Страница 1 из 1
Кулхацкеры не дремлют
Добавлено: 19 окт 2010, 23:22
переподвыподверт
[23:14:11] **** Соединение с dc.pivosik.info ...
[23:14:11] **** Соединён
[23:14:11] <.«¤•°MaxiLand°•¤».> We are moved! Мы переехали!
[23:14:11] **** Нажмите "Перенаправление" для соединения с devilteam.mooo.com:2008
[23:14:11] **** Отключен
[23:19:13] **** Соединение с khdc.net.ua ...
[23:19:13] **** Соединён
[23:19:13] <Админская> This hub is running version 0.9.8e-r2 (Monday Jul 20 2009) of VerliHub (RunTime: 1weeks 6days / Current user count: 7)
[23:19:13] <Админская> This hub is enhanced by plugman for Verlihub.
[23:19:13] <Админская> You share 91563MB, but the min share is 999999999999MB. (active:999999999999MB / passive:999999999999)
[23:19:13] **** Нажмите "Перенаправление" для соединения с devilteam.mooo.com:2008
[23:19:13] **** Отключен
Получается не только YnHub дырявый, но и другой софт.Известны ли кому-то из присутствующих методы противодействия таким атакам?
Добавлено: 20 окт 2010, 01:41
Delion
YnHub дырявый
Уже не дырявый, не надо, дырку закрыли, других не наблюдается.
А тут, по всей видимости, взлом админского аккаунта. Ну, или машины хостера, хехе.
Добавлено: 20 окт 2010, 01:45
Delion
методы противодействия таким атакам
Ограничение по IP, по возможности ограничение самого себя в управлении хабом (ибо управлять можно и через GUI), удалении\добавлении аккаунтов. После этого особого смысла во взломе админского аккаунта не будет в принципе. Максимум, юзверей покикают, но это дело поправимое.
А вообще, что вы удивляетесь? Рунет - помойка. Наши же и хакнули, фигли.
Добавлено: 20 окт 2010, 17:07
переподвыподверт
В случае подбора или перехвата пароля всё конечно ясно.Только как-то слишком просто, к тому же не думаю что админы такие простаки и используют пароли вроде 111.
Имхо тут аналогично с YnHub'ом посылается определённая комбинация символов и вуаля.
Добавлено: 20 окт 2010, 17:12
Delion
аналогично с YnHub'ом посылается определённая комбинация символов
Если кто не знает, секрет был не в посылании определенного набора символов, а частоте отправки сообщений. Символы могли быть любыми.
Добавлено: 20 окт 2010, 19:14
переподвыподверт
Delion писал(а):Символы могли быть любыми.
Но каким же образом тогда задавался адрес перенаправления (всё тот же devilteam.mooo.com:2008) ?
Добавлено: 20 окт 2010, 22:33
Delion
каким же образом тогда задавался адрес перенаправления
Да очень просто. После дикого флуда хаб выполнял ловко подкинутую команду. Мол, перекинь всех туда-то.
Но это всё дело прошлое, с хабами из первого поста темы-то что?
Добавлено: 21 окт 2010, 00:03
переподвыподверт
Delion писал(а):Да очень просто. После дикого флуда хаб выполнял ловко подкинутую команду. Мол, перекинь всех туда-то.
Хмъ...Ну так вероятно тут та же ситуация, только флуд не сообщениями в чат, a CTM или MyINFO например
Delion писал(а):с хабами из первого поста темы-то что?
Первый "починили", ну а за вторым практически не следят - админчег раз в 2 месяца появляется
Добавлено: 21 окт 2010, 00:43
Delion
тут та же ситуация, только флуд не сообщениями в чат, a CTM или MyINFO
Без обид, учи теорию, ибо бред говоришь.
Добавлено: 28 окт 2010, 05:41
MIXER
Доброго времени суток все читателям, как хозяин хаба заявляю, подбор паролей методом брута тут исключен, стоят сложные пароли с большими и мал. буквами цифрами и символами.
Этими "кулхацкерами" является группа хакеров из Польши, название группы созвучно с поддоменом, т.е. devil team, кому интересно найдут инфу.
Взломы с их стороны уже проводились до, как выяснилось через уязвимость в веб сайта на данном сервере.
Добавлено: 18 фев 2011, 04:12
FAT_32
К слову, вы не использовали веб-админку для хаба? возможно дыры в ней, да и по HTTP брутить куда удобней, нежели непосредственно в DC. Еще как вариант-разграничивать доступ для пользователей MySQL, ибо если у вас туева хуча сайтов вместе с хабом крутится под одним и тем же пользователем (и упаси Боже, если под рутовым акком), то взломав один сайт, в итоге можно поиметь доступ ко всем БД, в том числе и верловской
Добавлено: 23 авг 2011, 12:00
c0cain
А мне по DC удобнее брутить... Всего пару текстовых команд, намного быстрее при наличии прокси листа (даже несколько попыток даётся на птахе с одного ip
)
Добавлено: 23 авг 2011, 16:16
hmm
Антипрокси со свежим блэк-листом обломает твои попытки брутить. Если у тебя нет своего ботнета, конечно.
Добавлено: 23 авг 2011, 17:13
mariner
А еще некоторые админы привязывают логин к айпи. Так то. А брутить можешь тогда сколько угодно
Добавлено: 26 авг 2011, 00:35
c0cain
hmm писал(а):Антипрокси со свежим блэк-листом обломает твои попытки брутить. Если у тебя нет своего ботнета, конечно.
Ерунда, ну на моем опыте где то 20% отсеиваются
mariner писал(а):А еще некоторые админы привязывают логин к айпи. Так то. А брутить можешь тогда сколько угодно
ИМХО самое верное решение (правда бывает что ip динамический), но это всё уже другие истории, изначально я хотел сказать что по протоколу DC брутить легче и быстрее...
Добавлено: 26 авг 2011, 08:16
hmm
Легче, чем где?