21 Comments

  1. Author

    sunt afectate si hotmail.ro si paypal.ro:

    xxx:~$ host -a hotmail.ro | grep ns
    hotmail.ro. 85330 IN NS ns2.joomlapartner.nl.
    hotmail.ro. 85330 IN NS ns1.joomlapartner.nl.
    hotmail.ro. 85330 IN NS ns2.joomlapartner.nl.
    hotmail.ro. 85330 IN NS ns1.joomlapartner.nl.
    ns1.joomlapartner.nl. 11706 IN A 95.128.3.173
    ns2.joomlapartner.nl. 11706 IN A 95.128.3.174

    xxx:~$ host -a paypal.ro | grep ns
    paypal.ro. 85324 IN NS ns1.joomlapartner.nl.
    paypal.ro. 85324 IN NS ns2.joomlapartner.nl.
    paypal.ro. 85324 IN NS ns2.joomlapartner.nl.
    paypal.ro. 85324 IN NS ns1.joomlapartner.nl.
    ns1.joomlapartner.nl. 11742 IN A 95.128.3.173
    ns2.joomlapartner.nl. 11742 IN A 95.128.3.174

  2. Author

    pe partea de DNS poisoning “hack-ul” pare clar la ROTLD, cei care “indica” (sau ar trebui 🙂 sa indice) DNS-urile corecte pentru domeniile .ro. in acest moment vad ca au inceput sa modifice/rezolve domeniile afectate.

    xxx:~$ whois paypal.ro | grep ns
    Name Server: dns36.register.com
    Name Server: dns35.register.com

    xxx:~$ whois hotmail.ro | grep ns
    Name Server: ns4.astral.ro
    Name Server: ns3.astral.ro
    Name Server: ns2.astral.ro
    Name Server: ns1.astral.ro

  3. Author

    pe partea de hosting iata ce am descoperit:
    1. atacul a venit de la IP-ul 41.200.162.135 care chiar apare ca fiind din Algeria

    inetnum: 41.200.0.0 – 41.200.255.255
    netname: ANIS-ADSL
    descr: ADSL ANIS-nouveau produit DJAWEB
    country: DZ
    person: Security Departement
    address: Alger

    2. au gasit un site Joomla! pentru care nu era facut “php jail” in directorul site-ului.

    3. si-au pus in directorul “downloads” al site-ului fisierele in.php si confkiller.php (le-am decodat si le-am pus in arhiva asta daca vreti sa va uitati in surse: click aici)

    4. isi creau apoi un symbolik link “indishell” catre “/”

    5. parsau configuration.php si furau toate parolele (aici si le tine Joomla! in clar) dupa care le schimbau (atat la mysql cat si cea de administrare a site-ului)

    6. schimbau index.php din global dar si index.php din directorul unde era tinuta tema de joomla! activa, cu cele doua poze de la sfarsitul articolului.

    Cam asta am gasit la prima vedere. Puteti afla mult mai multe din cele doua fisiere php pe care le-am atasat si pe care le foloseau hackerii. Daca aveti jail php pentru fiecare site care blocheaza fopen in directorul site-ului, modphp in loc de suphp si alte cateva lucruri ce tin de securitate nu cred ca veti fi afectati.

  4. STOP! Bitdefender a blocat această pagină web.
    Pagina pe care încercaţi să o accesaţi conţine programe periculoase.

    Detalii:
    Pagina web:http://www.techtorials.ro/wp-content/uploads/hack.tar
    Viruşi detectaţi: Backdoor.PHP.WebShell.BD

    Accesul de la browser-ul dumneavoastră a fost blocat.
    Înapoi la siguranţă

    LINKUL DE LA PUNCTUL 3 …..

  5. Author

    @Florea: pai da, sunt exact cele doua fisiere pe care le-au folosit hackerii ca sa dea jos site-urile care foloseau Joomla! e foarte bine ca le detecteaza BitDefender ca backdoor.

    in plus, puteti vedea cum arata efectiv in.php (din arhiva respectiva) daca il puneti pe un webserver si il apelati apoi cu parola “dz0” … asta e MD5-ul din fisierul in.php decriptat.

  6. Ok. Aş fi vrut să citesc nişte speculaţii. Cui i-a fost adresat hack-ul? Mi s-a părut un gest narcisist; cineva care vrea să-i arate altcuiva ce poate. Idei?
    Majoritatea articolelor despre subiect stau ÅŸi explică ce-i ăla un DNS…
    AÅŸa că… Despre ce a fost vorba defapt?

  7. Author

    @Alexandra: a fost un “hack” la baza de date de la ROTLD. Ca sa explic mai pe intelesul tuturor lucrurile stau cam asa:
    Cand iti cumperi un domeniu.ro, trebuie sa-l inregistrezi la ROTLD (Ro Top Level Domain). Printre altele, trebuie sa specifici intr-unul din campuri si serverul/serverele DNS care se ocupa de domeniul respectiv (sunt autoritative pentru zona respectiva). De exemplu, pentru domeniul techtorials.ro la campul DNS sunt specificate doua DNS-uri:

    xxx:~$ whois techtorials.ro | grep ns
    Name Server: ns2.rdsnet.ro
    Name Server: ns1.rdsnet.ro

    Daca cineva vrea sa intre pe http://www.techtorials.ro, intreaba DNS-ul setat pe PC-ul lui ca sa afle IP-ul site-ului. DNS-ul setat pe PC, daca nu are inregistrarea in cache, intreaba la cel care se ocupa de zona “.ro” (ROTLD) unde este tinut techtorials.ro si va afla ca domeniul e tinut pe DNS-ul ns1.rdsnet.ro. De la acest DNS va afla in final IP-ul pe care e hostat site-ul.

    Daca cineva in baza de date de la ROTLD schimba NS-urile pentru techtorials.ro si isi trece NS-urile lui (cum s-a intamplat ieri cand hackerii au trecut ns1.joomlapartner.nl si ns1.joomlapartner.nl spre exemplu) atunci tu cand vrei sa afli ce IP are http://www.techtorials.ro o sa ajungi in final sa intrebi DNS-ul ns1.joomlapartner.nl iar pe NS-ul ala ei iti pot indica o adresa IP pe care au ei un site cu o pagina de-a lor. In final, nu vei ajunge la pagina http://www.techtorials.ro ci la o pagina de-a lor desi la tine in browser ai scris http://www.techtorials.ro.

    Exact asta s-a intamplat ieri. Au reusit sa schimbe NS-urile pentru domeniile google.ro, yahoo.ro, paypal.ro, hotmail.ro etc. in ns1.joomlapartner.nl / ns2.joomlapartner.nl iar pe aceste DNS-uri au facut inregistrari la zonele respective cu IP-uri “fake” care duceau catre pagina aia a lor, cu mesajul ala cretin.

    Cum au reusit sa faca asta ? Astept cu mare interes comunicatul de presa de la ROTLD !
    Si ca sa-ti faci o idee cam cat de agili sunt acesti hackeri, uite cate site-uri au reusit sa mai sparga de pe 28.11.2012 pana azi: click aici.
    De ce au facut-o ? Avand in vedere ca in saptamanile precedente au atacat si TLD-urile altor tari cum ar fi Irlanda si Pakistan cred doar ca nu are nimic de-a face cu Romania. O fac acolo unde exista vulnerabilitati, pentru a-si mari portofoliul.

  8. Ok, mulÅ£umesc mult de informaÅ£ii. Dar…
    Ceea ce spuneam este că majoritatea articolelor au explicat hack-ul d.p.d.v.d tehnic. Aici am găsit o descriere f amănunţită a lui, spre deosebire de alte locuri unde am găsit explicaţii „mai pe înţelesul tuturor„.
    Eram curioasă dacă a mai auzit cineva de grupul ăsta până acum.
    Ce păreri aveţi despre faptul că au scris că ar fi din Algeria?
    Care este mesajul? “Statement-ul”?
    ÅžtiÅ£i voi… The juicy stuff… Latura socială a gestului… 🙂

  9. Rotld putea evita rusinea prin implementare DNSSEC ? Domeniile .eu, .de, .cz, cele Scandinave, si altele din EU au deja implementat. O fi acesta semnalul de “must-have” ?

  10. ” Astept cu mare interes comunicatul de presa de la ROTLD ! ”

    … si eu ! .. dar nu cred ca o sa-l vedem prea curand !

  11. Author

    @Alexandra: avand in vedere ca grupul acesta sparge peste 100 de site-uri pe zi (vezi link-ul din observatia mea de mai sus) exploatand diverse vulnerabilitati pe sistemele respective, cred cu tarie ca in nici un caz ROTLD nu a fost o tinta premeditata. Pur si simplu, in scanarile lor zilnice au dat de un sistem vulnerabil, tocmai la ROTLD, iar asta este extrem de rusinos si face o imagine proasta tuturor inginerilor din Romania chiar daca e vina unei institutii de stat, depasita de cele mai multe dintre problemele tehnice cu care se confrunta.
    daca vrei sa intelegi mai bine ce e in mintea unui hacker urmareste filmuletul acesta despre “anonymous”:
    http://m.youtube.com/watch?v=PFfPuaQYOjQ

  12. Author

    @radu: Rata de folosite a DNSSEC este de 4% in acest moment (vezi prezentarea lui Geof Hudson de la RIPE65 de anul acesta (click aici).
    ROTLD cunoaste foarte bine acest subiect pentru ca are ingineri prezenti la toate evenimentele RIPE (de doua ori pe an). din pacate, decizia de implementare tine de management iar aici chiar o sa ma opresc din orice comentariu.
    nu stiu insa cat ar fi ajutat in cazul acestui atac, cel mult nu s-ar mai fi ajuns la paginile hackerilor cand accesai domeniile afectate insa tot nu ti-ar fi intors pagina corecta. DNSSEC functioneaza cam asa (vezi link-urile de mai jos):

    http://www.slideshare.net/dyninc/introduction-to-dnssec

    http://m.youtube.com/#/watch?v=ijLMYiSivaA&desktop_uri=%2Fwatch%3Fv%3DijLMYiSivaA

  13. Author

    @xmmd: eu cred ca o vor face pentru ca cu siguranta vor fi presiuni din partea ISP-urilor. lumea trebuie sa inteleaga ca nu a fost vina providerului de internet. ISP-ul putea cel mult sa diminueze impactul negativ asupra clientilor sai daca intuia corect de la inceput care este problema reala, asa cum a facut spre exemplu RDS, unde chiar nu s-au simtit atat de rau aceste probleme. dar repet, asta nu inseamna ca Romtelecom sau UPC au generat in vreun fel problema asta.

  14. Fiind organism de stat, n-ar trebui sa anunte proiectele sau sa se regaseasca in buget, care poate fi solicitat ca document public ? Totusi, e o rusine la adresa industriei IT. O petitie ar fi calea sa accelereze implementarea ? 4% nu e mult, de ce sa nu fim in Top 4% ?

  15. Author

    @radu: poate te “aude” cineva !

  16. Author

    @goguletz: de acord ca declaratia Doinei Banciu care apare pe Hotnews e ridicola. probabil dansa considera ca mai bine prosteste 95% din cei care o asculta si care nu inteleg in totalitate despre ce a fost vorba, riscand sa devina penibila pentru ceilalti 5% care chiar inteleg in ce a constat atacul si cat de lamentabil s-au comportat ei (lucru care s-a si intamplat) decat sa recunoasca exact ce s-a intamplat si sa se faca de cacat in fata tuturor.

    legat de faptul ca nu te-ai mai putut loga, cei de la ROTLD au afirmat ca au resetat parolele tuturor conturilor de domeniu, deci e ceva normal sa-ti ceara sa schimbi parola.

  17. I’m Marwane Dz-Boy 😀 i’m algerian boy and fuck all security in this world :p ^_^ thnx 😀

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.