Aardige medeamateurs

Hardware en software.
Plaats reactie
Bericht
Auteur
Gebruikersavatar
pb1a
Berichten: 413
Lid geworden op: 18 nov 2008, 21:56
Contacteer:

Aardige medeamateurs

#1 Bericht door pb1a »

Er zijn een paar aardige mede amateurs in Brazilië die zich vuil maken aan phirsing. Ik ben door XS4ALL op de hoogte gesteld, heb mijn website offline gehaald
en denk ook niet meer dat ik hem terug zet. Ik weet voor een 90 procent zeker wie mij dat kunstje gelapt heeft. maar omdat ik het niet voor 100 procent zeker weet noem ik zijn call maar niet. Wel heb ik de ip adressen van die aardige mede amateurs. Dat zijn 104.236.43.222 en 104.236.43.123.
Zie ook het script wat ze in je server zetten HI.
<html>
<meta http-equiv="Refresh" content="0; url=http://104.236.127.123/PROMOCAOAMERICANAS/">
</html>
Als je de website wil bezoeken moet je wel een free proxyserver in Brazilië in je brouwser zetten.
Zo slim zijn ze wel HI.
Kijk dus uit voor dit soort figuren. Vrolijk wordt je er niet van, en goed voor onze ham spirit is het evenmin.
Jammer dat je je mede amateurs steeds minder kan vertrouwen. In die 28 jaar dat ik nu mijn machtiging heb is de zaak behoorlijk achteruit gegaan.
Vandaar dat ik er nog nauwelijks iets mee doe.

Gr. Anne PB1A
Als er is mijn radioshack stof op waait pak ik een stofzuiger om het op te zuigen!!

PD1JAP
Berichten: 199
Lid geworden op: 18 sep 2015, 20:26
Roepletters: PD1JAP
Locatie: JO30AV

Re: Aardige medeamateurs

#2 Bericht door PD1JAP »

Lol... ik weet niet wat die xs4all medewerker/computerscript je gemaild heeft maar er is m.i. Wat heel anders aan de hand. Bij fishing proberen ze JOUW inloggegevens te jatten deze url vraagt inloggegevens voor heel andere zaken. Ik denk dat je conclusie (of die van xs4all) wat erg kort door de bocht is.

1. De regel html in je webpagina (die vermeld in je post) verwijst naar de beheerderrslogin van een reclamewebsite.

2. Een proxyserver heb je echt niet nodig om e.e.a. Te zien op de gemelde ip adressen.

3. Het lijkt erop dat een blackhat hacker (boefje) een "klik" op een advertentie in jou website heeft gesmokkeld zodat hij advertentieinkomsten kan genereren als jou website, door wie dan ook, bezocht wordt. Alleenis de website op het door jou genoemde ip adres veranderd waardoor er andere zaken gebeuren dan het boefje bedoelde.

4. Er is waarschijnlijk sprake van een beveiligingsgat op de server waarop jou website staat. Daardoor kon die html regel in jou pagina geinjecteerd worden. Dus zeer waarschijnlijk is de xs4all server waarop jouw webspace wordt gehost niet meer helemaal koosjer... handig van xs4all om anderen de schuld te geven als zij het verzaakt hebben om de server up to date te houden.

Waarom je radioamateurs hiervan de schuld geeft is mij een totaal raadsel. Niet alleen radioamateurs bezoeken onze hobbygerelateerde website, er zij heel veel robots die aktief zoeken naar "kapotte servers"
.
Als jij je inloggegevens van de website aan anderen hebt gegeven om je website te maken dan is het natuurlijk geen kwestie van beveiligingsgat op de server. Dan geldt maar 1 ding. Eigen schuld dikke bult. :mrgreen:

73, John
Wie spelfouten vind mag ze houden.

Gebruikersavatar
pb1a
Berichten: 413
Lid geworden op: 18 nov 2008, 21:56
Contacteer:

Re: Aardige medeamateurs

#3 Bericht door pb1a »

PD1JAP schreef:Lol... ik weet niet wat die xs4all medewerker/computerscript je gemaild heeft maar er is m.i. Wat heel anders aan de hand. Bij fishing proberen ze JOUW inloggegevens te jatten deze url vraagt inloggegevens voor heel andere zaken. Ik denk dat je conclusie (of die van xs4all) wat erg kort door de bocht is.

1. De regel html in je webpagina (die vermeld in je post) verwijst naar de beheerderrslogin van een reclamewebsite.

2. Een proxyserver heb je echt niet nodig om e.e.a. Te zien op de gemelde ip adressen.

3. Het lijkt erop dat een blackhat hacker (boefje) een "klik" op een advertentie in jou website heeft gesmokkeld zodat hij advertentieinkomsten kan genereren als jou website, door wie dan ook, bezocht wordt. Alleenis de website op het door jou genoemde ip adres veranderd waardoor er andere zaken gebeuren dan het boefje bedoelde.

4. Er is waarschijnlijk sprake van een beveiligingsgat op de server waarop jou website staat. Daardoor kon die html regel in jou pagina geinjecteerd worden. Dus zeer waarschijnlijk is de xs4all server waarop jouw webspace wordt gehost niet meer helemaal koosjer... handig van xs4all om anderen de schuld te geven als zij het verzaakt hebben om de server up to date te houden.

Waarom je radioamateurs hiervan de schuld geeft is mij een totaal raadsel. Niet alleen radioamateurs bezoeken onze hobbygerelateerde website, er zij heel veel robots die aktief zoeken naar "kapotte servers"
.
Als jij je inloggegevens van de website aan anderen hebt gegeven om je website te maken dan is het natuurlijk geen kwestie van beveiligingsgat op de server. Dan geldt maar 1 ding. Eigen schuld dikke bult. :mrgreen:

73, John
Hoi John,

De webserver draaide bij mij boven op zolder. Ik had poort 80 alleen in mijn Fritzbox open gezet. Daar stond een cursus op voor de aankomende zendamateur. Dat dat geheel niet allemaal waterdicht was was ik van op de hoogte. Dat het een zendamateur betrof weet ik omdat ik 1 persoon getraced heb. Ik doe daar verder geen uitspraken over omdat ik dat zoals eerder vermeld niet geheel zeker weet, en omdat ik aangiften heb gedaan. Voor mij was de website niet interessant meer, dus laat ik hem maar weg. Ik bouw altijd alles zelf (ook de server) alleen de cursus had ik ergens vandaan gehaald en in een aparte directory gezet.

Gr. Anne PB1A
Als er is mijn radioshack stof op waait pak ik een stofzuiger om het op te zuigen!!

Gebruikersavatar
PH2LB
Berichten: 1430
Lid geworden op: 06 mar 2013, 20:31
Roepletters: PH2LB
Locatie: Almelo/JO32HI
Contacteer:

Re: Aardige medeamateurs

#4 Bericht door PH2LB »

Maar mooi balen Anne, gewoon beginnen met een schone site en die zelf beheren / knutselen. Liefst met automatisch updates en echte wachtwoorden.

Waar een website hebben bijzonder was heeft nu jan en alle man een website zonder na te denken over de beveiliging (eigenlijk net zo als de gemiddelde computer gebruiker), updates etc. Toch zijn daar best wel goede hosting bedrijven voor die bijvoorbeeld Wordpress sites aanbieden met automatische backups, security checks, updates etc.

Edit : dit geld natuurlijk ook voor je eigen gehoste servers.

En dan heb ik het nog niet eens over het stukje social engineering (de mens/gebruiker via sociologie en psychologie hacken).
Als ik op alle e-mails zou reageren waarin ik wordt gesommeerd mijn domeinen te verlengen door middel van een betaling via een of andere vage website, de mails waarin wordt aangeboden om mijn website "gratis" te verbeteren, betere Google ranking, of om mij te helpen mijn website beter te beveiligen (allemaal in naam van hosting provider) door slechts even mijn admin account gegevens te mailen, zou ik een dagtaak hebben. :wink:
73, Lex

"Computers are fun, but there is more between one and zero"
www.ph2lb.nl . . . . facebook.com/PH2LB

PD5WL
Berichten: 147
Lid geworden op: 06 sep 2013, 10:09
Roepletters: PD5WL
Locatie: JO22md
Contacteer:

Re: Aardige medeamateurs

#5 Bericht door PD5WL »

Zoals hier boven al gemeld, begin op nieuw met echte (random 15 char. generated) wachtwoorden.

Als het thuis staat achter je fritzbox met maar een poort open wil dat niet zeggen dat een blackhat (sorry Grey hat.. echt black is deze actie niet) er niet bij kan.

Laat je vooral niks wijs maken over wie het gedaan zou kunnen hebben. Tenzij je daar keihard bewijs voor hebt natuurlijk.

Tips:

Je thuis server in een DMZ zetten. dan komen iig niet zomaar verder dan je server..
Gebruik stevige wachtwoorden (euh neet niet Staal, beton oid.) Mijn stel regel is Random characters 15 stuks en bewaar deze op een veilig plek. (internet is niet veilig... nu niet nooit niet)

Als je alles aangepast hebt loop je je site even door en haal je alle niet herkenbare code er uit.

Last but not least... Hulp is fijn, maar nooit remote, omdat je niet ziet wat ze doen. (nja ten dele waar maar het is dan ook mijn werk).

Dus kop op en door.
73's,

Wijnand - PD5WL - JO22md

TX/RX : FT-817, TS-700G, DJ-596 MkII, Condor 16 / 3000, Ultimate 3, 2m DIY TX, 23cm ATV TX
RX: Yaesu FRG-7700, 13cm ATV RX
Ant. : Comet CX-903, 10el Yagi, 23cm yagi 36 elm,
DIY Ant.: Dipole 10M band, 40m Inverted V, J-Pole 2m, EndFed 10/20/40, 13cm Dish, Active HF Antenna.
On the shelf : 2m kruisyagi, Kathrein 70cm rondstraler, 4 el. yagi 145Mhz, G5RV Junior, Longwire 9:1 unun, 23cm Yagi 35elm, 13cm yagi 8 elm. & Outback 1899.

Gebruikersavatar
Randy
Berichten: 880
Lid geworden op: 18 okt 2011, 23:30
Roepletters: PH4X
Locatie: Amersfoort
Contacteer:

Re: Aardige medeamateurs

#6 Bericht door Randy »

Oude versie van een CMS of een niet geupdate Linux server en het is niet de vraag of, maar wanneer je gepakt wordt. Scriptkiddo's doen dit volledig geautomatiseerd. In de tijd dat ik voor een grote hoster werkte (top 10 notering bij SIDN) was het dagelijkse bezigheid om puin te ruimen.

Ik zou dus niet te snel en achterdochtig wijzen naar 'een zendamateur'.

Gebruikersavatar
pb1a
Berichten: 413
Lid geworden op: 18 nov 2008, 21:56
Contacteer:

Re: Aardige medeamateurs

#7 Bericht door pb1a »

Randy schreef:Oude versie van een CMS of een niet geupdate Linux server en het is niet de vraag of, maar wanneer je gepakt wordt. Scriptkiddo's doen dit volledig geautomatiseerd. In de tijd dat ik voor een grote hoster werkte (top 10 notering bij SIDN) was het dagelijkse bezigheid om puin te ruimen.

Ik zou dus niet te snel en achterdochtig wijzen naar 'een zendamateur'.

Beste Randy.

Ik heb inmiddels poort 80 weer lekker dicht zitten in mijn Fritzbox. Er zat geen eens een database achter. Server stond al op instorten qwa
hardware. Het hostingbedrijf in Amerika heeft ook de nodige maatregelen genomen. Dus helaas voor meneer die zogenaamd Panasonic TV's
wilde verkopen en niet leveren. Ik was ze al een tijd op het spoor, alles zelf opgezocht met wat steun van het bedrijf waar ik werk. Geven o.a. cursus in Etical Hacking HI.

Gr. Anne PB1A
Als er is mijn radioshack stof op waait pak ik een stofzuiger om het op te zuigen!!

Gebruikersavatar
pb1a
Berichten: 413
Lid geworden op: 18 nov 2008, 21:56
Contacteer:

Re: Aardige medeamateurs

#8 Bericht door pb1a »

Toch wat bereikt HI Zie onderstaande mail. :mrgreen: :mrgreen: :mrgreen: :mrgreen: :mrgreen:

Gr Anne PB1A :lol:

Thanks Anne!

We've taken the necessary steps to resolve this situation for the site with the IP address of 104.236.127.123. The other IP address that was listed does not appear to be managed by Flywheel so there's unfortunately not much we can do with that one. We do appreciate you reaching out to us with this information though.

Cheers,
Derek


Flywheel
Premium WordPress Hosting – Built for Designers
http://getFlywheel.com
(888) 928-8882

Tell your friends about Flywheel and get paid!
Als er is mijn radioshack stof op waait pak ik een stofzuiger om het op te zuigen!!

PA3CQN
Berichten: 789
Lid geworden op: 10 dec 2014, 21:59
Roepletters: PA3CQN
Locatie: Groningen
Contacteer:

Re: Aardige medeamateurs

#9 Bericht door PA3CQN »

Randy schreef:Oude versie van een CMS of een niet geupdate Linux server en het is niet de vraag of, maar wanneer je gepakt wordt. Scriptkiddo's doen dit volledig geautomatiseerd. In de tijd dat ik voor een grote hoster werkte (top 10 notering bij SIDN) was het dagelijkse bezigheid om puin te ruimen.

Ik zou dus niet te snel en achterdochtig wijzen naar 'een zendamateur'.
Waar ik me altijd over verbaas is dat iedereen de standaard admin-toegang op dezelfde plek laat staan en ook niet op ip-adres beperkt. Als je alleen al <site>/wp-admin verplaatst naar een directory met willekeurige naam scheelt het al. Beperk je ook de toegang tot die directory op ip-basis dan heb je in ieder geval de beheerskant dicht. En geef ook de database een eigen naam, en niet de standaard naam.
Lekken in het pakket zelf dicht je natuurlijk zo niet, maar het is een begin.
_______________________________________________
Na jaren afwezig toch maar weer eens rondkijken.
UV-B5, RTL stick, SDRPlay2, miniwhip, magloop, X300
http://www.pa3cqn.nl
_______________________________________________

Gebruikersavatar
pa3met
Berichten: 1477
Lid geworden op: 21 apr 2006, 19:09
Roepletters: PA3MET
Locatie: IJsselstein
Contacteer:

Re: Aardige medeamateurs

#10 Bericht door pa3met »

PD5WL schreef:Zoals hier boven al gemeld, begin op nieuw met echte (random 15 char. generated) wachtwoorden.
"Pd5wLP@3m3twh@t" bijvoorbeeld. we helpen je wel ;-)
IC7851; IC202S; TH-F7E; MD380; IC7000(+4m); IC7300; IC9700, IC705, X6100

sottezero
Berichten: 814
Lid geworden op: 17 nov 2015, 18:33

Re: Aardige medeamateurs

#11 Bericht door sottezero »

Even onderzocht...
Het New Yorkse hosting bedrijf dat achter bijvoorbeeld 104.236.43.222 zit is een VPS hoster.. Daar kun je voor vanaf 5 dollar een virtuele server huren waar andere hobby boppers dan weer een webserver op zetten met in dit geval Wordpress.
Wordpress heeft op zich al een dramatisch slechte security CV maar de plugins die er vaak nog eens bovenop gegooid worden maken het niet beter.
Zoals hierboven al gemeld werd.. met een verouderde en crappy CMS aka content management system (Wordpress valt daar onder) is het een kwestie van wachten op het eerste botnetje wat door scriptkiddy X aan het zoeken gaat...
Volautomagisch... komt geen zendamateur aan te pas.

Iedereen die een website heeft gehad of nog steeds draait krijgt daar vroeg of later wel mee te maken.
Ik zou beter moeten weten maar 15 jaar geleden hebben ze een van mijn websites ook te pakken genomen.
Een toen nog onbekend lek in de webserver apache zorgde ervoor dat een buitenstaander een proxy kon installeren in de webserver. via de proxy hebben ze toen liggen spammen.
Ik had het al vrij snel ontdekt (NOT) maar toen de provider mij in het besmette strafbankje stopte (omdat ze de waarschuwingsmail naar een niet bestaand E-mail adres stuurde) belde ik toch maar met de vraag waarom het internet zo traag was.
Eerst gaven ze aan dat ik open relay was (eigen mailserver die voor derden ook mail ontvangt) maar dat klopte dus niet... ik was een open-proxy... (misschien nog wel erger want dat was niet beperkt tot e-mail alleen)...

Anyway... Ik draai nu al mijn websites op professionele software (wel opensource) en heb daar nul-komma-niks aan toeters en bellen op staan... geen php, geen sql, geen vage CMS.. gewoon platte HTLM.. dat lijkt nu (15 jaar en tellende) nog steeds goed te werken. De rest heb ik gewoon achter mijn VPN zitten...

Gebruikersavatar
PA2EFR
Berichten: 1455
Lid geworden op: 04 jan 2008, 00:13
Roepletters: PA2EFR
Locatie: JO33HE: Haren Gn.
Contacteer:

Re: Aardige medeamateurs

#12 Bericht door PA2EFR »

Hier gaat het nog steeds goed.
Ooit was mijn provider zelf gehackt, en ook een keer ikzelf.
Eigen schuld, voor de hand liggend root wachtwoord.
Verder staat er veel open en kijk ik af en toe in de logs hoe men probeert binnen te dringen.

Code: Selecteer alles

Jan 20 09:52:35 eben postfix/smtpd[15221]: connect from unknown[202.62.88.81]
Jan 20 09:52:38 eben postfix/smtpd[15221]: NOQUEUE: reject: RCPT from unknown[202.62.88.81]: 454 4.7.1 <eax_64@yahoo.com>: Relay access denied; from=<xo@ore.net> to=<eax_64@yahoo.com> proto=ESMTP helo=<192.168.0.215>
Jan 20 09:52:38 eben postfix/smtpd[15221]: lost connection after RCPT from unknown[202.62.88.81]
Jan 20 09:52:38 eben postfix/smtpd[15221]: disconnect from unknown[202.62.88.81] ehlo=1 mail=1 rcpt=0/1 commands=2/3
Deze is ook leuk

[

Code: Selecteer alles

Sat Jan 21 00:17:32.620898 2017] [:error] [pid 15274] [client 185.49.14.190:58463] script '/var/www/html/testproxy.php' not found or unable to stat
[Sat Jan 21 05:27:41.254725 2017] [:error] [pid 15276] [client 104.128.144.131:50284] script '/var/www/html/redirect.php' not found or unable to stat
Ik heb er wel eens over gedacht om op die plek toch een scriptje neer te zetten om hun vervolgstap te ontdekken.

Plaats reactie