico y la conectividad a la red; nosotros administramos el sistema operativo y somos responsables por el mantenimiento del foro y todo el software comprometido en él. Más allá de que lo sucedido no fuera responsabilidad de ellos; quiero destacar que el mismo lunes, practicamente de manera inmediata después de ocurrido el percance, se pusieron en contacto conmigo para dar una mano al respecto de lo que pasó preocupados al respecto; lo cual realmente agradezco, siendo que no existía la obligación y que se trató de algo de lo que no son responsables.
\MOD ( SS): 21/II: Saco Anuncio Global.
|
|
|
|
Última edición por Sebastian Santisi el Dom Feb 21, 2010 9:19 pm, editado 2 veces
|
|
   |
     |
|
Oso
Nivel 9
Edad: 37
Registrado: 01 Mar 2007
Mensajes: 2716
Ubicación: San Isidro
Carrera: Industrial
|
|
Groso SS.
Gracias por hacer andar el Foro de vuelta.
|
|
|
|
_________________
![[tex]\int Oso + 10\ dt...[/tex]](images/latex/a328513baa7a9ae1a5f22b69d45dd2a6b90980e8_0.png "[tex]\int Oso + 10\ dt...[/tex]")
|
|
  |
 |
|
Aprendis
Nivel 7
Edad: 28
Registrado: 15 Sep 2008
Mensajes: 379
Ubicación: Capital-Congreso
Carrera: Civil
|
|
  |
|
|
Sebastian Santisi
Administrador Técnico
Edad: 42
Registrado: 23 Ago 2005
Mensajes: 17451
|
|
| Aprendis escribió:
|
|
se puede saber desde donde se hizo?.
|
Albania.
(Y no encuentro ninguna imagen en internet del albanés espía que intercambian Los Simpsons cuando lo mandan a Bart a Francia... si no, ya la hubiera puesto...)
|
|
|
|
_________________
 ![[tex] ${. \ \ \ \ \ \ \ \ \ .}$ [/tex]](images/latex/d678cf273c99d2546c259db3422b3d968b184721_0.png "[tex] ${. \ \ \ \ \ \ \ \ \ .}$ [/tex]") ![[tex] ${\Large Usá \LaTeX, no seas foro...}$ [/tex]](images/latex/1e6580e1ed9e054ddefd65c0551c670c44f57f38_0.png "[tex] ${\Large Usá \LaTeX, no seas foro...}$ [/tex]")
|
|
| |
|
|
Aprendis
Nivel 7
Edad: 28
Registrado: 15 Sep 2008
Mensajes: 379
Ubicación: Capital-Congreso
Carrera: Civil
|
|
| |
|
|
Habermecanicus
Nivel 9
Edad: 35
Registrado: 06 Oct 2006
Mensajes: 921
Ubicación: Paseo Colón 850
Carrera: Mecánica
|
|
| Quería entrar a la sección CEI & P.U.!!! JAJAA
|
|
|
|
_________________
|
|
 |
|
|
LargoXXI
Nivel 9
Edad: 35
Registrado: 19 Sep 2007
Mensajes: 2059
Ubicación: Ciudad de Buenos Aires
Carrera: Electrónica
|
|
Bleh, repito las preguntas.
Por qué, si tuviste que hacer un backup de Mayo, al menos a mí, todo me sigue igual que antes? Cantidad de posts, firma, avatar, etc.
También los topics están igual que antes, y no desde Mayo del año pasado.
En qué consistió el backup? Por qué es que no notamos diferencia?
Y si vuelve a pasar, qué onda? Porque si vuelve a pasar pero todo sigue igual, cuál es la joda? No entendí muy bien eso.
Saludos,
|
|
|
|
_________________
"La violencia es el argumento de los incapaces"
|
|
 |
 |
|
Rada
Moderador
Edad: 37
Registrado: 10 Abr 2006
Mensajes: 2728
Ubicación: Caballito
Carrera: Informática
|
|
| |
  |
|
Sebacuervo
Nivel 4
Edad: 39
Registrado: 23 Oct 2006
Mensajes: 107
Carrera: Informática
|
|
Si se puede ayudar en algo avisen...
Gracias por restaurar el foro tan rápido SS.
saludos
|
|
|
|
_________________
Seba.
|
|
 |
|
|
Sebacuervo
Nivel 4
Edad: 39
Registrado: 23 Oct 2006
Mensajes: 107
Carrera: Informática
|
|
| Sebastian Santisi escribió:
|
| Aprendis escribió:
|
|
se puede saber desde donde se hizo?.
|
Albania.
(Y no encuentro ninguna imagen en internet del albanés espía que intercambian Los Simpsons cuando lo mandan a Bart a Francia... si no, ya la hubiera puesto...)
|
Esta es la web: http://www.uah-crew.eu/
|
|
|
|
|
|
| |
|
|
Amadeo
Nivel 9
Registrado: 20 Oct 2008
Mensajes: 1436
Carrera: No especificada
|
|
Mmmm... ¿vendetta? 
|
|
|
|
|
|
| |
|
|
sabian_reloaded
Nivel 9
Edad: 34
Registrado: 18 Jun 2009
Mensajes: 2925
Ubicación: El bosque platense
Carrera: No especificada
|
|
Creo Largo, desde mi total ignorancia informática, que lo que debe haber restaurado Santisi deben ser los php, no el foro entero. Y dado que la base no sufrió ningún cambio parece y que los php no son tan viejos, el foro anda casi normalmente.
Por ahí los avatares no andan porque hubo algun cambio en los php desde Mayo que involucraba a los avatares, pero no se, es muy cararrota que me ponga a opinar de esto.
|
|
|
|
|
|
  |
|
|
soymilrayita
Nivel 9
Edad: 40
Registrado: 21 Ene 2006
Mensajes: 1747
Ubicación: Lomas de Zamora
Carrera: Electrónica
|
|
| Aprendis escribió:
|
|
Que RATA el que lo hizo, y para que lo habrá querido hacer
|
Esa es la pregunta más interesante de todas. O sea, han hackeado páginas como la de Speedy o la de la AFA haciendo una protesta, pero en este caso, no le encuentro ningún sentido. salvo que son hackers intentando demostrar lo larga que la tienen
|
|
|
|
_________________
     
|
|
 |
|
|
nico_gnr
Nivel 8
Edad: 34
Registrado: 22 Nov 2008
Mensajes: 589
Carrera: No especificada
|
|
 |
|
|
Jotita
Nivel 6
Edad: 37
Registrado: 27 Ago 2007
Mensajes: 212
Ubicación: Hurlingham
Carrera: Civil
|
|
| mira que hay paginas para hackear eh! y lo hicieron con esta
|
|
|
|
_________________
![[tex]BOMBONERVM \ \ NON \ \ TIEMBLVM, \ \ LATVM[/tex]](images/latex/200eab18226c330f368f1877797f544d30c90fda_0.png "[tex]BOMBONERVM \ \ NON \ \ TIEMBLVM, \ \ LATVM[/tex]")
Jotita es ahora JCG
|
|
 |
|
|
|
|
Ir a página 1, 2, 3, 4, 5, 6 Siguiente
|
Ver tema siguiente
Ver tema anterior
Podés publicar nuevos temas en este foro
No podés responder a temas en este foro
No podés editar tus mensajes en este foro
No podés borrar tus mensajes en este foro
No podés votar en encuestas en este foro
No Podéspostear archivos en este foro
No Podés bajar archivos de este foro
|
Todas las horas son ART, ARST (GMT - 3, GMT - 2 Horas)
Protected by CBACK CrackerTracker365 Attacks blocked.
|
"
