Buonasera, mi è capitato di recente che uno dei miei siti è stato bucato immagino tramite l'FTP ottenendone l'accesso senza avere la password e nonostante l'ho cambiata mi sono trovato di nuovo il sito "sfregiato", avevano cambiato il permessi dei loro file e non potevo nemmeno cancellarli, ho povato ripetutamente a modificare i permessi senza ottenere risultati. Sarei curioso di sapere come fanno a fare questo tipo di attacchi e in caso come difendermi o controbattere!
- Stato
Da quello che so io non si puó.
Ditemi se si puó fare, magari non mi viene in mente una soluzione.
Inviato Tramite: App Ufficiale di Inforge.net
Ditemi se si puó fare, magari non mi viene in mente una soluzione.
Inviato Tramite: App Ufficiale di Inforge.net
Non credo ci siano falle, ho provato a controllare più volte ma non ho trovato nulla di anomalo, ho contattato l'assistenza di Aruba e lì ho scoperto che in pratica hanno sfruttato una vulnerabilità per accedere all'FTP, tramite qualche problema che ha avuto forse in quel periodo Aruba (Dato che sempre in quel periodo ho avuto altri problemi con loro e non solo io). Infine ho risolto resettando lo spazio web, e dopo aver contattato l'assistenza non ho avuto neanche altri problemi. La mia curiosità però era scoprire come hanno fatto, perché mi incuriosisce e vorrei capirne di più oltre a trovare un modo per controbattere come dicevo nel caso mi succedesse di nuovo
Brute force? Avevi sistemi che bloccavano l'ip dopo tot tentativi ?
Inviata da HUAWEI VNS-L31 tramite app ufficiale di Inforge.net
1
Naturalmente cio' e' una cosa quasi banale, comunue o visto siti che erano vulnerabii a cio' [anche se sono molto rari].
2 Poi: se il server FTP e' vulnerabile di suo, ti basta trovare un exploit adeguato: magari e' obsoleto od mal impostato, usa un servizio non ben protetto ecc.....; Questo modo e' quello piu' ricorrente e piu' intelligente, perche' permette di sfruttare falle nella piattaforma evitando di lasciare la maggior parte delle tracce che si lasciano invece con injection di query/webshell/comandi/codice ecc....
3 Social engineering : qesta tecnica non passera' mai d moda come la stupidita' umana..............
4 Bucare il sito in http/https e successivamente bucare il servizio ftp [se hostato sullo stesso server]. Queso attaccco e' molto efficace quando ti si presentano davanti siti vulnerabili a code/command injection ed execution; In questo modo e' come avere accesso diretto alla macchina server, quindi controllare processi, servizi ecc....., e' relativamente semplice
PS: 5 Attraverso injection di file tramite il protocollo stesso nel caso sia aperto ad un tuo trasferimento, ti bastera' uppare una webshell ben camuffata ed il gioco e' fatto [sempre se accetta l' invio di file : esempio un ftp hosting creato da uno che non sa' cosa e' la security]
Per altre domande siamo sempre qui
- Trovare il sito vulnerabile
- Aprire il Prompt dei comandi
- Appena il Prompt dei comandi si apre seguite in ordine le cose da digitare:
- ftp
- open
- ftp.sitovulnerabile.it
- ftp.sitovulnerabile.it
- [Alla fase inserire PASSWORD]; premere invio
- quote user ftp
- quote cvd~root (Se riesce a connetterti con questo comando significa che il sito è ormai bucato)
- quote pass ftp
- dir - Aprire la nostra pagina di internet e nella barra degli indirizzi inseriamo: ftp.sitovulnerabile.it
Naturalmente cio' e' una cosa quasi banale, comunue o visto siti che erano vulnerabii a cio' [anche se sono molto rari].
2 Poi: se il server FTP e' vulnerabile di suo, ti basta trovare un exploit adeguato: magari e' obsoleto od mal impostato, usa un servizio non ben protetto ecc.....; Questo modo e' quello piu' ricorrente e piu' intelligente, perche' permette di sfruttare falle nella piattaforma evitando di lasciare la maggior parte delle tracce che si lasciano invece con injection di query/webshell/comandi/codice ecc....
3 Social engineering : qesta tecnica non passera' mai d moda come la stupidita' umana..............
4 Bucare il sito in http/https e successivamente bucare il servizio ftp [se hostato sullo stesso server]. Queso attaccco e' molto efficace quando ti si presentano davanti siti vulnerabili a code/command injection ed execution; In questo modo e' come avere accesso diretto alla macchina server, quindi controllare processi, servizi ecc....., e' relativamente semplice
PS: 5 Attraverso injection di file tramite il protocollo stesso nel caso sia aperto ad un tuo trasferimento, ti bastera' uppare una webshell ben camuffata ed il gioco e' fatto [sempre se accetta l' invio di file : esempio un ftp hosting creato da uno che non sa' cosa e' la security]
Per altre domande siamo sempre qui
Tralasciando la prima soluzione che funzionana raramente, tutti gli altri metodi sono efficaci, alcuni non mi venivano in mente altri non li ho scritti perché non credevo che la gente non arrivasse a fare tanto(trovare vulnerabilitá,ecc...) per distruggere un sito che poteva avere un semplicissimo backup
Inviato Tramite: App Ufficiale di Inforge.net
Inviato Tramite: App Ufficiale di Inforge.net
Ma cos'é questa cagata da lamer Delle elementari1
- Trovare il sito vulnerabile
- Aprire il Prompt dei comandi
- Appena il Prompt dei comandi si apre seguite in ordine le cose da digitare:
- ftp
- open
- ftp.sitovulnerabile.it
- ftp.sitovulnerabile.it
- [Alla fase inserire PASSWORD]; premere invio
- quote user ftp
- quote cvd~root (Se riesce a connetterti con questo comando significa che il sito è ormai bucato)
- quote pass ftp
- dir- Aprire la nostra pagina di internet e nella barra degli indirizzi inseriamo: ftp.sitovulnerabile.it
Naturalmente cio' e' una cosa quasi banale, comunue o visto siti che erano vulnerabii a cio' [anche se sono molto rari].
2 Poi: se il server FTP e' vulnerabile di suo, ti basta trovare un exploit adeguato: magari e' obsoleto od mal impostato, usa un servizio non ben protetto ecc.....; Questo modo e' quello piu' ricorrente e piu' intelligente, perche' permette di sfruttare falle nella piattaforma evitando di lasciare la maggior parte delle tracce che si lasciano invece con injection di query/webshell/comandi/codice ecc....
3 Social engineering : qesta tecnica non passera' mai d moda come la stupidita' umana..............
4 Bucare il sito in http/https e successivamente bucare il servizio ftp [se hostato sullo stesso server]. Queso attaccco e' molto efficace quando ti si presentano davanti siti vulnerabili a code/command injection ed execution; In questo modo e' come avere accesso diretto alla macchina server, quindi controllare processi, servizi ecc....., e' relativamente semplice
PS: 5 Attraverso injection di file tramite il protocollo stesso nel caso sia aperto ad un tuo trasferimento, ti bastera' uppare una webshell ben camuffata ed il gioco e' fatto [sempre se accetta l' invio di file : esempio un ftp hosting creato da uno che non sa' cosa e' la security]
Per altre domande siamo sempre qui
Ti cosiglio di usare gli occhiali dato che dico : "Cio' naturalmente e' una cosa elementare che funge solo su pochissimi siti mal protetti "[o per lo meno questo e' il concetto].
Per quanto riguarda il resto, scommetto che neanche sai cosa significano quei 2 comandini; Comunque si' : per provare a bucare un sito in questo modo, giusto un lamer lamerato puo' provarci in questo modo; Purtroppo come ci sono laer negli attacker, ci sono anche lamer nei defender, quindi non c'e' da sorprendersi se poi si trova il proprio sito bucato o se riuscimo a bucare un sito con quei 2 comandini.
Detto cio' , le altre alternative sono tutte valide: e ricordati [saitama] che spesso cose complessi partono da stupide cosette: e' partito cosi' l' Universo [o per lo meno affermano cosi'], e' partito cosi' il primo ddos [da un ragazzino che amava l' error404] ed e' partito cosi' wannacry [da qualche lamer che pero' sa sfruttare ed osare]. Ti invito a rifletterci....
Per il resto se hai altri metodi "geniali" ti invito a postarli.......almeno che non hai trovato una nuova vulnerabilita' nel sistema ftp della nasa.
Per il resto auguro una buona domenica a tutti, per altro sono sempre qui [apparte se non mi viene un nfarto dal caldo].
No, non avevo messo blocchi all'IP dici che può essere stato quello il problema?
1
- Trovare il sito vulnerabile
- Aprire il Prompt dei comandi
- Appena il Prompt dei comandi si apre seguite in ordine le cose da digitare:
- ftp
- open
- ftp.sitovulnerabile.it
- ftp.sitovulnerabile.it
- [Alla fase inserire PASSWORD]; premere invio
- quote user ftp
- quote cvd~root (Se riesce a connetterti con questo comando significa che il sito è ormai bucato)
- quote pass ftp
- dir- Aprire la nostra pagina di internet e nella barra degli indirizzi inseriamo: ftp.sitovulnerabile.it
Naturalmente cio' e' una cosa quasi banale, comunue o visto siti che erano vulnerabii a cio' [anche se sono molto rari].
2 Poi: se il server FTP e' vulnerabile di suo, ti basta trovare un exploit adeguato: magari e' obsoleto od mal impostato, usa un servizio non ben protetto ecc.....; Questo modo e' quello piu' ricorrente e piu' intelligente, perche' permette di sfruttare falle nella piattaforma evitando di lasciare la maggior parte delle tracce che si lasciano invece con injection di query/webshell/comandi/codice ecc....
3 Social engineering : qesta tecnica non passera' mai d moda come la stupidita' umana..............
4 Bucare il sito in http/https e successivamente bucare il servizio ftp [se hostato sullo stesso server]. Queso attaccco e' molto efficace quando ti si presentano davanti siti vulnerabili a code/command injection ed execution; In questo modo e' come avere accesso diretto alla macchina server, quindi controllare processi, servizi ecc....., e' relativamente semplice
PS: 5 Attraverso injection di file tramite il protocollo stesso nel caso sia aperto ad un tuo trasferimento, ti bastera' uppare una webshell ben camuffata ed il gioco e' fatto [sempre se accetta l' invio di file : esempio un ftp hosting creato da uno che non sa' cosa e' la security]
Per altre domande siamo sempre qui
Avevo già trovato su Google, ho provato per curiosità ma non è successo niente, è molto più probabile che abbiamo usato la Brute Force per accedere, solo che ho notato che loro la password non la conoscevano e ne sono anche certo
Secondo me bruteforce [potrebbe pure starci se la password che adottavi era semplice], non e' un metodo "nobile" per fare cio' ;
Penso abbiano sfruttato una vunerabilita' della piattaforma [che essendo aruba sarebbe molto difficile], quindi forse adottavi form non sicuri, avevi un sito http che sfruttava il server ftp? adotti plugin per la piattaforma [spesso sono questi i problemi principali]? hai risposto a mail non "certe" ? [l ultima opzione e' questa].
Se la risposta e' no, magari hanno fatto XSS sul sito normale, poi hanno preso il tuo ccokie e successivamente lo hanno adottato per prendere il controllo del sito e successivamente [sempre se ftp e' unito ad http] anche dell ftp service.
Senno' erano dei bravi maghi...lol, se poi mi dici il sito [magari in privato] gli do' una semplice occhiata [tranquillo non faccio nulla di male].
Penso abbiano sfruttato una vunerabilita' della piattaforma [che essendo aruba sarebbe molto difficile], quindi forse adottavi form non sicuri, avevi un sito http che sfruttava il server ftp? adotti plugin per la piattaforma [spesso sono questi i problemi principali]? hai risposto a mail non "certe" ? [l ultima opzione e' questa].
Se la risposta e' no, magari hanno fatto XSS sul sito normale, poi hanno preso il tuo ccokie e successivamente lo hanno adottato per prendere il controllo del sito e successivamente [sempre se ftp e' unito ad http] anche dell ftp service.
Senno' erano dei bravi maghi...lol, se poi mi dici il sito [magari in privato] gli do' una semplice occhiata [tranquillo non faccio nulla di male].
La password che usavo prima era quella standard che da Aruba, penso non sia facile da trovare essendo che sono numeri e lettere random, per fare le form non ho usato plugin.. ma non credo abbiano sfruttato cose del genere, nel caso come faccio a controllare?
Come dicevo usavo la password che fornisce Aruba alla registrazione, non ho idea se è calcolata in qualche modo o completamente random
Ora è tutto apposto, non ci sono più le loro robe, come controlleresti nel caso? Perché se è un problema che magari ho creato io per sbaglio voglio capire come risolvere
Il sito è di un associazione onlus http://www.ipfionadi.it, se scopri qualcosa o se mi puoi spiegare come fai a trovare errori fammelo sapere, grazie!
- Stato
DISCUSSIONI SIMILI
- In evidenza
-
- 35
-
- 3K
- Release
- In evidenza
-
- 10
-
- 6K