הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   ארכיון (https://hosts.co.il/forums/forumdisplay.php?f=15)
-   -   Safe-Host ? סייף ? מוגן ? ממש לא. (https://hosts.co.il/forums/showthread.php?t=43589)

Sindrom 14-04-07 15:53

Safe-Host ? סייף ? מוגן ? ממש לא.
 
שלום, שמי הוא אבי. אני מתעסק בעיקר באבטחת מידע.
בתאריכים: 13-14/04/07 פנו אליי מספר אנשים, אשר מתלוננים כי יש להם בעיית מהירות, תקיעות במחשב, בקיצור, המלצתי להם לסרוק וירוסים, spys. וזהו.
הם אמרו לי שעשו זאת, אך, עדיין יש תקיעות, ובעיות.
ניגשתי לבן אדם למחשב, הרצתי את הפקודה בדוס, "netstat -ano" בקיצור, גיליתי שרץ על השרת של Safe-Host.co.il תוכנת IRCD, שהוא מחובר אליה בלי לדעת.
בדקתי אצל האדם השני והשלישי, וכן, גם הם.
בדקתי את מספר התהליך(PID), ראיתי שרץ קובץ בשם iis5.exe, גיליתי את המקור שלו, פתחתי אותו עם Explorer PE, ובדקתי את הקובץ.
הקובץ הזה נראה כבוטנט.

* בוטנט - תוכנה זדונית, שמאפשרת לבן אדם מרחוק לשלוט לך על המחשב, לפאקט[DoS], לסרוק מחשבים, לפרוץ מחשבים, והכל אוטומטית.

חפרתי עוד קצת, וגיליתי פרטים נוספים את הכתובת IRC, את הפורט, את החדר.
בקיצור, לקוח של Safe-Host הריץ תוכנת IRCD, ודרכה ביצע את אחסנת הבוטים.

אני כאזרח שומר חוק, פניתי אל נדב, הבעלים של Safe-Host, פניתי אליך בגישה יפה, מכובדת.

אני פניתי אליו עם התלונה הזו, הבאתי לו פרטים של תוכנת ה IRCD שמורצת על השרת שלו, את החדר שהוא משתמש למטרת האביוז ה"לקוח". וגיליתי את זה ע"י שהרצתי להם את הפקודה netstat -ano וגיליתי את התליך, ושזה קשור לשרת שלו, והנה התגובה שלו הייתה בתוכנת המסרים MSN.

קוד:

לא, כמו שאמרתי אני לא יתחיל להיכנס אל זה, אתה באת אליי בתלונות שהשרת מירק שמורץ על השרת שלי מתקיף את המחשב שלך ושל אנשים שאתה מכיר, תראה לי הוכחות ואני ימשיך לבדוק את העניין. כי בנתיים זה מילים כמו חול ואין מה לאכול
הבן אדם רצה פשוט תצלום-מסך[Printscreen] של הדוס עם "netstat -ano" ושהאיפי שלו מופיע שמה.
אחרת, הוא לא מתייחס לתלונה, הסברתי לו, שאין כרגע תצלומי מסך, כי הם לא מעזים להתחבר לאינטרנט אחרי שאמרתי להם את זה. כי הם משתמשים במחשב למטרת כרטיסי אשראי, לקניות וכו' והם לא רוצים להסתכן.

בקיצור, ראיתי שאין עם מי לדבר, פניתי לחבר שלי, מ Expert Serv שהוא בחור אחלה, והוא אמר לי שהוא לא מארח את החברה הזו, אבל הוא יודע, הוא שוחח עם הבחור שמארח אותם שהוא "loads" אבי מחברת LOM, ופניתי אל אבי. ואבי ניגש, וטיפל בבעיה, סגר את השרת ושוחח עם נדב.

תודה רבה ל Expert Serv שאמר לי מי מארח את החברה הזו,
ולאבי, שביצע את הפעולות במקום נדב - "סייף" הוסט.

אז חברה, תחשבו טוב אם ללכת לחברה "Safe" Host, אחסון "בטוח".

נ.ב: גם רואים לפי הידע של הבחור, בציטוט שהבאתי , שרץ על השרת שלו שרת מירק ..

מירק זה קליינט פשוט, שמאפשר להתחבר לשרתי IRC.

Light 14-04-07 16:09

חבל שזה ככה..
מקווה שהמצב ישתפר.

Nadav 14-04-07 16:15

זה מסביר הכל, היה איזה שרת שמאוחסן שם ויום אחד איזה מישהו Mrtiti פרץ לשם.... (לשרת IRC)
הוא אמר לי שיש לו IRCD Shell על השרת הזה, ולא הבנתי על מה הוא מדבר..
עכשיו אני מבין..
נקווה לטוב...

nanadav 14-04-07 16:23

ביקשתי הוכחות, וכאשר קיבלתי הוכחות השרת נסגר.
כמו ששמת לב אין לי ידע נרחב בשרתי IRCD ולכן אני לא מספק את השירות הזה, אבי פנה אליי והציג לי הוכחות שהשרת מירק מריץ דברים לא חוקיים, השרת נסגר והלקוח יטופל.
אם בשביל לבקש ממישהו הוכחה שהלקוח שלו מריץ דברים לא חוקיים פותחים ביקורת אז הגענו למצב לא טוב.
נ.ב אחת החשדות שלי כלפייך היו שהוספת אותי לפני ארבעה-שלושה ימים אני לא זוכר בדיוק ואמרת לי שפרצו לך ולחברייך רק אתמול היום.

מקווה שהבנת, המשך יום טוב.

MoshikB 14-04-07 16:25

הייתי שמח לעזור לך והייתי ממליץ לך לא לסיים עם זה ככה, תבדוק במחשבים שבהם העניין של הפריצה קרה, אם נגרם נזק או משהו, ואם צריך, להגיש תלונה כנגד אותו לקוח של סייף-הוסט.

חבל לשמוע עליהם ככה.. אני שמח שבסופו של דבר פתרת את הבעיה.

בהצלחה.

Sindrom 14-04-07 16:26

ציטוט:

נכתב במקור על ידי nanadav (פרסם 459345)
ביקשתי הוכחות, וכאשר קיבלתי הוכחות השרת נסגר.
כמו ששמת לב אין לי ידע נרחב בשרתי IRCD ולכן אני לא מספק את השירות הזה, אבי פנה אליי והציג לי הוכחות שהשרת מירק מריץ דברים לא חוקיים, השרת נסגר והלקוח יטופל.
אם בשביל לבקש ממישהו הוכחה שהלקוח שלו מריץ דברים לא חוקיים פותחים ביקורת אז הגענו למצב לא טוב.
נ.ב אחת החשדות שלי כלפייך היו שהוספת אותי לפני ארבעה-שלושה ימים אני לא זוכר בדיוק ואמרת לי שפרצו לך ולחברייך רק אתמול היום.

מקווה שהבנת, המשך יום טוב.

אני לא מכיר אותך בכלל, הוספתי אותך לפני יומיים לתוכנת ה MSN בשבליל לקבל הצעת מחיר,
אך אם לא הייתי פונה לאבי, הבן אדם היה ממשיך לחגוג.

RS324 14-04-07 16:35

אני עדיין לא הבנתי איך אנשים נדבקו מאותו CLIENT...

Sindrom 14-04-07 16:56

ציטוט:

נכתב במקור על ידי RS324 (פרסם 459361)
אני עדיין לא הבנתי איך אנשים נדבקו מאותו CLIENT...

זה מה שנקרא בוטנט,
בפקודה אחת כמו:
קוד:


scan dcom135 100 0 0 -r -b

סתם דוגמא האיפי שלו זה 212.199.23.23
אז הוא סורק את הטווח: 212.199 ומחפש חורי אבטחה של dcom135.
וככה הוא מפיץ את עצמו.

Nadav 14-04-07 17:00

ציטוט:

נכתב במקור על ידי Sindrom (פרסם 459320)
שלום, שמי הוא אבי. אני מתעסק בעיקר באבטחת מידע.
בתאריכים: 13-14/04/07 פנו אליי מספר אנשים, אשר מתלוננים כי יש להם בעיית מהירות, תקיעות במחשב, בקיצור, המלצתי להם לסרוק וירוסים, spys. וזהו.
הם אמרו לי שעשו זאת, אך, עדיין יש תקיעות, ובעיות.
ניגשתי לבן אדם למחשב, הרצתי את הפקודה בדוס, "netstat -ano" בקיצור, גיליתי שרץ על השרת של Safe-Host.co.il תוכנת IRCD, שהוא מחובר אליה בלי לדעת.
בדקתי אצל האדם השני והשלישי, וכן, גם הם.
בדקתי את מספר התהליך(PID), ראיתי שרץ קובץ בשם iis5.exe, גיליתי את המקור שלו, פתחתי אותו עם Explorer PE, ובדקתי את הקובץ.
הקובץ הזה נראה כבוטנט.

* בוטנט - תוכנה זדונית, שמאפשרת לבן אדם מרחוק לשלוט לך על המחשב, לפאקט[DoS], לסרוק מחשבים, לפרוץ מחשבים, והכל אוטומטית.

חפרתי עוד קצת, וגיליתי פרטים נוספים את הכתובת IRC, את הפורט, את החדר.
בקיצור, לקוח של Safe-Host הריץ תוכנת IRCD, ודרכה ביצע את אחסנת הבוטים.

אני כאזרח שומר חוק, פניתי אל נדב, הבעלים של Safe-Host, פניתי אליך בגישה יפה, מכובדת.

אני פניתי אליו עם התלונה הזו, הבאתי לו פרטים של תוכנת ה IRCD שמורצת על השרת שלו, את החדר שהוא משתמש למטרת האביוז ה"לקוח". וגיליתי את זה ע"י שהרצתי להם את הפקודה netstat -ano וגיליתי את התליך, ושזה קשור לשרת שלו, והנה התגובה שלו הייתה בתוכנת המסרים MSN.

קוד:

לא, כמו שאמרתי אני לא יתחיל להיכנס אל זה, אתה באת אליי בתלונות שהשרת מירק שמורץ על השרת שלי מתקיף את המחשב שלך ושל אנשים שאתה מכיר, תראה לי הוכחות ואני ימשיך לבדוק את העניין. כי בנתיים זה מילים כמו חול ואין מה לאכול
הבן אדם רצה פשוט תצלום-מסך[Printscreen] של הדוס עם "netstat -ano" ושהאיפי שלו מופיע שמה.
אחרת, הוא לא מתייחס לתלונה, הסברתי לו, שאין כרגע תצלומי מסך, כי הם לא מעזים להתחבר לאינטרנט אחרי שאמרתי להם את זה. כי הם משתמשים במחשב למטרת כרטיסי אשראי, לקניות וכו' והם לא רוצים להסתכן.

בקיצור, ראיתי שאין עם מי לדבר, פניתי לחבר שלי, מ Expert Serv שהוא בחור אחלה, והוא אמר לי שהוא לא מארח את החברה הזו, אבל הוא יודע, הוא שוחח עם הבחור שמארח אותם שהוא "loads" אבי מחברת LOM, ופניתי אל אבי. ואבי ניגש, וטיפל בבעיה, סגר את השרת ושוחח עם נדב.

תודה רבה ל Expert Serv שאמר לי מי מארח את החברה הזו,
ולאבי, שביצע את הפעולות במקום נדב - "סייף" הוסט.

אז חברה, תחשבו טוב אם ללכת לחברה "Safe" Host, אחסון "בטוח".

נ.ב: גם רואים לפי הידע של הבחור, בציטוט שהבאתי , שרץ על השרת שלו שרת מירק ..

מירק זה קליינט פשוט, שמאפשר להתחבר לשרתי IRC.

ועוד שאלה קטנה, השם של החדר היה mix1 במקרה?
כי הייתי באיזה שרת IRC מזמן של safe host ונכנסו לשם טונה בוטים שפתחו לעצמם חדר :|

Sindrom 14-04-07 17:09

ציטוט:

נכתב במקור על ידי Nadav (פרסם 459382)
ועוד שאלה קטנה, השם של החדר היה mix1 במקרה?
כי הייתי באיזה שרת IRC מזמן של safe host ונכנסו לשם טונה בוטים שפתחו לעצמם חדר :|

כן, החדר זה mix1, הם פשוט נכנסים לבד. לאיפי שהוגדר להם.

Talz 14-04-07 17:17

יכול להיות שאני בתור לקוח של נדב נכנס למירק ולא רואה את זה אפילו?או שרק חייב לאותו חדר לפחות פעם אחת.
אגב, אני לא משתמש במירק אבל ברצוני לדעת.

Sindrom 14-04-07 17:20

ציטוט:

נכתב במקור על ידי OmRi_A (פרסם 459392)
יכול להיות שאני בתור לקוח של נדב נכנס למירק ולא רואה את זה אפילו?או שרק חייב לאותו חדר לפחות פעם אחת.
אגב, אני לא משתמש במירק אבל ברצוני לדעת.

אתה לא מדבר בכלל קשור לעניין.
מה אתה רוצה ?

Talz 14-04-07 17:21

מצטער על הבורות, אני לא מבין בכל זה.
שאלתי כי רציתי לדעת, ישר לתקוף?

nanadav 14-04-07 17:25

ציטוט:

נכתב במקור על ידי Nadav (פרסם 459382)
ועוד שאלה קטנה, השם של החדר היה mix1 במקרה?
כי הייתי באיזה שרת IRC מזמן של safe host ונכנסו לשם טונה בוטים שפתחו לעצמם חדר :|

השרת הזה מורץ רק מס' ימים ולפניו לא הורץ שום שרת IRCD על השרת.

Sindrom 14-04-07 17:25

ציטוט:

נכתב במקור על ידי OmRi_A (פרסם 459395)
מצטער על הבורות, אני לא מבין בכל זה.
שאלתי כי רציתי לדעת, ישר לתקוף?

א. מי תוקף ?
ב. אם אתה יודע שאתה בור בנושא הזה, אז תלך לקטגוריה אחרת ותשאל לפני.
או הודעה פרטית אצלי ואסביר,
אל תגיב לא קשור בשביל להגן עליו, ואז תגיד שאתה בור ..

Sindrom 14-04-07 17:27

ציטוט:

נכתב במקור על ידי nanadav (פרסם 459397)
השרת הזה מורץ רק מס' ימים ולפניו לא הורץ שום שרת IRCD על השרת.

דווקא כן רץ, יש שרת IRC שקיים כבר שבוע וחצי, irc.bbf.co.il.

nanadav 14-04-07 17:29

ציטוט:

נכתב במקור על ידי Sindrom (פרסם 459400)
דווקא כן רץ, יש שרת IRC שקיים כבר שבוע וחצי, irc.bbf.co.il.

טוב שהזכרת לי כמעט שכחתי מהעניין הזה, אבל זה לא לעניין פה, מישהו בעל עסק די מוכר שנמצא גם בפורום הריץ לי על השרת שרת מירק ושרתי וונטרילו לא חוקיים. העניין סודר כבר מלפני כמה ימים. ואל תגיד שזה בגלל אבטחת השרת, הייתה לו גישה.

Sindrom 14-04-07 18:16

ציטוט:

נכתב במקור על ידי nanadav (פרסם 459403)
טוב שהזכרת לי כמעט שכחתי מהעניין הזה, אבל זה לא לעניין פה, מישהו בעל עסק די מוכר שנמצא גם בפורום הריץ לי על השרת שרת מירק ושרתי וונטרילו לא חוקיים. העניין סודר כבר מלפני כמה ימים. ואל תגיד שזה בגלל אבטחת השרת, הייתה לו גישה.

היית לו גישה, ובגלל עצלנות, או לא יודע מה ניסית לעשות, הוא המשיך להפיץ, רק שפניתי לאנשים שמעליך אז טיפלת בבעיה.

FreshServ.Net 14-04-07 18:17

ציטוט:

נכתב במקור על ידי nanadav (פרסם 459403)
טוב שהזכרת לי כמעט שכחתי מהעניין הזה, אבל זה לא לעניין פה, מישהו בעל עסק די מוכר שנמצא גם בפורום הריץ לי על השרת שרת מירק ושרתי וונטרילו לא חוקיים. העניין סודר כבר מלפני כמה ימים. ואל תגיד שזה בגלל אבטחת השרת, הייתה לו גישה.

אז מעניין אותי מה הלקוחות שלך עכשיו צריכים לחשוב כשהם רואים שאתה אומר שיש לעוד מישהו גישה לשרת שלך (במידה ומדובר על גישה מלאה...)...שלא נדבר על זה שהוא מריץ דברים לא חוקיים..

וממ לפותח האשכול, בכללי אם נגיד והייתי במקום נדב, והיית אומר לי כי חשבון זה וזה מריצים ככה וככה וזה לא חוקי, מבלי לקבל הוכחה מוצקת גם אני לא הייתי מתייחס בכלל למה שאתה אומר...
(נכון, אני הייתי אולי בודק בכל מקרה אבל נגיד ולא היה לי את הידע לבדוק ולמצוא שאתה צודק, בלי הוכחה מוצקת לא הייתי סוגר לאותו הלקוח את השרת).

מקווה שתפתרו את העניין...

המשך יום נעים ושבוע טוב!.

nanadav 14-04-07 18:20

ציטוט:

נכתב במקור על ידי FreshServ.Net (פרסם 459446)
אז מעניין אותי מה הלקוחות שלך עכשיו צריכים לחשוב כשהם רואים שאתה אומר שיש לעוד מישהו גישה לשרת שלך (במידה ומדובר על גישה מלאה...)...שלא נדבר על זה שהוא מריץ דברים לא חוקיים..

וממ לפותח האשכול, בכללי אם נגיד והייתי במקום נדב, והיית אומר לי כי חשבון זה וזה מריצים ככה וככה וזה לא חוקי, מבלי לקבל הוכחה מוצקת גם אני לא הייתי מתייחס בכלל למה שאתה אומר...
(נכון, אני הייתי אולי בודק בכל מקרה אבל נגיד ולא היה לי את הידע לבדוק ולמצוא שאתה צודק, בלי הוכחה מוצקת לא הייתי סוגר לאותו הלקוח את השרת).

מקווה שתפתרו את העניין...

המשך יום נעים ושבוע טוב!.

כנראה לא הסברתי את עצמי נכון, אין לו גישה לשרת עצמו אלא גישת SSH, למה יש לו? את זה אני לא מעוניין לפרט, והוא כמובן לא לקוח ובכלל, זה בן אדם שעבדתי איתו כבר בעבר והוא מוכר פה בפורום ובכלל בתחום ובחיים לא חשבתי שהוא יעשה דבר כזה.
ובקשר לזה שלא בדקתי את העניין, תאמין לי שלא היה לי זמן כי חצי דקה לאחר שהוא דיבר איתי אבי כבר פנה אליי.

Omer 14-04-07 18:26

ציטוט:

נכתב במקור על ידי nanadav (פרסם 459450)
כנראה לא הסברתי את עצמי נכון, אין לו גישה לשרת עצמו אלא גישת SSH, למה יש לו? את זה אני לא מעוניין לפרט, והוא כמובן לא לקוח ובכלל, זה בן אדם שעבדתי איתו כבר בעבר והוא מוכר פה בפורום ובכלל בתחום ובחיים לא חשבתי שהוא יעשה דבר כזה.
ובקשר לזה שלא בדקתי את העניין, תאמין לי שלא היה לי זמן כי חצי דקה לאחר שהוא דיבר איתי אבי כבר פנה אליי.

יותר גרוע.

Boris 14-04-07 18:34

פותח האשכול, באיזה זכות אתה מפרסם ביקורת? קרא חוקים!
ציטוט:

5. אין לפרסם ביקורת או המלצה בשם מישהו אחר כגון בשם חבר.
כמו כן, אתה עכשיו חושף סודות של החברה

Sindrom 14-04-07 18:41

ציטוט:

נכתב במקור על ידי Boris (פרסם 459462)
פותח האשכול, באיזה זכות אתה מפרסם ביקורת? קרא חוקים!

כמו כן, אתה עכשיו חושף סודות של החברה

אז תשתמש בכפתור "דווח". לא סתם הוא קיים.

שבוע טוב מר.בוריס.

Boris 14-04-07 18:43

ציטוט:

נכתב במקור על ידי Sindrom (פרסם 459464)
לא ממש הבנתי מה זה קשור, אבל אם יש לך בעיה עם החוקים, תשתמש בכפתור: "דווח" לא סתם הוא קיים.

שבוע טוב מר.בוריס.

קרא חוקים ותבין, הדווח הועבר לפני ההודעה.

עריכה:
קבל הכונה (חוק 5)

Dima 14-04-07 18:54

אין לפתוח ביקורת אם אינך לקוח.

אני נועל את הביקורת ובאופן חד פעמי לא מצנזר.
שישמש דוגמא לאותם ילדים שחושבים שהם יודעים לתחזק שרת.

שבוע טוב.


כל הזמנים הם GMT +2. הזמן כעת הוא 17:13.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ