Pokaż wyniki 1 do 5 z 5

Temat: hosting overtaken

  1. #1
    Zarejestrowany
    Nov 2009
    Postów
    643

    Domyślnie hosting overtaken

    Dzisiaj postanowiłem zrobić kilka podstawowych testów hostingu na którym kilka tygodni temu otworzyłem konto testowe.
    Jest to hosting płatny, polski.

    Po ok. 10 minutach udało mi się uzyskać pełen dostęp do ok 10 tys. domen utrzymywanych przez tę firmę, pliki, bazy danych, strefy dns, nawet główna strona hostingu, dosłownie wszystko....
    I to bez wymyśnych metod, exploitów, pierdół...
    Tylko panel i php...

    Jakoś nie śpieszy mi się z reportowaniem tego do adminów, głównie dlatego, że nie odebrali odemnie telefonu...

    Ma ktoś jakieś intrygujące pomysły?

    $$$ ?
    Ostatnio edytowane przez lame : 02-13-2011 - 20:37
    światło mądrości oświetla drogę z nikąd do nikąd

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    intrygujace?

    ja bym zaczal od sprawdzenia czy umowa przewiduje ze mozesz robic testy bezpieczenstwa uslug ktore u nich kupujesz - niektore firmy tego zabraniaja :-o a jak im zglosisz to beda Ciebie scigac jesli trafisz na idiote...

    Ja generalnie bym sie nie pienil ze nie odebrali telefonu - moze akurat nie bylo nikogo w poblizu... tak bywa, wiem po sobie
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    Nov 2009
    Postów
    643

    Domyślnie

    Intrygujące.

    Może by tak zarobić na tym szmalec? addsy przez (przy dobrych wiatrach) pare dni na 10k webach.. można skubnąc troche grosza..

    A może artykuł? Pamiętam pare lat wstecz dzieło redakcji hack.pl o luce w home.pl... może by tak powtórka z rozwywki?
    Sprawa troszeczke inna, tamta luka to było typowe czepianie się, ale za to firma duża, więc chwyciło.
    Niestety omawiany hosting ze szczytów list rankingowych nie pochodzi, za to luka krytyczna przez duże "k".

    Najlepiej z głową, poszukać stron na których są adsens'y i podmieniać client-id dynamicznie i losowo, tak żeby nawet owner strony nie połapał się, że coś było mieszane...

    Można by też zrobić psikusa i na każdej domenie dać w robot.txt "Disallow: /"
    W rezultacie wyindeksowane zostaną wszystkie stron ich klietów, przynajmniej powinny.

    Oczywiście pozostaje total-owned, czyli podmiana contentu na wszystkich stronach wliczając w to głowną, najlepiej z przekierowaniem na jakies malware, do tego skasować backup.

    Nic więcej intrygującego mi do czachy nie przychodzi..
    Ostatnio edytowane przez lame : 02-13-2011 - 22:12
    światło mądrości oświetla drogę z nikąd do nikąd

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Jesli dla Ciebie glupota jest intrygujaca to bardzo prosze...

    1. Malo kto wie jak skonczyla sie sprawa z home o ktorej wspominasz ale powiem Ci ze odradzam takie zagranie...
    2. Podmiana czegokolwiek to paragraf i kasy Ci nie przyniesie

    Chcesz zrobic jak nalezy? Powiadom operatora i daj mu czas na zabezpieczenie (okreslony z gory) a pozniej opublikuj info o dziurze, razem z informacja ze zostalo juz zalatane. Jak dobrze zagadasz z firma to i mozesz prace pewnie u nich dostac ("a przypadkiem nie potrzebujecie kogos bardziej na stale kto bedzie szukal takich czy innych dziur?")
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Zarejestrowany
    May 2010
    Postów
    184

    Domyślnie

    Jak sprobujesz przemycic reklamy, a hosting ich nie dokleja to od razu cie wykryja, bo ktos to zglosi. Mozesz przejrzec kazde konto, i jesli oni maja swoje reklamy, to tam swoje dodac. Ale nie podmieniac, bo zauwaza. Jakis skrypt ktory 2 razy wyswietli czyjas, raz twoja.

    Oczywiscie bazy danych i haselka. Z tym mozesz miec od cholery roboty. Sprawdzasz czy hasla pasuja do maili, jak tak, to przegladasz maila i szukasz nastepnych hasel, bo zazwyczaj wymagaja przy rejestracjach maila, a idioci podaja swoj glowny.
    Jak ktos ma stronke na 1 hostingu, jest szansa ze ma ich wiecej. A jak jest on platny, to pewnie paypal tez nie jest mu obcy. Konto na rapidshare zawsze sie przyda. Gry mmorpg, czasem ciekawe rzeczy mozna znalezc. Moze masz jakies tematyczne domeny?

    Podmieniasz skrypty php i zapisujesz hasla userow ktorzy sie loguja, gdzie sie tylko da. Im wiecej hasel tym lepiej. Najlepiej zacznij od samego hositngu. Taki admin ma pewnie wiecej projektow wartych uwagi.

    Oczywiscie jak znajdziesz jakas popularna domene, to mozesz robic 'reklame' wsrod znajomych by zakladali tam konta. I moze haselko sie do czegos przyda. Moze jakis exploicik od czasu do czasu, ale czy warto dla kilku osob... A na stale nic nie podczepiaj, bo od razu ktos zauwazy.

    Nie rob nic co pozwolilo by cie wykryc, typu nie obciazaj serwera, nie odpalaj zasobozernych procesow, nie resetuj ciagle uslug.
    Najlepiej zalatw sobie wejscie bezposrednio, przez tcp/ip, to nie zostawi wielu logow ktore admin pewnie sprawdza co jakis czas. Mozesz tez uzyc ssh, ale poznaj system, zobacz gdzie tworza sie jakie logi i je kasuj. Tzn nie caly log, tylko twoje wejscie. Oczywiscie zakladam ze masz/zamiezasz miec dostep jako root.

    Pamietaj, ze jak cie ktos 'zlapie' ze podmieniles mu 1 skrypt, nie znaczy ze masz po zabawie. Ten ktos bedzie myslal ze tylk oon mial hacka. Mozesz wtedy pozacierac wiekszasc sladow, i bedzie ok, uwazac na przyszlosc.

    Siedz w serwerze tak dlugo jak tylko mozesz, i zdobywaj tyle informacji ile potrafisz. Poznaj topologie sieci w ktoej jestes, moze cos ciekawego znajdziesz?
    Jak zrobisz deface, to bedziesz zadowolony przez tydzien gora dwa. Tak to masz zabawe na dlugie miesiace.
    Ja bym to zrobil. I wilk syty, i owca cala (do czasu ).




    A jak juz chcesz koniecznie niszczyc, bo zalozmy ci sie znudzi albo co, to sprawdz na jakiej plycie stoi serwer,
    poszukaj sposobow na flash biosa i go zrob
    Ostatnio edytowane przez linux_aa : 02-15-2011 - 14:46

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj