mboost-dp1
unknown
Sådan noget kan jo så også bruge sin tid. Der skal i øvrigt vidst lige ligges 17.000 mere til antal crackede sider, så det er alligevel en pæn bunke.
Kan det passe at jeg har læst at samtlige sites kørte på IIS (5 el 6.) server?
Desuden læste jeg vidst også et sted at samtlige sider var hostet hos samme firma... I så fald er der jo ingen kunst hvis man først får ram på en og "x" kører på nøjagtigt samme system med samme fejl.
Kan det passe at jeg har læst at samtlige sites kørte på IIS (5 el 6.) server?
Desuden læste jeg vidst også et sted at samtlige sider var hostet hos samme firma... I så fald er der jo ingen kunst hvis man først får ram på en og "x" kører på nøjagtigt samme system med samme fejl.
Han/hun/de skal ingenvegne klynges op. Han/hun/de skal have noget psykologhjælp mod den destruktive adfærd... og de der vil klynge folk op for en sådan forbrydelse kan også få sig en tur hos psykologen ;)P
Eller også var der et par stykker der i stedet skulle have strammet sikkerheden en del op!
Ja ham tyrkeren skulle muligvis have klynget en hvis legemsdel, men der er også en del som skulle stramme sikkerheden BETYDELIGT OP! Man får ikke en side defacet 3 gange, uden at fixe problemet.
Næste gang er det ikke kun defacement, men der bliver samtidig indlejret kode, der kan lægge andre servere ned gennem fx denial of service angreb.
Ja ham tyrkeren skulle muligvis have klynget en hvis legemsdel, men der er også en del som skulle stramme sikkerheden BETYDELIGT OP! Man får ikke en side defacet 3 gange, uden at fixe problemet.
Næste gang er det ikke kun defacement, men der bliver samtidig indlejret kode, der kan lægge andre servere ned gennem fx denial of service angreb.
Er enige med alle herinde. De/han burde klynges op det værst tænkelige sted.. Om det så er øjenlåget eller en vis legemsdel lidt sydligere for det skal jeg ikke kunne sige.
MEN: De skal OGSÅ have en maaaaasse psykolog-timer, som kan pine dem endnu mere. Det er da nok dødens pølse at gå til psykolog.. Believe me.. I know!
Og til sidst skal man først og fremmest sørge for at holde sin software opdateret for at undgå for mange kendte huller.
Men hvilke politiske budskaber kom han frem med? Forsøgte han rent faktisk at få en politisk sag igennem eller var det bare Proof-Of-Concept? Altså at han bare skulle vise at det kunne lade sig gøre..
<offtopic>
#12 / #15
Hvem er themuss..?
</offtopic>
MEN: De skal OGSÅ have en maaaaasse psykolog-timer, som kan pine dem endnu mere. Det er da nok dødens pølse at gå til psykolog.. Believe me.. I know!
Og til sidst skal man først og fremmest sørge for at holde sin software opdateret for at undgå for mange kendte huller.
Men hvilke politiske budskaber kom han frem med? Forsøgte han rent faktisk at få en politisk sag igennem eller var det bare Proof-Of-Concept? Altså at han bare skulle vise at det kunne lade sig gøre..
<offtopic>
#12 / #15
Hvem er themuss..?
</offtopic>
Nu må Tyrkiet så vise sig værdige til EU med noget IT lovgivning, og 1000 hacker i fængsel inden årets udløb.
Han har jo bare udført et "Mass defacement"
En server et skud og så er det jo bare det antal host :)
Ikke det helt store i mine øjne.
Dog kedligt for det hosting firma :|
En server et skud og så er det jo bare det antal host :)
Ikke det helt store i mine øjne.
Dog kedligt for det hosting firma :|
#19
Med mindre det var en hel ny exploit som han havde opdaget og brugte før den blev kendt så er jeg enig i at det er kedeligt for det hosting firma..
MEN...Hvis det var en kendt exploit som der var en patch til så har jeg ikke en skid ondt af dem, så håber jeg bare de mister så mange kunder som muligt på det..
Der er ingen undskyldning for ikke at patche sine servere....Ja og slet ikke for et firma som professionelt udbyder det til folk..Gør man ikke det så er man så uprofessionel så man fortjener at gå rabundus..
XxX
Med mindre det var en hel ny exploit som han havde opdaget og brugte før den blev kendt så er jeg enig i at det er kedeligt for det hosting firma..
MEN...Hvis det var en kendt exploit som der var en patch til så har jeg ikke en skid ondt af dem, så håber jeg bare de mister så mange kunder som muligt på det..
Der er ingen undskyldning for ikke at patche sine servere....Ja og slet ikke for et firma som professionelt udbyder det til folk..Gør man ikke det så er man så uprofessionel så man fortjener at gå rabundus..
XxX
Er det nu vi skal sige tillykke?
Fik også min hjemmeside defaced og SLETTET (500mb) knap 4000 filer. Og som et gammelt ordsprog siger, mænd tager ikke backups.
Fik også min hjemmeside defaced og SLETTET (500mb) knap 4000 filer. Og som et gammelt ordsprog siger, mænd tager ikke backups.
#23: "Rigtige mænd slår sig ikke til tåls med discounthosting, men betaler prisen for en god vare."
God tommelfingerregel ja :) Men desværre er det en sandhed med modifikationer. Selvom man måske står med et svinebilligt webhotel, kan folkene bag, sagtens være kompetente folk. Hackerne er som regel altid et skridt foran hostingfirmaerne, og man kan sjældent gardere sig mod sikkerhedsfejl i software/firmware. Omkring serverkonfiguration, ja.. der må man have tillid til hostingfirmaet. Desværre kan det være svært at gennemskue hvem man skal vælge, og hvem man skal holde sig fra. Der er jo både store og små firmaer, og de skilter sjældent med erfaringsniveau og hvad der ellers kan være relevant.
God tommelfingerregel ja :) Men desværre er det en sandhed med modifikationer. Selvom man måske står med et svinebilligt webhotel, kan folkene bag, sagtens være kompetente folk. Hackerne er som regel altid et skridt foran hostingfirmaerne, og man kan sjældent gardere sig mod sikkerhedsfejl i software/firmware. Omkring serverkonfiguration, ja.. der må man have tillid til hostingfirmaet. Desværre kan det være svært at gennemskue hvem man skal vælge, og hvem man skal holde sig fra. Der er jo både store og små firmaer, og de skilter sjældent med erfaringsniveau og hvad der ellers kan være relevant.
Jeg har 2 gange prøvet at få hacket/cracket min side... første gang var det defacecment, men de kunne ikke holde sig til at erstatte index-filen, de slettede også lige alt det andet...
anden gang blev alt bare fjernet, og da jeg så kontaktede deres live-hjælp var det første spørgsmål guddødme om jeg var sikker på at jeg ikke havde slettet det selv?? Næste var om jeg havde installeret 3.partssoftware? Det anede jeg slet ikke at jeg kunne... men enden var at det de kunne gøre, var at sende en ftp-log - hvis jeg anmeldte sagen til politiet vel og mærke... Da jeg så sagde at det ville jeg ikke, men at jeg bare ville gøre dem opmærksom på at der muligvis var et problem med sikkerheden, fik jeg bare at vide at hun var temmelig sikker på at de ikke havde problemer med sikkerheden...
anden gang blev alt bare fjernet, og da jeg så kontaktede deres live-hjælp var det første spørgsmål guddødme om jeg var sikker på at jeg ikke havde slettet det selv?? Næste var om jeg havde installeret 3.partssoftware? Det anede jeg slet ikke at jeg kunne... men enden var at det de kunne gøre, var at sende en ftp-log - hvis jeg anmeldte sagen til politiet vel og mærke... Da jeg så sagde at det ville jeg ikke, men at jeg bare ville gøre dem opmærksom på at der muligvis var et problem med sikkerheden, fik jeg bare at vide at hun var temmelig sikker på at de ikke havde problemer med sikkerheden...
Hvis man har en forholdsvis besøgt side, så kan man meget hurtigt se i loggen, at der sker omkring 100 andgreb i timen.
Det er stort set alle sammen bots der forsøger at cracke en sikkerhedsfejl. Mange gange er det nogle DLL-filer der requests, eller kan det være downloadede forums, hvor at botten forsøger at cracke en sikkerhedsbrist.
Hvis man ikke kører med downloaede scripts, så får botten en 404.
Men det er sygt nok, at nogle folk har sådan nogle bots til at køre 24/7.
Det er stort set alle sammen bots der forsøger at cracke en sikkerhedsfejl. Mange gange er det nogle DLL-filer der requests, eller kan det være downloadede forums, hvor at botten forsøger at cracke en sikkerhedsbrist.
Hvis man ikke kører med downloaede scripts, så får botten en 404.
Men det er sygt nok, at nogle folk har sådan nogle bots til at køre 24/7.
her er et eksempel på et af gruppens nyeste defacements, dog i en cached google udgave: klik her
der er et lille applet som jeg ikke kunne se i andet end IE.
ergo er dette ikke professionelle.. det baserer jeg på at de bruger hotmail :D og self kunne man vel spore den, da jeg tvivler på at disse drengerøve ikke har tilgået den bare én gang uden at det har været fra en anden computer end deres egen.
der er et lille applet som jeg ikke kunne se i andet end IE.
ergo er dette ikke professionelle.. det baserer jeg på at de bruger hotmail :D og self kunne man vel spore den, da jeg tvivler på at disse drengerøve ikke har tilgået den bare én gang uden at det har været fra en anden computer end deres egen.
Nogle af de problemer som der kan komme når man f.eks køre Apache server som ikke er opdateret er at man i nogle www formularer får muligheden for at smide et PHP / Java / VB Script ind som åbner sikkerhede da alle sider, som køre under Apache hvis man ikke er en haj til Web serber køre under webrun / wwwrun / eller andre bruger, men hvor det er den samme bruger som eksekvere alle Hjemme siderne.
her er nogle løsninger:
A : Man definere en længde på sine formular vinduer så man ikke har XXX - n nr af karaterplads.
Hvis man kører Web blogs som denne kan man sikker sig som Newz har gjort det ved at haven en login side på sit forrum hvor Bruger navn og adgangs kode og registering er krævet for at have adgang til at skrive i Blogen
B: Brug kun POST & GET minimeret og ikke til alt, bedere vil det værer at bruge cookies, og definere en længe af en cookie så hvis Wana bee hacker, Aliban Isnogood prøver at lave om i cookien bliver den forkastet når den overstiger en hvis grænser eller er under den størrelse som den blev sat til oprindligt..
C: Lav hele sitet til en query i en SQL database der ved kan Hr Isnogood ikke så let få adgang til at slette dine sider.
Og lad scrips køre i baggrunden som laver dump af SQL siddernen og kør en Batch job på siderne som sammenligner dem med forrige dag så hvis der er ændringer i forrige dag laver den simplet hen en Restore af forgåenden dag, der ved ungår man at det koster en meget tid og penge at side og genskabe ens hjemme side.
Det sidste med Dump og Restore kræver dog lidt eftertænksomhed men kan faktisk give mange hacker Går hår i hoved bunden har selv prøvet det da jeg kørete min egen web server de gav op efter 3'ed forsøg.
D: Den mest almindelige fejl er nok at mange administrator af Web server ikke er gode til det der med Password... Det gør ikke noget at man ændre det en gang imellem, der med at sige du skal ikke skifte password lige så tit som du skifter underbukser eller BH om du skulle være kvinde (hmm kommer selvfølig an på hvor tit du skifter.)
Men skift det en gang imellem nogle hacker er ikke dumme og dem som er hajer vil når de ser et godt forsøg på sikkerhed, vil i mange tilfælde hjælpe en smugle med til at du ikke får problemer, af Hr Isnogood, eller Mr Wanabee, for dem er det et spil om at udtænke en stradegi og der efter afprøve den, og ja jo flere grå hår du giver ham eller hende hajen desdumere vil han/hun sikkert hjælpe dig med de sidste par huller.
Til sidst vil jeg sige at Ham Hr Iskorpitx vil jeg betragte som Nubee en hacker gør det ikke for at destruere eller ødelægge han/hun gør det for at lærer.
Læs The Mentor.
URL: The Mentor ano January 8, 1986
Just my 2 cents.
her er nogle løsninger:
A : Man definere en længde på sine formular vinduer så man ikke har XXX - n nr af karaterplads.
Hvis man kører Web blogs som denne kan man sikker sig som Newz har gjort det ved at haven en login side på sit forrum hvor Bruger navn og adgangs kode og registering er krævet for at have adgang til at skrive i Blogen
B: Brug kun POST & GET minimeret og ikke til alt, bedere vil det værer at bruge cookies, og definere en længe af en cookie så hvis Wana bee hacker, Aliban Isnogood prøver at lave om i cookien bliver den forkastet når den overstiger en hvis grænser eller er under den størrelse som den blev sat til oprindligt..
C: Lav hele sitet til en query i en SQL database der ved kan Hr Isnogood ikke så let få adgang til at slette dine sider.
Og lad scrips køre i baggrunden som laver dump af SQL siddernen og kør en Batch job på siderne som sammenligner dem med forrige dag så hvis der er ændringer i forrige dag laver den simplet hen en Restore af forgåenden dag, der ved ungår man at det koster en meget tid og penge at side og genskabe ens hjemme side.
Det sidste med Dump og Restore kræver dog lidt eftertænksomhed men kan faktisk give mange hacker Går hår i hoved bunden har selv prøvet det da jeg kørete min egen web server de gav op efter 3'ed forsøg.
D: Den mest almindelige fejl er nok at mange administrator af Web server ikke er gode til det der med Password... Det gør ikke noget at man ændre det en gang imellem, der med at sige du skal ikke skifte password lige så tit som du skifter underbukser eller BH om du skulle være kvinde (hmm kommer selvfølig an på hvor tit du skifter.)
Men skift det en gang imellem nogle hacker er ikke dumme og dem som er hajer vil når de ser et godt forsøg på sikkerhed, vil i mange tilfælde hjælpe en smugle med til at du ikke får problemer, af Hr Isnogood, eller Mr Wanabee, for dem er det et spil om at udtænke en stradegi og der efter afprøve den, og ja jo flere grå hår du giver ham eller hende hajen desdumere vil han/hun sikkert hjælpe dig med de sidste par huller.
Til sidst vil jeg sige at Ham Hr Iskorpitx vil jeg betragte som Nubee en hacker gør det ikke for at destruere eller ødelægge han/hun gør det for at lærer.
Læs The Mentor.
URL: The Mentor ano January 8, 1986
Just my 2 cents.
#36
A: Sikkerhed skal altid håndteres i et kontroleret miljø, det vil sige på serveren da det er det eneste du har en chanche for at have styr på. Klient side validering er kun er service for brugeren men kan ikke bruges til sikkerhed. Input field størelse er ikke nogen sikkerhed med mindre der kontroleres på serveren.
B: Det spiller ingen forskel om input kommer via POST, GET, Cookies, PATH eller header variabler. Alt skal valideres på serveren inden det kan bruges. Størelse er ikke sikkerhed. Kig på kontent.
C: Sikkerhed skal ikke baseres på obscurity. SQL serveren er gode til at gemme data, men begrundelsen skal ikke være sikkerhed.
D: Og lad så for fanden vær med at gentage gammel overtro. Hvis man hele tiden skal skifte password viser alle undersøgelser at man vælger svage passwords som er nemme at huske, eller genbruger passwords forde man ikke kan lære så mange nye passwords hele tiden. Vælg istedet et godt langt password med mange variationer, og lad være med at bruge det andre steder.
Skift password hvis du mener der er risiko for at nogen har kigget dig over skulderen, eller på anden måde har haft mulighed for at kompromitere det.
A: Sikkerhed skal altid håndteres i et kontroleret miljø, det vil sige på serveren da det er det eneste du har en chanche for at have styr på. Klient side validering er kun er service for brugeren men kan ikke bruges til sikkerhed. Input field størelse er ikke nogen sikkerhed med mindre der kontroleres på serveren.
B: Det spiller ingen forskel om input kommer via POST, GET, Cookies, PATH eller header variabler. Alt skal valideres på serveren inden det kan bruges. Størelse er ikke sikkerhed. Kig på kontent.
C: Sikkerhed skal ikke baseres på obscurity. SQL serveren er gode til at gemme data, men begrundelsen skal ikke være sikkerhed.
D: Og lad så for fanden vær med at gentage gammel overtro. Hvis man hele tiden skal skifte password viser alle undersøgelser at man vælger svage passwords som er nemme at huske, eller genbruger passwords forde man ikke kan lære så mange nye passwords hele tiden. Vælg istedet et godt langt password med mange variationer, og lad være med at bruge det andre steder.
Skift password hvis du mener der er risiko for at nogen har kigget dig over skulderen, eller på anden måde har haft mulighed for at kompromitere det.
# 10 - waw og jeg har sq Bill Gates og G. Bush på min msn, men de snakker nu rimlig godt engelsk o.O
Jeg fatter ikke hvad man får ud af at ødelægge 21000 hjemmesider, ville det ikke være sejere hvis hacker istedet for begyndte at angribe dem selv ? Det ville ihvertfald være sjovere for os :)
En af mine klassekammerater kom forbi en informationsskærm i Kolding bymidte hvor der var nogen som havde hacket den så den vidste et 10sek porn-klip hele tiden, se, det er sjovt.
Jeg fatter ikke hvad man får ud af at ødelægge 21000 hjemmesider, ville det ikke være sejere hvis hacker istedet for begyndte at angribe dem selv ? Det ville ihvertfald være sjovere for os :)
En af mine klassekammerater kom forbi en informationsskærm i Kolding bymidte hvor der var nogen som havde hacket den så den vidste et 10sek porn-klip hele tiden, se, det er sjovt.
#36
cookies til at gemme data?
hvad med at nøjes med at gemme et session-id, og så gemme alle midlertidige ting i en session-var i stedet.
desuden er en sql-server da ikke mere sikker end almindelige filer, eftersom at ens kode _nødvendigvis_ må stå i en eller anden fil et eller andet sted.
cookies til at gemme data?
hvad med at nøjes med at gemme et session-id, og så gemme alle midlertidige ting i en session-var i stedet.
desuden er en sql-server da ikke mere sikker end almindelige filer, eftersom at ens kode _nødvendigvis_ må stå i en eller anden fil et eller andet sted.
#44 ChrashOverride:
Hvis du nu vil tale med om sikkerhed, så bør du vide, at du aldrig nogensinde skal anvende cookies til at gemme midlertidig data i. Der findes godt nok mange systemer på nettet, hvor man i en cookie har gemt et bruger ID, hvor man ved at ændre dette kan ændre sin adgang. Jeg har sågar set cookies med teksten 'isAdministrator' og værdien 'false', og det viser, hvor inkompetent udvikleren er.
Cookies skal gemme et session ID og bevare data, der skal indtastes flere gange - intet andet.
Hvis du nu vil tale med om sikkerhed, så bør du vide, at du aldrig nogensinde skal anvende cookies til at gemme midlertidig data i. Der findes godt nok mange systemer på nettet, hvor man i en cookie har gemt et bruger ID, hvor man ved at ændre dette kan ændre sin adgang. Jeg har sågar set cookies med teksten 'isAdministrator' og værdien 'false', og det viser, hvor inkompetent udvikleren er.
Cookies skal gemme et session ID og bevare data, der skal indtastes flere gange - intet andet.
#44
Sikkerhed skal ikke gøres over kompliceret. Så mister administratoren overblikket hvilket leder til fejl. Vel definerede grænseflader giver et overskueligt system som man ikke ved en fejl laver hul i under en opdatering.
Man skal huske på at systemer ikke er statiske, men udvikler sig over tid.
Sikkerhed skal ikke gøres over kompliceret. Så mister administratoren overblikket hvilket leder til fejl. Vel definerede grænseflader giver et overskueligt system som man ikke ved en fejl laver hul i under en opdatering.
Man skal huske på at systemer ikke er statiske, men udvikler sig over tid.
Hacking er ikke kun script-kiddies. Udover drukspil er Capture The Flag Hacking nok det sjoveste sociale spil jeg kender (de kan også kombineres). Hver gruppe får en server de skal forsvare, mens man skal hacke sig ind på de andre holds servere. Man får frataget point når et angreb på ens server lykkes og får point når man har et succesfuldt angreb på en anden gruppes box. Hvis det skal være rigtig sjovt skal det være lukket custom server software der skal reverseengineeres for at finde svage punkter (der er selvfølgelig bevidst lavet sikkerhedshuller), så man ikke bare kan bruge legetøj som Metasploit eller kendte exploits.
I Europa har vi nogle udemærkede conventions jeg varmt kan anbefale hvis du vil se nogle fede ting og høre nogle gode historier eller endda deltage i konkurrencerne: WhatTheHack (NL) og CCC (DE).
Der er da heller ikke noget mere cool end at modde hardware eller lave sit eget rogue hardware eller bare se andres. Det er også underholdende at se gode lockpickere lynhurtigt lirke en lås op. Bare det der med at vide ting man ikke må og vide, og gøre opmærksom på at det er sundt med lidt paranoia i vores teknologiske tidsalder er facinerende. Moderne tryllekunstnere..
Hvis nogen vil lege med på et Wargame. Så har windo Slut-Box kørende:
http://p6drad-teel.net/~windo/slut-box/details.html
I Europa har vi nogle udemærkede conventions jeg varmt kan anbefale hvis du vil se nogle fede ting og høre nogle gode historier eller endda deltage i konkurrencerne: WhatTheHack (NL) og CCC (DE).
Der er da heller ikke noget mere cool end at modde hardware eller lave sit eget rogue hardware eller bare se andres. Det er også underholdende at se gode lockpickere lynhurtigt lirke en lås op. Bare det der med at vide ting man ikke må og vide, og gøre opmærksom på at det er sundt med lidt paranoia i vores teknologiske tidsalder er facinerende. Moderne tryllekunstnere..
Hvis nogen vil lege med på et Wargame. Så har windo Slut-Box kørende:
http://p6drad-teel.net/~windo/slut-box/details.html
#49 bugger:
Du har ret i nogle af dine pointer, men tryllekunstnere bryder også loven, hvis de begynder at "trylle" ting væk fra private hjem. Man kan sagtens forestille sig, at man i et lukket netværk kan lave en konkurrence indenfor denne disciplin, men det har stadig ingen berettigelse i relation til det øvrige samfund; ej heller, fordi man kan.
Du har ret i nogle af dine pointer, men tryllekunstnere bryder også loven, hvis de begynder at "trylle" ting væk fra private hjem. Man kan sagtens forestille sig, at man i et lukket netværk kan lave en konkurrence indenfor denne disciplin, men det har stadig ingen berettigelse i relation til det øvrige samfund; ej heller, fordi man kan.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund