JBTALKS.CC

标题: 网站中 Hack, 为什么？ [打印本页]

---

作者: 宅男-兜着走    时间: 2011-11-30 11:29 PM
标题: 网站中 Hack, 为什么？


这次是真的中hack 了， 可是我很不明白。

1. 非常非常单纯的 HTML site。
2. 没提供上载。
3. Password 是很复杂的pass。

感觉上像是 Backend Control Panel 进去的。
怎么做到的？？？？？


到底是 Hosting 的问题， 还是我们自己本身没在 backend 设置好？？？
请高手指点迷津！


***补充， SSH Enable 的 LINUX hosting。

---

作者: goodhermit95    时间: 2011-11-30 11:32 PM
怎样中法

---

作者: 宅男-兜着走    时间: 2011-11-30 11:35 PM
回复 2# goodhermit95


    怎样中==？？ 我都不知前不知尾。
    整个网站封面被 replace 掉咯。
   
    然后就有他们国家的国旗， 网站黑黑， 写了侮辱性的字眼， 然后还放了很毛骨悚然的音乐。
    （他们植入一张 htm page. 在我的 root）

---

作者: goodhermit95    时间: 2011-11-30 11:40 PM

回复  goodhermit95


    怎样中==？？ 我都不知前不知尾。
    整个网站封面被 replace 掉咯。
    ...
宅男-兜着走 发表于 2011-11-30 11:35 PM

    大概是走漏洞吧

---

作者: 宅男-兜着走    时间: 2011-11-30 11:42 PM
回复 4# goodhermit95


    来， 分享下你知道的东西， 怎样知道有漏洞？？
    有没有漏洞分析工具之类的东西？
   
    漏洞是怎么说？ Access Permission ?

---

作者: goodhermit95    时间: 2011-11-30 11:46 PM

回复  goodhermit95


    来， 分享下你知道的东西， 怎样知道有漏洞？？
    有没有漏洞分析工具之类 ...
宅男-兜着走 发表于 2011-11-30 11:42 PM

    networking的东西我不了解
不过你的server有只开80 port其他block到完吗

---

作者: 宅男-兜着走    时间: 2011-12-1 12:10 AM
回复 6# goodhermit95


    这个是 hosting 公司的掌控啊== 。。。
    default 的话， 我看到 80, 21(FTP), 25(SSH), 2028(CPANEL) 其他就不知道了。
   

  基本上就一个网页界面给你操控可以， 我们可以控制的只是 Add/Edit Account,
  FTP Access, SSH 就降

  我完全mong cha cha, 不知道什么问题。

---

作者: Super-Tomato    时间: 2011-12-1 03:56 AM

这次是真的中hack 了， 可是我很不明白。

1. 非常非常单纯的 HTML site。
2. 没提供上载。
3. Passwor ...
宅男-兜着走 发表于 2011-11-30 11:29 PM

哪個網站啊，讓這裡潜水的高手去看看吧

---

作者: weeming21    时间: 2011-12-1 04:00 AM


存html?
网站完全没有用script? 也没有可登陆的后台吗（不要算cpanel的login）？
方便提供网址吗？
被挂的黑页是不是印尼国旗？ 最近印尼足球输了后许多网站都被挂上他们的国旗，其中还包挂 阿吉哥 的 1malaysia.com.my

---

作者: ~Zero    时间: 2011-12-1 09:34 AM
如果你是 shared hosting，那可以怪罪 hosting 公司。
如果你是自己的 dedi server 还是 vps，那大概是你的防御不足。

---

作者: 宅男-兜着走    时间: 2011-12-1 09:55 AM
回复 8# Super-Tomato


    http://www.easylinkwebs.com/
    我朋友的。

---

作者: 宅男-兜着走    时间: 2011-12-1 09:56 AM
回复 9# weeming21


    没错， 后台是 CPanel, 我上网查了下， 我又觉得是 Cpanel 的bug。

---

作者: 宅男-兜着走    时间: 2011-12-1 09:56 AM
回复 10# ~Zero


    是 shared host 的。 check 了。

---

作者: 宅男-兜着走    时间: 2011-12-1 10:18 AM
回复 9# weeming21


    我不知道什么国旗啦， 青色的， 有月亮星星。

---

作者: Super-Tomato    时间: 2011-12-1 12:48 PM

回复  Super-Tomato


   
    我朋友的。
宅男-兜着走 发表于 2011-12-1 09:55 AM

噗～～～ 才開始不到一個月就這样，但同一台 server 中除了幾個應該是 blog 的漏洞被黑之外就没看到這样問題了，所以 cpanel 漏洞問題應該是可以排除，不然同一台主機很多站都可以同时挂了。這是下載开源的系统吧？如果不是官网下載的話就去檢查看看有没有在當中已經被人植入後門，不然你就要等 weeming 帮你查看看了

---

作者: 宅男-兜着走    时间: 2011-12-1 01:40 PM

噗～～～ 才開始不到一個月就這样，但同一台 server 中除了幾個應該是 blog 的漏洞被黑之外就没看到這 ...
Super-Tomato 发表于 2011-12-1 12:48 PM

    嗯 ... 不不不不，不是开源系统。 只是个被命名为 .php extension 的网页罢了。
   
     我看了里面的 code, 就基本上是很单纯的 website 而已啊 ==

    一点script 都没， 不要说 javascript 啦。

     你所谓的 blog 漏洞是怎么说？

---

作者: Super-Tomato    时间: 2011-12-1 05:27 PM

嗯 ... 不不不不，不是开源系统。 只是个被命名为 .php extension 的网页罢了。
   
     我看 ...
宅男-兜着走 发表于 2011-12-1 01:40 PM

既然不是開源的，那我就不清楚了，等 weeming 來給你看法吧

---

作者: goodhermit95    时间: 2011-12-1 06:41 PM

回复  goodhermit95


    这个是 hosting 公司的掌控啊== 。。。
    default 的话， 我看到 80, 21( ...
宅男-兜着走 发表于 2011-12-1 12:10 AM

    随便用个语言弄个port scanner 试试？
scan到不该开的port就去鸟hoster

---

作者: weeming21    时间: 2011-12-1 08:32 PM
刚看了那个网站，看上去是没有什么可利用参数

有几个问题要确认下：
1. 全文件都是自己开发吗？
2. 如果某些部分是下载的，那么所有文件都没有php tag吗？
3. 有没有安装什么开源的程序在sub domain?  e.g: xxx.easylinkwebs.com
4. ftp的密码也是很复杂？

如果不是下载来的模板早已被植入后门，而网站整体也没有server side scripting且不考虑密码外泄的情况下，就很有可能是服务器本身的设置不够安全，导致被人跨站篡改你的首页。

或许，你私底下pm我你cpanel的login，我帮你看看那个服务配置和网站有没有被留下后门

---

作者: Super-Tomato    时间: 2011-12-2 12:36 AM

嗯 ... 不不不不，不是开源系统。 只是个被命名为 .php extension 的网页罢了。
   
     我看 ...
宅男-兜着走 发表于 2011-12-1 01:40 PM

不過為何你的空間還要留着没甚麼用的資料夹呢 (如： /testing/)

---

作者: Super-Tomato    时间: 2011-12-2 01:22 AM

    嗯 ... 不不不不，不是开源系统。 只是个被命名为 .php extension 的网页罢了。
   
     我看了里面的 code, 就基本上是很单纯的 website 而已啊 ==

    一点script 都没， 不要说 javascript 啦。

     你所谓的 blog 漏洞是怎么说？
宅男-兜着走 发表于 2011-12-1 01:40 PM

甚麼只有 .php extension 啊，你朋友那個網站的 cinema 就是祸首，直接開放給人上傳檔案，所以自然就被放後門了 =_=

---

作者: weeming21    时间: 2011-12-2 02:49 AM
刚才透过directory index找到了黑客在你网站留下的后门，看了里面整体构造后
总结下：
你的cinema 那里有严重上传漏洞
你的网站被人植入了两个后门，一个ddos script
整个服务都可以看到directory index, 这样十分不安全

至于空间伤方面，估计也是被人root了，
http://ranggipsideas.com/Domain.php 这里头的估计都是被人黑了
里面还有和你同台服务器其他网站的mysql登陆资料

建议你清除后门后，换hosting吧

---

作者: 宅男-兜着走    时间: 2011-12-2 11:34 AM

甚麼只有 .php extension 啊，你朋友那個網站的 cinema 就是祸首，直接開放給人上傳檔案，所以自然就 ...
Super-Tomato 发表于 2011-12-2 01:22 AM

    厉害， 你怎么看到的 ？？ 我也是刚问了才知道， 得却， 那个上传的站是学校的project 来的。

---

作者: 宅男-兜着走    时间: 2011-12-2 11:36 AM
回复 22# weeming21


    抱歉， 那个 后台的登入我自己都忘记了。

---

作者: weeming21    时间: 2011-12-2 05:50 PM
怎么首页变成这样了？
Just got your Email :p

Hello hacker:
OK, do hack again,

:p

by stupid haCker

---

作者: 宅男-兜着走    时间: 2011-12-2 11:29 PM

怎么首页变成这样了？
Just got your Email :p

Hello hacker:
OK, do hack again,

:p

by stupid ...
weeming21 发表于 2011-12-2 05:50 PM

哦哦， 我找那个黑客聊天嘛， 他都留个邮箱在那里。

Dear hacker ( Stupid haCk3r),


hi, i just found that you hacked my website. can you share with us
what security problem we facing? and how did you hack into our site?
by backend?

Thanks.
SOMEONE

-----

Hi,

send me money ill tell you the bug


----

Hello hacker:

OK, please do hack again, to prove that the bug is existing : )
I want to see that site down again b4 today, then i will consider to send you $$


Regards,
SOMEONE

---

作者: weeming21    时间: 2011-12-2 11:48 PM

哦哦， 我找那个黑客聊天嘛， 他都留个邮箱在那里。

Dear hacker ( Stupid haCk3r),


hi, i ...
宅男-兜着走 发表于 2011-12-2 11:29 PM

难怪~~~
在这之前你有把他留下的后门删除吗？
有把cinema那个部分删除吗？

如果说你有把image folder里面那两个后门删除，然后也删除了cinema， 他照样可以hack进去的话，就是server side问题了

---

作者: 宅男-兜着走    时间: 2011-12-3 12:08 AM
回复 27# weeming21


    哦， 叫我朋友弄了， 但是太迟了。
    == 。。。 没关系。 反正无伤大碍。
   

    比起这个， 另外个比较重要。
    我要怎么知道我的host 是安全的？

---

作者: weeming21    时间: 2011-12-3 12:34 AM

回复  weeming21


    哦， 叫我朋友弄了， 但是太迟了。
    == 。。。 没关系。 反正无伤大碍。
  ...
宅男-兜着走 发表于 2011-12-3 12:08 AM

这个很难三言两语就说清楚的，一般只能研究下基本的服务器安全配置有没有做足

---

作者: Super-Tomato    时间: 2011-12-3 10:51 AM

厉害， 你怎么看到的 ？？ 我也是刚问了才知道， 得却， 那个上传的站是学校的project 来的。
: ...
宅男-兜着走 发表于 2011-12-2 11:34 AM

不是厉害，而是你朋友租用的那台主機在没 indexing 的情况下就可以瀏灠檔案列表，而 weeming 和我說看到後門了後我們就進去到處看看發現了

---

作者: 宅男-兜着走    时间: 2011-12-3 10:01 PM
回复 29# weeming21


    那么最基本要怎么做？

---

作者: 宅男-兜着走    时间: 2011-12-3 10:02 PM

不是厉害，而是你朋友租用的那台主機在没 indexing 的情况下就可以瀏灠檔案列表，而 weeming 和我說看 ...
Super-Tomato 发表于 2011-12-3 10:51 AM

   

   而是你朋友租用的那台主機在没 indexing 的情况下就可以瀏灠檔案列表
   

  
  这个是怎么回事？ 要怎么看他的 文件列表？

---

作者: weeming21    时间: 2011-12-3 10:29 PM

回复  weeming21


    那么最基本要怎么做？
宅男-兜着走 发表于 2011-12-3 10:01 PM

常在河边走，哪有不湿鞋
要从事网络这行，最好还是多了解，接触，学习一些网络安全的课题。

一般上看看服务器的安全配置，如：
- 看看服务器默认是不是可以查看 directory index
- 各域名空间的权限有没有设置好
- 有没有disable一些危险函数
- 没有必要就尽量不要找可以执行gcc的主机
- 有没有安装一些防注入，防cc的模块
.........
其实还有很多很多，很难全面评估的，引用马来人的一句话，tengok nasib bang~~~
所以尽量选一些信誉较好的空间比较好，就算是服务器被入侵至少他们也应该能凭多年的经验找出漏洞原因。如果找那些半桶水的空间上，没错，是便宜，不考虑安全漏洞修复的情况下其实是没什么很大分别，但是一旦遇到服务器被入侵，被植入了后门，或许空间商本身就无法找出漏洞原因以及被植入的后门，遇到这种情况不搬迁就一直被骚扰了。

有一个网站, zone-h.org, 可以检测一下服务器是否被入侵过，当然不是绝对，某些被入侵事件存属域名用户问题，和服务器安全无关；找不到也并不代表没有被入侵过，或许只是没有人提交上去而已。
那你的空间为例：
ip:112.137.167.176
http://www.zone-h.org/archive/ip=112.137.167.176
可以看出有13页的被入侵记录，而同一天同一个黑客可以同时黑那么多个域名，那么服务器不安全的可能性就很高。

---

作者: Super-Tomato    时间: 2011-12-4 02:59 PM

这个是怎么回事？ 要怎么看他的 文件列表？
宅男-兜着走 发表于 2011-12-3 10:02 PM

在没指定 directoryindex 的資料夹情况下，可直接列出文件等的是了，如這個例子
如果主機的預設設這样的話，用戸可以通過 htaccess 指定 Options -Indexes 來 forbidden 該目录或以内没 directoryindex 的資料夹

---

作者: 宅男-兜着走    时间: 2011-12-4 06:04 PM
回复 34# Super-Tomato


    我照你的方法去看， 现在变成fobidden 了。 不排除之前没有。
    有没有可能 是用 htaccess 打开indexing？

---

作者: Super-Tomato    时间: 2011-12-4 06:07 PM

回复  Super-Tomato


    我照你的方法去看， 现在变成fobidden 了。 不排除之前没有。
    有没有可 ...
宅男-兜着走 发表于 2011-12-4 06:04 PM

呃，那天我没注意看有没有設定 +Indexes
但那天是肯定可以瀏灠

---

作者: 宅男-兜着走    时间: 2011-12-4 06:08 PM
回复 33# weeming21


    看到了你给的 链接， 值得关注。
    而且不止我一个人中 hack， 那个 ip 基本上也被注入了 默认页。
   
    你写的东西是 超级无敌深下。
     谢谢你的无私分享。

---

作者: goodday    时间: 2011-12-11 10:59 PM
我发发 意见
安装 mod_security
htaccess 是对网站 问题是 那个 cPanel
你的hosting 没料 学人开hosting
设 security 很讲功夫

---

欢迎光临 JBTALKS.CC (https://mobile.jbtalks.cc/)

Powered by Discuz! X2.5