Zendamateur.COM

24 uur per dag QRV
Het is nu 22 aug 2017, 06:30

Alle tijden zijn GMT + 1 uur




Plaats een nieuw onderwerp Antwoord op onderwerp  [ 12 berichten ] 
Auteur Bericht
 Berichttitel: Aardige medeamateurs
BerichtGeplaatst: 16 jan 2017, 12:50 
Offline
Avatar gebruiker

Geregistreerd: 18 nov 2008, 21:56
Berichten: 322
Er zijn een paar aardige mede amateurs in Brazilië die zich vuil maken aan phirsing. Ik ben door XS4ALL op de hoogte gesteld, heb mijn website offline gehaald
en denk ook niet meer dat ik hem terug zet. Ik weet voor een 90 procent zeker wie mij dat kunstje gelapt heeft. maar omdat ik het niet voor 100 procent zeker weet noem ik zijn call maar niet. Wel heb ik de ip adressen van die aardige mede amateurs. Dat zijn 104.236.43.222 en 104.236.43.123.
Zie ook het script wat ze in je server zetten HI.
<html>
<meta http-equiv="Refresh" content="0; url=http://104.236.127.123/PROMOCAOAMERICANAS/">
</html>
Als je de website wil bezoeken moet je wel een free proxyserver in Brazilië in je brouwser zetten.
Zo slim zijn ze wel HI.
Kijk dus uit voor dit soort figuren. Vrolijk wordt je er niet van, en goed voor onze ham spirit is het evenmin.
Jammer dat je je mede amateurs steeds minder kan vertrouwen. In die 28 jaar dat ik nu mijn machtiging heb is de zaak behoorlijk achteruit gegaan.
Vandaar dat ik er nog nauwelijks iets mee doe.

Gr. Anne PB1A

_________________
Als er is mijn radioshack stof op waait pak ik een stofzuiger om het op te zuigen!!


Omhoog
 Profiel  
Antwoord met een citaat  
 Berichttitel: Re: Aardige medeamateurs
BerichtGeplaatst: 16 jan 2017, 13:22 
Offline

Geregistreerd: 18 sep 2015, 20:26
Berichten: 91
Woonplaats: JO30AV
Lol... ik weet niet wat die xs4all medewerker/computerscript je gemaild heeft maar er is m.i. Wat heel anders aan de hand. Bij fishing proberen ze JOUW inloggegevens te jatten deze url vraagt inloggegevens voor heel andere zaken. Ik denk dat je conclusie (of die van xs4all) wat erg kort door de bocht is.

1. De regel html in je webpagina (die vermeld in je post) verwijst naar de beheerderrslogin van een reclamewebsite.

2. Een proxyserver heb je echt niet nodig om e.e.a. Te zien op de gemelde ip adressen.

3. Het lijkt erop dat een blackhat hacker (boefje) een "klik" op een advertentie in jou website heeft gesmokkeld zodat hij advertentieinkomsten kan genereren als jou website, door wie dan ook, bezocht wordt. Alleenis de website op het door jou genoemde ip adres veranderd waardoor er andere zaken gebeuren dan het boefje bedoelde.

4. Er is waarschijnlijk sprake van een beveiligingsgat op de server waarop jou website staat. Daardoor kon die html regel in jou pagina geinjecteerd worden. Dus zeer waarschijnlijk is de xs4all server waarop jouw webspace wordt gehost niet meer helemaal koosjer... handig van xs4all om anderen de schuld te geven als zij het verzaakt hebben om de server up to date te houden.

Waarom je radioamateurs hiervan de schuld geeft is mij een totaal raadsel. Niet alleen radioamateurs bezoeken onze hobbygerelateerde website, er zij heel veel robots die aktief zoeken naar "kapotte servers"
.
Als jij je inloggegevens van de website aan anderen hebt gegeven om je website te maken dan is het natuurlijk geen kwestie van beveiligingsgat op de server. Dan geldt maar 1 ding. Eigen schuld dikke bult. :mrgreen:

73, John

_________________
Wie spelfouten vind mag ze houden.


Omhoog
 Profiel  
Antwoord met een citaat  
 Berichttitel: Re: Aardige medeamateurs
BerichtGeplaatst: 16 jan 2017, 14:13 
Offline
Avatar gebruiker

Geregistreerd: 18 nov 2008, 21:56
Berichten: 322
PD1JAP schreef:
Lol... ik weet niet wat die xs4all medewerker/computerscript je gemaild heeft maar er is m.i. Wat heel anders aan de hand. Bij fishing proberen ze JOUW inloggegevens te jatten deze url vraagt inloggegevens voor heel andere zaken. Ik denk dat je conclusie (of die van xs4all) wat erg kort door de bocht is.

1. De regel html in je webpagina (die vermeld in je post) verwijst naar de beheerderrslogin van een reclamewebsite.

2. Een proxyserver heb je echt niet nodig om e.e.a. Te zien op de gemelde ip adressen.

3. Het lijkt erop dat een blackhat hacker (boefje) een "klik" op een advertentie in jou website heeft gesmokkeld zodat hij advertentieinkomsten kan genereren als jou website, door wie dan ook, bezocht wordt. Alleenis de website op het door jou genoemde ip adres veranderd waardoor er andere zaken gebeuren dan het boefje bedoelde.

4. Er is waarschijnlijk sprake van een beveiligingsgat op de server waarop jou website staat. Daardoor kon die html regel in jou pagina geinjecteerd worden. Dus zeer waarschijnlijk is de xs4all server waarop jouw webspace wordt gehost niet meer helemaal koosjer... handig van xs4all om anderen de schuld te geven als zij het verzaakt hebben om de server up to date te houden.

Waarom je radioamateurs hiervan de schuld geeft is mij een totaal raadsel. Niet alleen radioamateurs bezoeken onze hobbygerelateerde website, er zij heel veel robots die aktief zoeken naar "kapotte servers"
.
Als jij je inloggegevens van de website aan anderen hebt gegeven om je website te maken dan is het natuurlijk geen kwestie van beveiligingsgat op de server. Dan geldt maar 1 ding. Eigen schuld dikke bult. :mrgreen:

73, John


Hoi John,

De webserver draaide bij mij boven op zolder. Ik had poort 80 alleen in mijn Fritzbox open gezet. Daar stond een cursus op voor de aankomende zendamateur. Dat dat geheel niet allemaal waterdicht was was ik van op de hoogte. Dat het een zendamateur betrof weet ik omdat ik 1 persoon getraced heb. Ik doe daar verder geen uitspraken over omdat ik dat zoals eerder vermeld niet geheel zeker weet, en omdat ik aangiften heb gedaan. Voor mij was de website niet interessant meer, dus laat ik hem maar weg. Ik bouw altijd alles zelf (ook de server) alleen de cursus had ik ergens vandaan gehaald en in een aparte directory gezet.

Gr. Anne PB1A

_________________
Als er is mijn radioshack stof op waait pak ik een stofzuiger om het op te zuigen!!


Omhoog
 Profiel  
Antwoord met een citaat  
 Berichttitel: Re: Aardige medeamateurs
BerichtGeplaatst: 16 jan 2017, 14:22 
Offline
Avatar gebruiker

Geregistreerd: 06 maart 2013, 20:31
Berichten: 764
Woonplaats: Almelo/JO32HI
Maar mooi balen Anne, gewoon beginnen met een schone site en die zelf beheren / knutselen. Liefst met automatisch updates en echte wachtwoorden.

Waar een website hebben bijzonder was heeft nu jan en alle man een website zonder na te denken over de beveiliging (eigenlijk net zo als de gemiddelde computer gebruiker), updates etc. Toch zijn daar best wel goede hosting bedrijven voor die bijvoorbeeld Wordpress sites aanbieden met automatische backups, security checks, updates etc.

Edit : dit geld natuurlijk ook voor je eigen gehoste servers.

En dan heb ik het nog niet eens over het stukje social engineering (de mens/gebruiker via sociologie en psychologie hacken).
Als ik op alle e-mails zou reageren waarin ik wordt gesommeerd mijn domeinen te verlengen door middel van een betaling via een of andere vage website, de mails waarin wordt aangeboden om mijn website "gratis" te verbeteren, betere Google ranking, of om mij te helpen mijn website beter te beveiligen (allemaal in naam van hosting provider) door slechts even mijn admin account gegevens te mailen, zou ik een dagtaak hebben. :wink:

_________________
73, Lex

"Computers are fun, but there is more between one and zero"
www.ph2lb.nl . . . . facebook.com/PH2LB


Omhoog
 Profiel  
Antwoord met een citaat  
 Berichttitel: Re: Aardige medeamateurs
BerichtGeplaatst: 16 jan 2017, 14:44 
Offline

Geregistreerd: 06 sep 2013, 10:09
Berichten: 146
Woonplaats: JO22md
Zoals hier boven al gemeld, begin op nieuw met echte (random 15 char. generated) wachtwoorden.

Als het thuis staat achter je fritzbox met maar een poort open wil dat niet zeggen dat een blackhat (sorry Grey hat.. echt black is deze actie niet) er niet bij kan.

Laat je vooral niks wijs maken over wie het gedaan zou kunnen hebben. Tenzij je daar keihard bewijs voor hebt natuurlijk.

Tips:

Je thuis server in een DMZ zetten. dan komen iig niet zomaar verder dan je server..
Gebruik stevige wachtwoorden (euh neet niet Staal, beton oid.) Mijn stel regel is Random characters 15 stuks en bewaar deze op een veilig plek. (internet is niet veilig... nu niet nooit niet)

Als je alles aangepast hebt loop je je site even door en haal je alle niet herkenbare code er uit.

Last but not least... Hulp is fijn, maar nooit remote, omdat je niet ziet wat ze doen. (nja ten dele waar maar het is dan ook mijn werk).

Dus kop op en door.

_________________
73's,

Wijnand - PD5WL - JO22md

TX/RX : FT-817, TS-700G, DJ-596 MkII, Condor 16 / 3000, Ultimate 3, 2m DIY TX, 23cm ATV TX
RX: Yaesu FRG-7700, 13cm ATV RX
Ant. : Comet CX-903, 10el Yagi, 23cm yagi 36 elm,
DIY Ant.: Dipole 10M band, 40m Inverted V, J-Pole 2m, EndFed 10/20/40, 13cm Dish, Active HF Antenna.
On the shelf : 2m kruisyagi, Kathrein 70cm rondstraler, 4 el. yagi 145Mhz, G5RV Junior, Longwire 9:1 unun, 23cm Yagi 35elm, 13cm yagi 8 elm. & Outback 1899.


Omhoog
 Profiel  
Antwoord met een citaat  
 Berichttitel: Re: Aardige medeamateurs
BerichtGeplaatst: 16 jan 2017, 15:44 
Offline
Avatar gebruiker

Geregistreerd: 18 okt 2011, 23:30
Berichten: 819
Woonplaats: Hoogland
Oude versie van een CMS of een niet geupdate Linux server en het is niet de vraag of, maar wanneer je gepakt wordt. Scriptkiddo's doen dit volledig geautomatiseerd. In de tijd dat ik voor een grote hoster werkte (top 10 notering bij SIDN) was het dagelijkse bezigheid om puin te ruimen.

Ik zou dus niet te snel en achterdochtig wijzen naar 'een zendamateur'.

_________________
PH4X
Kijk ook eens op Hamnieuws.nl voor dagelijks nieuws en een actueel overzicht van alle repeaters - www.hamnieuws.nl


Omhoog
 Profiel  
Antwoord met een citaat  
 Berichttitel: Re: Aardige medeamateurs
BerichtGeplaatst: 16 jan 2017, 19:49 
Offline
Avatar gebruiker

Geregistreerd: 18 nov 2008, 21:56
Berichten: 322
Randy schreef:
Oude versie van een CMS of een niet geupdate Linux server en het is niet de vraag of, maar wanneer je gepakt wordt. Scriptkiddo's doen dit volledig geautomatiseerd. In de tijd dat ik voor een grote hoster werkte (top 10 notering bij SIDN) was het dagelijkse bezigheid om puin te ruimen.

Ik zou dus niet te snel en achterdochtig wijzen naar 'een zendamateur'.


Beste Randy.

Ik heb inmiddels poort 80 weer lekker dicht zitten in mijn Fritzbox. Er zat geen eens een database achter. Server stond al op instorten qwa
hardware. Het hostingbedrijf in Amerika heeft ook de nodige maatregelen genomen. Dus helaas voor meneer die zogenaamd Panasonic TV's
wilde verkopen en niet leveren. Ik was ze al een tijd op het spoor, alles zelf opgezocht met wat steun van het bedrijf waar ik werk. Geven o.a. cursus in Etical Hacking HI.

Gr. Anne PB1A

_________________
Als er is mijn radioshack stof op waait pak ik een stofzuiger om het op te zuigen!!


Omhoog
 Profiel  
Antwoord met een citaat  
 Berichttitel: Re: Aardige medeamateurs
BerichtGeplaatst: 16 jan 2017, 20:30 
Offline
Avatar gebruiker

Geregistreerd: 18 nov 2008, 21:56
Berichten: 322
Toch wat bereikt HI Zie onderstaande mail. :mrgreen: :mrgreen: :mrgreen: :mrgreen: :mrgreen:

Gr Anne PB1A :lol:

Thanks Anne!

We've taken the necessary steps to resolve this situation for the site with the IP address of 104.236.127.123. The other IP address that was listed does not appear to be managed by Flywheel so there's unfortunately not much we can do with that one. We do appreciate you reaching out to us with this information though.

Cheers,
Derek


Flywheel
Premium WordPress Hosting – Built for Designers
http://getFlywheel.com
(888) 928-8882

Tell your friends about Flywheel and get paid!

_________________
Als er is mijn radioshack stof op waait pak ik een stofzuiger om het op te zuigen!!


Omhoog
 Profiel  
Antwoord met een citaat  
 Berichttitel: Re: Aardige medeamateurs
BerichtGeplaatst: 17 jan 2017, 09:35 
Offline

Geregistreerd: 10 dec 2014, 21:59
Berichten: 118
Woonplaats: Groningen
Randy schreef:
Oude versie van een CMS of een niet geupdate Linux server en het is niet de vraag of, maar wanneer je gepakt wordt. Scriptkiddo's doen dit volledig geautomatiseerd. In de tijd dat ik voor een grote hoster werkte (top 10 notering bij SIDN) was het dagelijkse bezigheid om puin te ruimen.

Ik zou dus niet te snel en achterdochtig wijzen naar 'een zendamateur'.


Waar ik me altijd over verbaas is dat iedereen de standaard admin-toegang op dezelfde plek laat staan en ook niet op ip-adres beperkt. Als je alleen al <site>/wp-admin verplaatst naar een directory met willekeurige naam scheelt het al. Beperk je ook de toegang tot die directory op ip-basis dan heb je in ieder geval de beheerskant dicht. En geef ook de database een eigen naam, en niet de standaard naam.
Lekken in het pakket zelf dicht je natuurlijk zo niet, maar het is een begin.

_________________
_______________________________________________
Na jaren afwezig toch maar weer eens rondkijken.
UV-B5, RTL stick, SDRPlay2, miniwhip, magloop, X300
http://www.pa3cqn.nl
_______________________________________________


Omhoog
 Profiel  
Antwoord met een citaat  
 Berichttitel: Re: Aardige medeamateurs
BerichtGeplaatst: 17 jan 2017, 15:09 
Offline

Geregistreerd: 21 apr 2006, 19:09
Berichten: 1211
Woonplaats: IJsselstein
PD5WL schreef:
Zoals hier boven al gemeld, begin op nieuw met echte (random 15 char. generated) wachtwoorden.


"Pd5wLP@3m3twh@t" bijvoorbeeld. we helpen je wel ;-)

_________________
IC7851/HiQ5-160 vert/PAR OA50 omni hor, X300; IC202S, TH-F7E, MD380, IC7000(+4m) mobile. IC7100, Kenwood TM221e+23cm transverter


Omhoog
 Profiel  
Antwoord met een citaat  
 Berichttitel: Re: Aardige medeamateurs
BerichtGeplaatst: 20 jan 2017, 14:54 
Offline

Geregistreerd: 17 nov 2015, 18:33
Berichten: 216
Even onderzocht...
Het New Yorkse hosting bedrijf dat achter bijvoorbeeld 104.236.43.222 zit is een VPS hoster.. Daar kun je voor vanaf 5 dollar een virtuele server huren waar andere hobby boppers dan weer een webserver op zetten met in dit geval Wordpress.
Wordpress heeft op zich al een dramatisch slechte security CV maar de plugins die er vaak nog eens bovenop gegooid worden maken het niet beter.
Zoals hierboven al gemeld werd.. met een verouderde en crappy CMS aka content management system (Wordpress valt daar onder) is het een kwestie van wachten op het eerste botnetje wat door scriptkiddy X aan het zoeken gaat...
Volautomagisch... komt geen zendamateur aan te pas.

Iedereen die een website heeft gehad of nog steeds draait krijgt daar vroeg of later wel mee te maken.
Ik zou beter moeten weten maar 15 jaar geleden hebben ze een van mijn websites ook te pakken genomen.
Een toen nog onbekend lek in de webserver apache zorgde ervoor dat een buitenstaander een proxy kon installeren in de webserver. via de proxy hebben ze toen liggen spammen.
Ik had het al vrij snel ontdekt (NOT) maar toen de provider mij in het besmette strafbankje stopte (omdat ze de waarschuwingsmail naar een niet bestaand E-mail adres stuurde) belde ik toch maar met de vraag waarom het internet zo traag was.
Eerst gaven ze aan dat ik open relay was (eigen mailserver die voor derden ook mail ontvangt) maar dat klopte dus niet... ik was een open-proxy... (misschien nog wel erger want dat was niet beperkt tot e-mail alleen)...

Anyway... Ik draai nu al mijn websites op professionele software (wel opensource) en heb daar nul-komma-niks aan toeters en bellen op staan... geen php, geen sql, geen vage CMS.. gewoon platte HTLM.. dat lijkt nu (15 jaar en tellende) nog steeds goed te werken. De rest heb ik gewoon achter mijn VPN zitten...


Omhoog
 Profiel  
Antwoord met een citaat  
 Berichttitel: Re: Aardige medeamateurs
BerichtGeplaatst: 21 jan 2017, 09:58 
Offline
Avatar gebruiker

Geregistreerd: 04 jan 2008, 00:13
Berichten: 1188
Woonplaats: JO33HE: Haren Gn.
Hier gaat het nog steeds goed.
Ooit was mijn provider zelf gehackt, en ook een keer ikzelf.
Eigen schuld, voor de hand liggend root wachtwoord.
Verder staat er veel open en kijk ik af en toe in de logs hoe men probeert binnen te dringen.

Code:
Jan 20 09:52:35 eben postfix/smtpd[15221]: connect from unknown[202.62.88.81]
Jan 20 09:52:38 eben postfix/smtpd[15221]: NOQUEUE: reject: RCPT from unknown[202.62.88.81]: 454 4.7.1 <eax_64@yahoo.com>: Relay access denied; from=<xo@ore.net> to=<eax_64@yahoo.com> proto=ESMTP helo=<192.168.0.215>
Jan 20 09:52:38 eben postfix/smtpd[15221]: lost connection after RCPT from unknown[202.62.88.81]
Jan 20 09:52:38 eben postfix/smtpd[15221]: disconnect from unknown[202.62.88.81] ehlo=1 mail=1 rcpt=0/1 commands=2/3


Deze is ook leuk

[
Code:
Sat Jan 21 00:17:32.620898 2017] [:error] [pid 15274] [client 185.49.14.190:58463] script '/var/www/html/testproxy.php' not found or unable to stat
[Sat Jan 21 05:27:41.254725 2017] [:error] [pid 15276] [client 104.128.144.131:50284] script '/var/www/html/redirect.php' not found or unable to stat


Ik heb er wel eens over gedacht om op die plek toch een scriptje neer te zetten om hun vervolgstap te ontdekken.

_________________
Mijn andere sites: http://www.tapedeckforum.nl en http://www.pa2efr.nl


Omhoog
 Profiel  
Antwoord met een citaat  
Geef de vorige berichten weer:  Sorteer op  
Plaats een nieuw onderwerp Antwoord op onderwerp  [ 12 berichten ] 

Alle tijden zijn GMT + 1 uur


Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers. en 5 gasten


Je mag geen nieuwe onderwerpen in dit forum plaatsen
Je mag niet antwoorden op een onderwerp in dit forum
Je mag je berichten in dit forum niet wijzigen
Je mag je berichten niet uit dit forum verwijderen
Je mag geen bijlagen toevoegen in dit forum

Zoek naar:
Ga naar:  
Powered by phpBB® Forum Software © phpBB Group
phpBB.nl Vertaling