Hacker's exploitation d'un script CGI sur mon site Web à Envoyer Massive spams - Hard Lessons learnt!




 

Spam "Artistes" peut tromper A Non-spamming site pour envoyer des spams

C'était le soir du Vendredi 16 Juin 2006, et j'ai été arrondi vers le haut les mises à jour sur mon site Web, lorsque j'ai décidé de rechercher en ligne et installer un autre script de recommandation site sur mon site web à la place de celui qui pour une raison que je ne pouvais pas deviner , a continué de renvoyer un "500 - Internal Server Error" d'erreur. Les résultats de recherche Google a posé un tas de scripts d'aiguillage offrant de divers auteurs - certains gratuits, d'autres à la vente.

A cette époque, j'étais simplement désireux de tester et voir si je pourrais en obtenir un pour travailler sur mon site. Bientôt, je me suis installé pour l'une appelée «Le PCMan Site Parrainez un ami» En quelques minutes, je l'avais installé et s'exécute. Une chose que je ne l'ai pas, et que je conseillerais (basé sur le bénéfice du recul douloureuse) Toute personne qui utilise des scripts tiers sur son site à faire est de vérifier et de confirmer que le programmeur a pris soin d'obtenir le code de script contre l'exploitation (les détails spécifiques / des liens vers des URL de ressources sur la façon de s'y prendre fourni plus bas).

Note: Ce fut seulement après l'événement, et en suivant les invites de mes hôtes que j'ai vérifié et constaté le script PCManrefer avait une sécurité insuffisante inscrite dans le code. Le résultant "trou de sécurité" était ce que le pirate tard exploitée à distance pour lancer une attaque de spam massif.

Le mardi 20 Juin 2006 AM, j'ai essayé de me connecter à mon compte d'hébergement web pour télécharger des fichiers, mais a noté l'outil FTP, j'utilisais revenait toujours un mot de passe "incorrect" message. Après avoir tenté à plusieurs reprises, et confirmant que j'utilisais le mot de passe correct, j'ai décidé d'essayer de vous connecter à mon webmail - de manière à envoyer un courriel au département soutien à l'assistance. Cela posait un problème aussi. Chaque fois, j'ai essayé, j'ai reçu un message du genre "Abandon par le serveur ISMAP". Maintenant, tout effrayé, j'ai décidé de taper l'URL de mon site - http://www.spontaneousdevelopment.com. Mes pires craintes arriva - Le navigateur a imprimé une "page introuvable" message en gras!

À ce stade, j'ai immédiatement allé sur le site web de mon hôte et a entamé une session de chat avec l'opérateur. Chat suivants conversation a eu lieu:

----- début de session de chat ------

: Bonjour! Comment mai je vous aider?

: Salut

Visitor42152: Salut

Visitor42152: Je ne peux pas me connecter à mon webmail ou accéder à mon site Web entier

Visitor42152: MY reg n'est pas

: Nous vous écrivons pour vous informer que durant les 30 dernières minutes de votre compte d'hébergement web (nom d'utilisateur = effacer) a envoyé 625 messages au sous-système électronique du serveur d'hébergement. Ceci est une violation de nos termes de services, et à ce titre, tous les sites

: Offline appartenant à ce compte ont été prises.

: Afin de réactiver votre compte, vous devrez prendre contact avec notre département de support et acceptez de ne pas abuser de nos serveurs de nouveau. Tout autre incident comme celui-ci qui peuvent entraîner notre système pour supprimer votre compte entièrement et sans avertissement

Visitor42152: Je travaille à partir d'un cyber café je n'utilisent normalement pas si c'est près de chez moi

Visitor42152: Je suis certain que cela est dû aux activités des pirates informatiques qui utilisent le courriel FSI même que ces gars-là

: Envoyez un courriel à

Visitor42152: Combien de temps faut-il pour résoudre ce problème?

: 6 -12 heures

--- Fin de la session de chat ------

Eh bien, je n'ai pas résolu dans les 12 heures. En fait, au moment où j'ai eu fini d'échanger des courriels avec le service de soutien, que j'ai appris mon compte serait suspendu pendant 7 jours, avec l'avertissement que si c'est arrivé à nouveau, mon compte serait réexaminée aux fins de résiliation sans préavis.

How They Did It (ie Hijacking Mon site Web d'orientation Script Form Post)

Ci-dessous, je reproduis le texte exact de l'explication donnée par le Département de l'abus de mon hôte, quand j'ai demandé des détails qui pourraient m'aider à comprendre comment le problème s'était produit, et ce que je pourrais faire pour éviter une réapparition. Vous remarquerez que le script Perl que j'ai installé ( "ie pcmanrefer.pl") quelques jours avant que le problème a été identifié par l'administrateur comme l'un des trois à avoir trouvé l'insécurité intégré dans leur code.

--- "Aplus.Net Abuse Department" a écrit (je l'ai ré-arrangé - mais pas modifié - le texte pour la lisibilité):
> Bonjour,

> En gros, l'attaque est effectuée sur des scripts que l'information que le demandeur de confiance entre et sont donc facilement exploitables. Vous pouvez vous référer à ces deux documents qui décrivent en détails cette attaque bien précis:

  • http://www.anders.com/projects/sysadmin/formPostHijacking/
  • http://www.nyphp.org/phundamentals/email_header_injection.php

    J'ai examiné les preuves de mails envoyés à nous et dans les têtes que le sujet est différent à chaque fois ce qui signifie que le script utilisé est de prendre les données d'entrée du visiteur et ne pas le modifier du tout:

    Objet: Incroyablement sous-évalué, vous ne voudrez pas manquer cette occasion la longue, j'ai trouvé plusieurs scripts de ce genre dans votre espace FTP:

  • / cgi-bin/mailer/simplemail.pl
  • / cgi-bin/mailer/mailer.pl
  • / cgi-bin/pcmanrefer.pl

    Il pourrait y en avoir d'autres qui sont compromiseable aussi, mais vous connaissez mieux la structure de votre site Web et qui répond exactement script envoie les données inchangées. L'essentiel est de filtrer toutes les données d'entrée comme l'a suggéré dans les deux articles ci-dessus.

    Merci,

    Indices laissés par le pirate dans mon espace Server

    Lorsque j'ai finalement pu accéder à mon espace serveur, j'ai eu la confirmation qu'il était bien le pcmanrefer.pl "script" qui avait été exploitée: son fichier journal de référence (voir-log.txt), avait atteint une taille massive mégaoctets 11.1 ( plusieurs millions d'octets hausse par rapport à sa taille bytes 0 quand je l'ai envoyé au moins 9 jours avant)! L'ouverture du dossier a révélé d'énormes volumes d'adresses de courriel et le contenu du message, provenant de faux «adresses» de mon domaine par exemple, sous InvestorsWeekly@spontaneousdevelopment.com; my@spontaneousdevelopment.com; Stephannie @ http://www.spontaneousdevelopment.com ( «qui est-elle?? ", je dis à moi-même) - et beaucoup, beaucoup plus!

    L'attaque a eu un effet multiplicateur négatif - c'est pourquoi il serait sage pour le prévenir Happening

    Quand mon compte d'hébergement a été suspendu, mes sites Web n'a pas pu être visités, et je ne pouvais accéder mails envoyés à mon compte webmail de mon domaine pendant cette période de sept jours. Mais ce n'était que d'un côté de lui. Toutes les URL courte que j'avais créée pour pointer sur différents sous-domaines de mon site web principal ont été mis en place pour l'enlèvement par le prestataire de service, qui a placé un lien de mise à jour de signet sur une page menant à la page d'accueil - avec le message suivant:

    "En raison de spam phishing énorme avec nos sous-domaines ( ), Nous allons fermer cette re URL court-direction. S'il vous plaît mettre à jour vos signets. "

    Un exemple d'URL courte qui a été touchée par ce problème est http://www.cbsolutions.v27.net, qui pointe vers cbsolutions.spontaneousdevelopment.com - le mini site pour mon Creative Business Solutions (Solutions CB) prestation de services.

    Mon esprit a couru Retour à tous les articles que j'avais publié au répertoire MagazineVideo ", dans lesquelles j'avais utilisé l'adresse URL courte dans l'invitation des ressources boîtes aux lecteurs (à la fin de l'article). Un certain nombre de ces articles portant l'URL courtes ont été souscrites sur les autres sites, où je n'aurais pas accès à apporter des modifications à leur disposition. J'ai réalisé que ce ne serait qu'une question de temps avant que les lecteurs de certains de mes articles ne se retrouvent confrontées à l'erreur "Page introuvable" navigateur ou une page d'annonce générale pour les noms de domaine des ventes, etc - à la place de mon site: Absolument pas bon pour l'image que je tente de construire en ligne!

    Je fournis les détails ci-dessus pour vous donner une idée de comment cela peut être mauvais - de sorte que vous pouvez vraiment comprendre pourquoi il serait dans votre intérêt de vous assurer que vous ne laissez jamais vous ouvrir à la mesure que ce type de problème peut nuire à votre site Web.

    Actions visant à prévenir (Future) Attaques

    J'ai supprimé l'pcmanrefer.pl "script" et les deux autres qui ont été identifiés par l'administrateur du fournisseur d'hébergement (voir email ci-dessus). J'ai aussi enlevé une autre liste de diffusion de gestion de CGI script que j'ai installé un mois auparavant. En un sens, je sentais comme si j'avais pris des médicaments après la mort. :-) Mais au moins, par ce temps, j'ai eu une meilleure idée de ce qui s'était passé, comment, et pourquoi - et ce que je pouvais faire pour me protéger pour l'avenir. Ensuite, j'ai visité les URL envoyées par mon hébergeur. Par curiosité, j'ai fait également un certain nombre de recherches effectuées sur Google, pour voir ce que je pouvais apprendre sur "le détournement post forme", et spamming en général. Ci-dessous, je vous propose quelques liens vers des ressources utiles que j'ai trouvé. Si vous possédez un site web, je pense que vous voulez passer un certain temps à les étudier.

    NOTE IMPORTANTE:

    1. Il serait l'intérêt que vous sachiez que je n'utilise plus un script d'aiguillage site sur mon wesbsite. Au lieu de cela, j'ai élaboré une recommandation simple email modèle que celui qui a tellement envie de dire à un autre sujet de mon site peuvent utiliser. Http://www.spontaneousdevelopment.com/referus.htm Visite de voir ce que je veux dire. Il ya beaucoup d'autres moyens efficaces de se faire connaître sur le marché d'un site web, et je suis en train de modifier ma conception de site web / une stratégie de marketing pour les accueillir. Comme le temps passe, les visiteurs de mon site verrez de nombreuses preuves de cela.

    2. Certaines des ressources dont les URL sont énumérées ci-dessous, ont été publiées dès 2002, de sorte qu'ils ne pourraient pas offrir exactement les recours utiles ou efficaces qui peuvent être appliquées avec succès aujourd'hui. Toutefois, la valeur éducative qu'ils offrent à la compréhension du problème (s), à mon avis, serait toujours en faire mérite une visite.

    Ainsi, avec cette note d'avertissement, je vous souhaite une bonne lecture et bonne chance dans votre combat pour protéger votre site Web contre l'exploitation.

    D'apprentissage utile la résolution des problèmes des ressources

    1. Utilisation d'Apache pour arrêter des mauvais robots | evolt.org - par Daniel Cody
    http://www.evolt.org/article/Using_Apache_to_stop_bad_robots/18/15126/

    2. Pourquoi certains scripts sont dangereux à utiliser sur votre site Web - http://webnet77.com/help/dangers.html

    3. Http://www.anders.com/cms/75/Crack.Attempt/Spam.Relay - Par Anders Brownworth
    Crack intéressante tentative de relais de spam (Commentaire: c'est en fait un précurseur de l'article intégral adressé à moi par mon hébergeur Web intitulée "Formulaire Post Détournement - Comment résoudre le problème.")

    4. Par Anders Brownworth - Formulaire Post Détournement - Comment résoudre le problème de l'article Auteur

    http://www.anders.com/projects/sysadmin/formPostHijacking/

    5. Http://handsonhowto.com/cgi101.html - A Hands-On How-To (Sécurisation de la section de script CGI - utile) - à partir de Brass Cannon Consulting

    6. WWW Security FAQ: Les scripts CGI - http://www.w3.org/Security/Faq/wwwsf4.html par Lincoln Stein (lstein@cshl.org) et John Stewart (jns@digitalisland.net) - hébergé par le World Wide Web Consortium (W3C) comme un service à la communauté Web.

    7. Stopping Spambots: Un piège Spambot - http://www.neilgunton.com/spambot_trap/

    8. Comment faire pour bloquer les spams, spybots interdiction, et indiquer aux robots non désirées à parcourir ... Spamming de grumes referer est une nuisance croissante,

    http://diveintomark.org/archives/2003/02/26/how_to_ block_spambots_ban_spybots_and_tell_unwanted_robots_to_go_to_hell

    		•  
    Enchères en ligne et de l'industrie NichesAffilié - Même en Antarctique Penguins de recycler leur énergie, Why Don't YouSurefire Réponses System Comment écrire un livre électroniqueStart Your Own Business - 5 Reasons Why You Need to Start Your Own BusinessConseils sur le faire et à ne pas faire Le Marketing de Google AdsenseVotre présence sur Internet et mise en réseau Stratégie - Création d'une campagne de marketing à la terre de votre prochain emploiImmoral Internet Marketing MéthodesConseils de lutte contre la Fraude au clicMaking Money On The Internet n'est pas facileGagner de l'argent sur eBay - Diversifier les produits vendus dans votre créneauEmail EtiquetteConstruire un meilleur SiteSpam, Spam, Spam, SpamInternet Marketing Newbie-What You Need to Know Partie IIIStart Making Money sur eBay aujourd'hui!MySpace Marketing Secrets - MySpace MusicExpose Your Home Based Business To The World en vendant vos produits en ligneTrafic Adsense Money 3 mots qui pourraient changer votre vieComment obtenir les rangs supérieurs sur Google sans essayer HardWeb Site Promotion - Plus de trafic Web

    © 2007-2012 Geocitoyen.com