Denna delen av 99 uppdateras inte längre utan har arkiverats inför framtiden som ett museum.
Här kan du läsa mer om varför.
Mac-nyheter hittar du på Macradion.com och forumet hittar du via Applebubblan.

Hackad så in i...

Tråden skapades och har fått 13 svar. Det senaste inlägget skrevs .
1
  • Medlem
  • Jönköping
  • 2002-04-21 14:53

Hej.

Jag har just blivit hackad...
http://sojz.dhs.org/index-hackad.html

det där var synen som jag möttes av för en liten stund sen när jag skulle kolla sojz.dhs.org sidan, när jag sedan kollade mappen som innehåller html-dokumenten så låg "index.html.bak" där så jag kunde enkelt byta tillbaks till gamla sidan igen..

MEN, hur / när / varför / vem har gjort detta??!
jag grävde lite apache loggar men hittade inget mystiskt.. kör f.ö. mac osx server 10.0.2.

har en d-link som endast forwardar ftp/ssh/web till denna servern, dom andra är förstås stängda..

Detta känns mycket obehagligt och jag hoppas att någon kan tipsa / hjälpa mig med hur jag ska förhindra detta från att hända igen!

jag kollade förresten ftp-loggar, och alla var tomma.. lite små-mystiskt..

//granis - hackad

Vad har du för portar öppna och vilka program/servrar är igång? (även om d-linken bara forwardar ftp/www o.s.v.) D-Link har kända säkerhetshål oxo.

Kolla också efter "session opened for user root" i systemloggen.

Ciryon

[ 21 April 2002, 18:31: Meddelandet ändrat av: ciryon ]

Uppdatera din OSXS 10.0.4 till 10.1.4 el åtminstonde 10.1 så ska du se att iaf Marias förslag täpps till.

  • Medlem
  • Uppsala
  • 2002-04-21 21:33

Eftersom vi inte har alla data på vilken version av vilken tjänst du har öppen bör du istället titta på
Apple´s security updates

Går du in där och börjar titta på vilka säkerhetshål manb täppt till efter 10.0.2 så är det en hel del. Vid en snabb överblick så finns det beskrivet kända sårbarheter för både Apache, FTP och SSH. Genom att kolla vad du har kört på förkonfiguration borde du nog kunna hitta vilket hål man använt.

För att skydda sig bör man:

- Alltid snabbt uppdatera sina system med buggfixar och säkerhetspatchar.
- Köra med någon form av brandvägg med loggning
- Ha ett uppdaterat antivirusskydd

Vill man ha extra säkerhet kan du ställa webservern (förutsätter att du sitter med mer än en dator) på en DMZ (demilitarized zone) som i princip är ett eget nätverkssegment. Genom det kan man aldrig få kontroll över din arbetsmiljö även om man har kontroll över webbservern.

Rent principiellt ska man vara försiktig med nyttjande av FTP, kan göra mycket kul där om man inte är hundra på konfigureringen.

Får räcka för nu

Lycka till

  • Medlem
  • Jönköping
  • 2002-04-21 22:24

ups

jag skrev fel version på osx server

jag har f.n OS X 10.1.3.

  • Medlem
  • Uppsala
  • 2002-04-21 22:33

Okidoki, men kolla ändå på sidan. Eftersom du inte har så många tjänster öppna, kan det ju inte finnas alltför många kända svagheter som passar in.

  • Medlem
  • Jönköping
  • 2002-05-04 13:26

Jaha, suck.. då var det dags igen

Darwin oasis 5.4 Darwin Kernel Version 5.4: Wed Apr 10 09:27:47 PDT 2002; root:xnu/xnu-201.19.3.obj~1/RELEASE_PPC Power Macintosh powerpc tty0 waz here and own your MacOSX

Ytterligare nån idiot har vart där och "hackat" mig IGEN, och jag har installerat varenda security fix som finns på software-update!

Blir fan tokig på detta, har en router (d-link) som har ssh/web/ftp öppet till OSX-datorn, är det någon som vet hur dom gör detta?

Fy fan.

Säg till när du vet vem det är så skall vi göra hans egna dator lite sur & seg

Du borde ju till o börja med byta admin + root lösenord. Då personen uppenbarligen har tillgång till något sådant.

  • Medlem
  • Stockholm
  • 2002-05-04 18:23

När man blivit crackad installerar man om burken! Det kan ligga mycket gömt i systemet, som man normalt sett inte märker.

Citat:

quote:Skapades ursprungligen av: marcus:
När man blivit crackad installerar man om burken! Det kan ligga mycket gömt i systemet, som man normalt sett inte märker.

Så sant så. Du kan heller aldrig veta vad dom tagit av dig heller. Koder, personuppgifter m.m

Givetvis..

Stäng av ftp — förmodligen den tjänst hos dig som är den svagaste länken. Den behövs inte heller eftersom SSH innehåller scp.

Tillåt aldrig anonym tillgång till maskinen för någon filhanteringstjänst.

Ändra ALLA lösenord på maskinen — du måste räkna med att de är välkända numera.

Kör loggserver med någon kamrat — d.v.s. skicka kontinuerligt systemloggar till en annan maskin för kontroll i efterhand (eftersom den som gör ett intrång normalt tar bort spåren efter sig i loggar).

Tillåt bara utvalda IP att ansluta med SSH (genom konfigurering i ipfw) — alla behöver inte kunna ansluta till din maskin.

Om du nu kör server — lägg dig till med beteenden där du hela tiden kollar av händelser på maskinen (t.ex. genom att alltid köra "last" när du loggar på). Att "tillåta" intrång på din maskin riskerar i viss mån hela subnätet.

Du skall inte bara säkra upp maskinen, du skall göra den osynlig på alla andra områden än de där den behövs — d.v.s. i princip bara www synligt.

//Mikael

1
Bevaka tråden