Jump to content
Search In
  • More options...
Find results that contain...
Find results in...
  • Phishing! | jimiwikman.se

    Phishing!

    Posted , 119 views, 0 comments

    Är det någonting som kan förstöra en dag så är det att får brev från bankofamerica.com där dom påtalar att en kund har phishing sidor upplagda på sitt konto. Istället för att sätta mig ner och jobba på en del projekt fick jag nu istället slänga upp SSH och gå igenom servern efter dessa filer och en snabbgenomgång av alla konton på servern efter osäkra skript och felaktiga CHMOD permissions. Lyckligtvis finns det en del SSH kommandon som underlättar, som till exempel find och RM.

     

    I det här fallet hade skojarna lagt upp en serie kataloger som alla hette /www.bankofamerica.com/ så genom använda find kommandot kunda jag söka igenom servern efter dessa filer genom följande kommando:

     

    find . -name *bank* -print

     

    När jag väl hittade en katalog som passade in har dom lagt in ett skydd som förhindrar att man ändrar CHMOD eller raderar filerna genom FTP eller Cpanels kontrollpanel. Då fungerar följande kommando i SSH ypperligt:

     

    rm -rf www.bankofamerica.com/

     

    Det tar bort hela katalogen och alla underkataloger som en varm kniv genom smör.

     

    Totalt har jag hittat över 2000 filer med felaktig CHMOD, så jag har skickat ut ett brev till alla kunder att hålla lite koll på skripten dom installerar och se över dom filer dom har på sina konton utifall jag missat något. Det tog ett tag, men förhoppningsvis ska det mesta vara tilltäppt nu iallafall. Hade gärna spenderat tiden på annat, men kundernas säkerhet går alltid först.

     

    Andra SSH kommandon som är användbara är dom som föreslås av Cpanel:

    netstat -anp : Look for programs attached to ports that you did not install / authorize

    find / ( -perm -a+w ) ! -type l >> world_writable.txt : Look at world_writable.txt to see all world writable files and directories. This will reveal locations where an attacker can store files on your system. NOTE: Fixing permissions on some PHP/CGI scripts that are not properly coded will break them.

    find / -nouser -o -nogroup >> no_owner.txt : Look at no_owner for all files that do not have a user or group associated with them. All files should be owned by a specific user or group to restrict access to them.

    ls /var/log/: There are many different logs on your system which can be valuable resources. Check your system logs, apache logs, mail logs, and other logs frequently to make sure your system is functioning as expected.

    User Feedback

    Recommended Comments

    There are no comments to display.



    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...