Mi hanno bucato il server.......

[stefanoxjx]

Quote:

Originariamente inviato da W.S.

bhe quindi è già tutto risolto? sito patchato e file server rimosso?

Il fileserver l'ho rimosso ancora ieri dopo aver fatto qualche prova per capirne il funzionamento, mentre la patch la installo questa sera e poi via alla ricerca di nuovi bachi, fino ad arrivare la dove nessun hacker è mai arrivato prima

[W.S.]

hehehe perfetto

[tutmosi3]

Quote:

Originariamente inviato da stefanoxjx

Dovete stare più attenti, come fate a fidarvi di lasciarmi solo in questo modo?
Contrariamente a quanto dici, per me più che una disavventura è un'avventura
C'è sempre qualcosa da imparare da questi avvenimenti

Sono contento che la rpendi con uno spirito così costruttivo.
Hai tentato il tracing?
Ciao

[stefanoxjx]

Quote:

Originariamente inviato da tutmosi3

Hai tentato il tracing?
Ciao

Si, l'ho fatto personalmente.
Mi sono infilato dentro al cavo di rete ed ho seguito il segnale fino al suo PC.
Gli è preso un colpo quando ha visto la mia testa sbucargli dallo sportellino del lettore DVD

Comunque, come già detto prima è Italiano e il suo provider è libero.it.
Inoltre sul suo PC ha un server FTP attivato su una porta non standard.

@W.S.: Quel servizio che si diceva è un server FTP e non VNC.

[Marco-S]

Quote:

Originariamente inviato da stefanoxjx

Si, l'ho fatto personalmente.
Mi sono infilato dentro al cavo di rete ed ho seguito il segnale fino al suo PC.
Gli è preso un colpo quando ha visto la mia testa sbucargli dallo sportellino del lettore DVD

Comunque, come già detto prima è Italiano e il suo provider è libero.it.
Inoltre sul suo PC ha un server FTP attivato su una porta non standard.

@W.S.: Quel servizio che si diceva è un server FTP e non VNC.

Ciao, mi dispiace per la tua disavventura spero nulla di grave, però ti voglio raccontare una cosa. Un paio d'anni fa, dopo un'attacco simile al tuo, presero dati sensibili da un nostro DB. Un sito amatoriale, una sciocchezza alla fine. Fu più un gioco a chi "lamerava" meglio (furono 2 o 3). Beh fu fatta denuncia alla Polizia Postale. Sono stati presi dalla GdF ed hanno passato i guai. Naturalmente se fai una denuncia del genere (che è penale), anche se poi ci ripensi e la vuoi ritirare, andrebbe avanti d'ufficio, e farebbe il suo corso. Non sono stati dei fulmini di guerra, ma t'assicuro che li hanno presi eccome. E per una cazzata del genere si rischia grosso. Questo solo a titolo informativo, se volessi procedere con la denuncia.

[stefanoxjx]

Quote:

Originariamente inviato da Marco-S

Ciao, mi dispiace per la tua disavventura spero nulla di grave, però ti voglio raccontare una cosa. Un paio d'anni fa, dopo un'attacco simile al tuo, presero dati sensibili da un nostro DB. Un sito amatoriale, una sciocchezza alla fine. Fu più un gioco a chi "lamerava" meglio (furono 2 o 3). Beh fu fatta denuncia alla Polizia Postale. Sono stati presi dalla GdF ed hanno passato i guai. Naturalmente se fai una denuncia del genere (che è penale), anche se poi ci ripensi e la vuoi ritirare, andrebbe avanti d'ufficio, e farebbe il suo corso. Non sono stati dei fulmini di guerra, ma t'assicuro che li hanno presi eccome. E per una cazzata del genere si rischia grosso. Questo solo a titolo informativo, se volessi procedere con la denuncia.

Grazie dell'info.
Effettivamente ci sto ancora pensando ma non sono molto convinto per una serie di motivi:

1. Tutto sommato i danni che ho avuto sono molto limitati

2. E se come mi ha già detto qualcuno fosse un ragazzino brufoloso? Essendo anch'io un genitore mi metto nei panni di quegli eventuali genitori che si trovano con la GdF o la Polizia postale in casa senza nemmeno sapere il perchè!!

3. Meno etico ma comunque per me importante; ho visto che si può fare denuncia via web, però entro due giorni bisogna andare a formalizzarla presso l'ufficio della Poliza Postale.
Questo mi impone di andare all'ufficio più vicino che è a Padova e per me vorrebbe dire perdere almeno mezza giornata di lavoro. Ci rimetterei di più così che con il danno che ho subito dall'hacker


Nzomma!!! Sto ancora meditando

[Marco-S]

Approvo le tue riflessioni, soprattutto quello da genitore, anche se io non lo sono

[darkbasic]

Lascia perdere la denuncia, se quello è il suo vero ip è soltanto un lamerozzo, probabilmente un ragazzino brufoloso, nel caso contrario fai soltanto passare dei guai a quel poveretto che non c'entra niente e te la sogni di beccare il vero colpevole.
In entrambi i casi non c'hai guadagnato niente. Prendilo come uno stupido penetration test che ti è servito per imparare qualcosa di nuovo e facci due risate sopra

[il_Mancino]

per quanto lecite mi permetto di dissentire dalle tue riflessioni.

che sia o meno un ragazzino annoiato conta poco, quel che conta è l'atto e l'intrusione in un altrui proprietà non è cosa da prendersi alla leggera.

il fatto che tu abbia avuto danni irrilevanti se non addirittura nulli può sollevarti e rinfrancarti ma di certo non deve arrivare a diventare un'attenuante per questi figuri.

io non ci avrei pensato neanche 10 secondi onestamente, il tuo non sporgere denuncia potrebbe anzi, paradossalmente, incentivare certe azioni future da parte di questa persona che evidentemente si crede pure di essere bravo.

naturalmente tutto quanto esposto sin qui è solo la mia modestissima opinione.

ciao

[tutmosi3]

La mia opinione sta a metà strada tra quelle esposte finora.

Se uno lascia il suo IP così in bella mostra lo fa perchè non è in grado di occultarlo oppure perchè non gliene frega niente, al massimo rintracciano una macchina zombie, il che mi fa pensare ad una possibile ripetizione.

Prendiamo un esame il caso 2.
Un rompiballe professionista ha, al suo fianco X macchine zombie.
Esse attaccano per suo conto ma si deve trattare di una schiera di PC comandati da utonti o semi utonti; incapaci di analizzare il loro PC a fondo e di notare anomalie di traffico.
In questo caso, la denuncia sarebbe solo infierire.

Però (e andiamo al caso 1), un utonto non è in grado di usare servizi quali FTP nel 90% dei casi.
In questa occasione una bella lezioncina non ci starebbe male.

Non sono esperto di quastioni legislative.
La denuncia può essere fatta anche dopo qualche tempo?
Intendo dire: tu hai scoperto l'intrusione qualche giorno fa, è possibile denunciarla fra 2 settimane?

Ciao

[tutmosi3]

Quote:

Originariamente inviato da stefanoxjx

Si, l'ho fatto personalmente.
Mi sono infilato dentro al cavo di rete ed ho seguito il segnale fino al suo PC.
Gli è preso un colpo quando ha visto la mia testa sbucargli dallo sportellino del lettore DVD

Comunque, come già detto prima è Italiano e il suo provider è libero.it.
Inoltre sul suo PC ha un server FTP attivato su una porta non standard.

@W.S.: Quel servizio che si diceva è un server FTP e non VNC.

Me l'immagino.
Deve essere qualcosa tipo
Ciao

[W.S.]

Io concordo appieno con stefanoxjx. Vista l'entità del danno non ne vale la pena.

L'unico motivo che mi viene per procedere è quello di tutelarti da eventuali iniziative di terzi visto che simpaticamente ha usato il tuo server per fare file sharing di materiale illegale. Se la cosa è durata un pò potrebbe non essere una brutta idea, se ti sei accorto e hai risolto in poco tempo allora è inutile.

P.S.: d'ho, è vero, anche l'ftp usa un 220 all'inizio, non solo l'smtp

[stefanoxjx]

Diciamo pure che ho deciso di non sporgere denuncia.
Un utente del forum mi ha raccontato quello che è successo dopo aver fatto una denuncia (fatto che ovviamente non voglio raccontare perchè lui stesso me l'ha raccontato in pvt) e dal punto di vista umano, non voglio nemmeno pensare di trovarmi in una situazione simile.
Per quanto riguarda il file sharing, posso confermarti che il tutto è durato poco, grazie alle email con i log che ogni mattina mi trovo nella mia casella di posta, inoltre sullo stesso server (il mio ) è installato anche amule, quindi se stiamo a guardare...............
Avrei fatto sicuramente denuncia se avessi trovato dentro materiale pedopornografico, però ho trovato un paio di banali film e nemmeno completi; tra l'altro nemmeno il genere che mi piace
Comunque ora mi preparo uno script che mi avviserà quando quel determinato ip si farò vedere nel mio server, se proprio insiste allora potrei cambiare idea.


P.S. Ora il server è pulito e le patch sono installate

[tutmosi3]

Sapevo che non avresti agito, sei troppo buono.

Scusa, non ho capito se l'autore delle marachelle è consapevole del fatto che lo hai sgamato.
Se non lo hai fatto, almeno fagli prendere un po' di paura.

Ciao

[stefanoxjx]

Quote:

Originariamente inviato da tutmosi3

Sapevo che non avresti agito, sei troppo buono.

Scusa, non ho capito se l'autore delle marachelle è consapevole del fatto che lo hai sgamato.
Se non lo hai fatto, almeno fagli prendere un po' di paura.

Ciao

Sarà sicuramente consapevole del fatto che mi sono accorto che il server è stato bucato, non credo sappia che sono in possesso del suo codice ip e del suo nickname.
Pensavo di lasciare sulla mia pagina web il pulsante che lui utilizzava per attivare l'applicazione però collegarlo ad una pagina html che gli facesse capire che sono in grado di fargli passare dei guai.
Un messaggio del tipo:

Codice:

Eilà pirla dal nickname xxxxx con codice ip 222.222.222.222.
Sappi che ho già esposto denuncia nei tuoi confronti.
Preparati la Vaselina :D

[tutmosi3]

Quote:

Originariamente inviato da stefanoxjx

Sarà sicuramente consapevole del fatto che mi sono accorto che il server è stato bucato, non credo sappia che sono in possesso del suo codice ip e del suo nickname.
Pensavo di lasciare sulla mia pagina web il pulsante che lui utilizzava per attivare l'applicazione però collegarlo ad una pagina html che gli facesse capire che sono in grado di fargli passare dei guai.
Un messaggio del tipo:

Codice:

Eilà pirla dal nickname xxxxx con codice ip 222.222.222.222.
Sappi che ho già esposto denuncia nei tuoi confronti.
Preparati la Vaselina :D

S T A N D I N G
O V A T I O N

Ciao

[darkbasic]

Altro che denuncia, fallo cacare addosso

[W.S.]

bellissimo!
tieni conto però che non è detto che quello sia il suo ip e non l'ip di un altro server che ha bucato e che quel nick potrebbe essere un nick condiviso da tutta la crew per l'upload dei file nel servizio distribuito...in effetti tra file di configurazione e sorgenti ci son diversi nick/passwd... cmq bellissima l'idea

[pinok]

Quote:

Originariamente inviato da ilsensine

Segnala i dati alla Polizia Postale, anche se ho paura che si tratti di uno zombie.

In quest'ultimo caso segnalalo a Dylan Dog

[mr-smith]

Quote:

Originariamente inviato da stefanoxjx

Ciao, ho scoperto che mi hanno bucato il server passando tramite il servizio HTTP.
Sbirciando sui vari file che ho trovato ho scoperto il nome (in codice), l'indirizzo ip e il s.o. usato (ubuntu edgy) dell'hacker che è riuscito a farmi questo scherzo.
Siccome secondo me l'attacco è stato fatto in maniera abbastanza ingegnosa (almeno per le mie conoscenze), volevo sapere se qualcuno che conosce bene la programmazione in PHP è disposto a darmi una mano a capire come ha fatto a sbattermi dentro questi file e che cosa fanno.
Studiando un po' i sorgenti (php) ho visto che ci sono vari comandi linux all'interno, però non ho capito se il tipo è riuscito a scalare la gerarchia dei permessi o se è rimasto fermo a /var/www.
Ovviamente, chi è disposto ad aiutarmi riceverà in pvt il file zip con tutti i file incriminati.
Grazie.
Byez.

Come ti sei accorto del buco? cosa si deve cercare nei log file? e in quali log file?