8:00
24/3/2014
24/3/2014
Serwery hrd.pl, czyli Hurtowej Rejestracji Domen zostały przejęte przez the warri0ra, który uzyskał dostęp do ok. 2000 domen.
Wszystkim klientom hrd.pl radzimy jak najszybciej zmienić hasła w innych usługach, ponieważ jak pisze jeden z naszych czytelników:
hrd.pl prawdopodobnie nie kodowało haseł, gdyż dotychczasowe próby przywracania haseł nie kierowały na linki do restartów lub innych tego typu narzędzi, lecz zwracały w wiadomości mailowej, aktualne hasło danego użytkownika.
Za informacje dziękujemy Kamilowi, Tomaszowi i Tomaszowi.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Z tego co kojarzę to RejestratorDomen.pl to też ich usługa, a leży
W tej chwili sytuacja wydaje się być opanowana.
Nie wiem, jak wyglądała strona główna hrd.pl, ale nie ma na niej śladu obcej interwencji.
Chyba mają DDOS aktualnie, albo poodcinali serwery.
Szanowni Państwo,
W dniu dzisiejszym w godzinach porannych nastąpił atak grupy hakerów z Albanii na stronę http://www.hrd.pl. Włamanie nastąpiło przez WordPressa, na którym podmieniono plik główny. Strona została przywrócona z kopii zapasowej systemu.
Zgodnie z Polityką Bezpieczeństwa naszej firmy obecnie przeprowadzany jest audyt systemu.
Przepraszamy za niedogodności.
Z poważaniem,
Zespół serwisu HRD.pl
Bzdury piszą, że dostęp uzyskali tylko do wordpressa. Wszystkie domeny z włamu są na ich dnach, więc uzyskali też dostęp do cPanel na 100%. HRD jak zawsze, nie widzi w niczym problemu
A co to jest w ogóle HRD.pl? Pierwsze słyszę. Jak ktoś zhakuje stronę Gimnazjum w Pierdziałowicach Wielkich, tez o tym napiszecie?
To, że Ty nie słyszałeś, lub nie do końca rozumiesz co oznacza atak na polskiego rejestratora domen to nie oznacza, że nie będziemy o tym pisać :-) Braki możesz uzupełnić w Google. A po drugie — o ile incydent warto odnotować, to zauważ, że nie został mu poświęcony pełny artykuł na głównej, a jedynie wpis w linkblogu.
HRD to jeden z największych rejestratorów domen w Polsce. Co można zrobić mając dostęp do domeny przeczytasz sobie chociażby w historii o przejęciu konta @n na twitterze (AFAIR było opisywane w “dużym” niebezpieczniku). Pozdr!
przejęcie konta @n to pryszcz przy potencjalnie nieograniczonym dostępie do EPP NASK i możliwości dowolnego edytowania domen/ustawień bez jakiejkolwiek autoryzacji. Usunięcie 200 tys domen z rejestru NASK, dla których Consulting Service jest rejestratorem, przecież to żaden problem mając dostęp do skryptów rejestratora ? Nadal ktoś nie widzi żadnego zagrożenia? ;)
I dlatego właśnie atak wygląda na dzieło gimbusa z metasploitem tudzież innym podobnym narędziem. Gdyby atakujący miał pełną świadomość funkcjonalności jaką oferuje hrd.pl to pewnie zamiast podmieniać stronkę hrd podmieniłby dnsy w domenach klientów – dużo ciekawsze efekty :)
Btw Api NASK’u ma określone limity na ilość wysyłanych żądań – przetworzenie tych 200’000 domen zajęłoby pewnie koło kilku godzin.
Lecą dalej i masowo podmieniają strony na WordPressach:
Hungarydown
http://alfasecurity.hu/
http://haemo.hu/
http://koi-farm-nyppon.com/
http://szilvapeter.hu/
http://tolgyesiart.hu/
http://0-24dugulaselharitas.hu/
http://18gyomroi118.hu/
http://1walaky.hu/
http://3dcarbonfolia.com/
http://3leggedegg.com/
http://4x4suli.hu/
http://aambiroda.hu/
http://abcjatek.hu/
http://abitibi.hu/
wiadomo jaki bug?
[!] 5 vulnerabilities identified from the version number:
| * Title: PHP Object Injection
| * Title: wp-includes/functions.php get_allowed_mime_types Function SWF / EXE File Upload XSS Weakness
| * Title: Crafted String URL Redirect Restriction Bypass
| * Title: wp-admin/includes/post.php user_ID Parameter Manipulation Post Authorship Spoofing
| * Title: wp-includes/functions.php get_allowed_mime_types Function HTML File Upload XSS Weakness
@Patryk: To znaczy jaka wersja WordPress jest podatna na ten atak?
pewnie ten z xmlrpc ;)
Nie tak dawno jeszcze mialem domeny w Consulting Service i faktycznie az dziw bierze, ze jakos sie to wszystko im nie wywrocilo calkowicie.
Maja polityke bardzo budzetowa w rozwiazaniach programistycznych, a hasla oczywiscie plain text.
Skuteczny atak mnie nie dziwi, bo stawiac strone tak wazna na WP a nawet nie zmienic adresu panelu by przeciwdzialac atakom DoS… Stopke WordPress usuneli – bo moze wstyd. ;P
Moze czegos sie naucza dla dobra swoich klientow.
Wygląda na okolice < 3.6.1
Problemem użytkowników domen jest to, że registrarzy oraz ich dystrybutorzy piszą własne systemy oraz korzystają z API, które rzadko lub w ogóle nie są audytowane przez zewnętrznych specjalistów. Normalnym kosztem prowadzenia działalności hostingowej czy rejestracyjnej, powinien być audyt – np. każdego miesiąca. A nie dopiero po włamaniu.
Zamiast czekać na włamania do serwerów Waszych usługodawców (oraz Waszych usług biznesowych), wymuście na nich, aby co dany okres raportowali stan swojego bezpieczeństwa. Tak, jak sprzątaczka podpisuje się co godzinę, zaraz po umyciu toalety. Niby to mniej poważne usługi, ale jaka kontrola jakości!