Neliels apgreids uz WordPress 3.0.1

Šo piektdien, kad ņēmu uz krūts, man piezvanīja vecs paziņa un teica, ka Vasilijs ir apciemojis podu un uzhakojis to. Es teicu, ka baigi forši un iedzeram par to vai kaut ko tādā stilā. Mēs draudzīgi nolikām klausules un ierāvām uz Vasilija veselību. Pēc mirkļa atkal zvans un līdzīgs stāsts. Nu un tā viens pēc otra. Teikšu kā ir – es sajutos svarīgs. 🙂

Tiem, kas nezina. Vasilijs bija ļaunais tēls, kas aizsāka Pods.lv epopeju. Ja nemaldos, tad 2001.gadā mēs pārvācāmies uz jaunu ofisu un mana informatīvā lapa pārvācās uz pods.lv domēnu un citu dzelzi. Kolēģis, kas bija mūsu admins, teica, ka garlaicības mākts viņš uzhakos podu. Es teicu – davaj, jo tur tāpat nekā nebija. Es pirms tam mitinājos visādos dīvainos domēnos. Admins uzveidoja rozā lapu un tekstu no sērijas – Hacked by Vasilijs. Pēc šī izgājiena visi saskrēja skatīties nu un man nekas cits neatlika kā celt augšā podu, lai izmantotu trafiku, kas ievēlās. Lūk tāds ir stāsts par Vasīliju.

Paldies visiem zvanītājiem un īsziņu sūtītājiem, kas painformēja, ka pods ir aptaisīts.

Par to, kas bija noticis var palasīt BlackHalt lapā. Kāds bija sadusmojies uz Andronu MC un izdomājis paspēlēties ar manu veco labo Wordpresu. Puika kādu stundu cīnījās līdz beidzot pievarēja un nolika čupu. 🙂

Es pratos un atjaunoju WordPress uz jaunāku versiju. Nācās pielabot kaudzi ar spraudņiem un tēmu. Pielaboju datubāzi un vēl visādus niekus. Ceru, ka viss strādās.

75 thoughts on “Neliels apgreids uz WordPress 3.0.1

  1. Māriņš Štāls

    Kāda tad versija bija līdz šim? Un vai tas bija kaut kāds vispārzināms caurums? BlackHalt lapā jau arī nav niansēs nekas paskaidrots…

    Atbildēt
  2. normunds

    Pa brīvdienām kāds notiekti bija savas mazās rociņas līdz tulznām uzberzis priecājoties par savām hAckOrZ spējām.

    Atbildēt
  3. Uto

    Man ir patiess prieks, ka tik ātri atjaunoji lapu. Jau sabijos, ka ilgi nebūs pieejama, kā tas bija pēc iepriekšējā uzlaušanas gadījuma.

    Atbildēt
  4. Kaspars

    Pods jau varēja pacensties, papētīt log failus un pastāstīt tautai- kas bija par iemeslu kāpēc tas izdevās…
    Lai citiem būtu mācība.
    Un otra lieta- vajadzēja principa pēc aiznest ieniegumu uz policiju, gadījumā, ja atrod, tad lai ir mācība. Gaidu pirmo notiesājošo spriedumu par lapas urķēšanu iekš LV.

    Atbildēt
  5. coolynx Raksta autors

    Man bija kaut kāda aizvēsturiska 2.5.1 versija, bet par versiju neesmu pārliecināts, jo varbūt, ka bija pat vecāka. Kaut kādus ielāpus biju licis arī pats.
    Iesniegumu neesmu iesniedzis policijā.
    DDIRV man neko nepalīdzēs. 😉

    Atbildēt
  6. Andron Mc

    Kaspar, pods.lv nav kautkādu padebīļu pasākums kuri savu kļūdu dēļ skries uz policiju. Tā lai dara visādi pamuļķi
    Ja jau rakstu arhīvs nav pazudis tad jau viss ir kārtībā, nau par ko cepties. Protams man arī gribētos zināt kurš lauzis, kādas IP, kautko.

    Atbildēt
  7. Kaspars

    Andron Mc, nu tu gan dod.
    Tas ka man mājās palikušas durvis vaļā nevienam nedod nekādas tiesības ienākt un aiznest ko vēlas. Tā pat- ja ir palikusi vecāka wordpress versija nevienam nedod tiesības nesodīti to nonest.
    Un par to arhīvu- tas ka man mašīnai ir kasko nevienam nedod tiesības tai noņemt spoguļus, kaut arī apdrošinātāji to sedz. Tā pat arī ja lapai ir veidotas rezerves kopijas, tas nenozīmē ka tagad katrs drīkstēs nodzēst informāciju..

    Atbildēt
  8. Andron Mc

    Atkal sākās? Mēs šito tēmu jau sen esam diskutējuši. Ei lasi vecos postus, mācies meklēšanu lietot. Ja tev ir durvis vaļā tad es varu caur tām fotografēt cik uziet un iemest teu zīmīti – Teu durvs vaļā, TU!
    Salīdzinājumus arī jāprot izdomāt.

    Atbildēt
  9. BlackHalt

    Sveicam atpakaļ!

    Es gan domāju, ka Andronu MC ir tikai random vainīgais viltus upuris.
    Varbūt pastāsti, ja ir zināms, kā tika nonests, lai citi varētu mācīties no citu kļūdām!

    Atbildēt
  10. Andron Mc

    Nu katrā ziņā bik pāri 100 redirecti bijuši uz kuci no poda 🙂
    Kāds gribēja ieriebt, bet uztaisija izklaidējošu reklāmas pasākumu, tagad noteikti grauž siemītes, dzer līvu alu un lamājas 😀

    Atbildēt
  11. BlackHalt

    9# Kaspars: Necērt juridisko drēbi!
    Tagad tik sāksies par atvērtajam durvīm un aizmirsto atslēgu un izsisto auto logu.
    Aizejiet uz tiesu ar savām atvērtajam durvīm!

    Atbildēt
  12. kas

    cmon, ja negribi pētīt pats – iemet vismaz sazipotu log failu, lai interesenti var papētīt, ko tad scriptu bērns tev ir laidis virsū…. no kādas/kādām ip adresēm nācis… varbūt no lattelekom mdsl 😉

    Atbildēt
  13. krizdabz

    Kādi visi te ziņkārīgi kas, kad un kā noticis 😀 Es saku, fig jums logus. Šādas lietas tomēr ir dikti intīmas un ne citu acīm.

    Atbildēt
  14. es

    Andron Mc ir tīnis ar 13 gadu stāžu šajā pasaulītē vai arī vienkārši muļķis.. neprot rakstīt tādus vārdus kā ‘nav’ un ‘tev’..

    Bet runājot par iesniegumu rakstīšanu policijai es to pilnībā atbalstu. Pat ja esi aizmirsis aizslēgt durvis savai mājai, tad tas nenozīmē, ka zaglis vairs nav zaglis un neko nelikumīgu nav darījis.

    Droši vien jau nevienu neatrastu, bet vaitad grūti 30min., no savas dienas noziedot tam pasākumam?

    Atbildēt
  15. piu

    es –> Laikam neesi bijis LV Policijā par kko sūdzēties. Pazaudēsi vairākas dienas, čupu nervu un beigas Tevi vēl piespiedīs iesniegumu paņemt atpakaļ.

    Atbildēt
  16. Andron Mc

    Un policija pareizi dara ka visādus nedapisteņus kuņasbērnus mēģina atšūt. tā kā to neiznēsāto mauku no kuņupatversmes a.k.a zoodārza.

    P.S. Vai tu zināji ka, ja tu esi būrīti nosprostojis mežacūku (protams pret viņas gribu) tad tu skaities zoodārzs?

    Atbildēt
  17. zebra

    atkarībā no mēles lunkanuma pakāpes un izdomas iespējām var pilnībā visu sadzejot un pilnīgi atbilstoši gan likumiem, gan īstenībai
    dažos amatos (advokāti, žurnālisti) tas ir pamatdarbs

    Atbildēt
  18. BigUgga

    Skrien, skrien uz menteni un pastāsti, kā es pa atvērtām durīm ienācu un no tāfeles tev nodzēsu jaunāko TODO. Hahahha! Un, protams, pierādi.

    Katru reizi šie salīdzinātāji…. apzagtie…. apbižotie…. tukšu māju viņiem, redz, iznesa….

    Atbildēt
  19. zars

    Protams, sabojāja CooLynX’am lapu viņš patērēja laiku, lai to visu savestu kārtībā… nozaga trafficu.. uz kuce.lv… huligānisms kā minimums.

    Atbildēt
  20. jareks

    nojaušot betona intelekta līmeni nebūtu arī nekāds brīnums, ka tas ir viņš pats bijis, tikai komatus/punktus nepareizi salicis.

    Atbildēt
  21. coolynx Raksta autors

    Apskatījos, bet neko neatradu – visi e-pasti ir pārsūtīti un mēstulēs arī nekā neatradu. Tā kā joprojām nesaprotu par ko ir stāsts. Man ir gadījies pāris reizes, kad e-pasts nonāk mēstulēs, bet no jūlija izskatās, ka nekas tur nav aizķēries. Tikai viagras, cialis un citi lieliski piedāvājumi.

    Atbildēt
  22. coolynx Raksta autors

    Vienīgie secinājumi, kas šobrīd nāk prātā par to kā varēja dabūt šos datus:
    1. Tu esi kāds admins, kas no prokša izvilka datus (zinu, ka mums darbā visu monitorē, bet nebiju domājis, ka tas tiek ļaunprātīgi izmantots – viela pārdomām)
    2. Kāds no supporta, kas tiek klāt caur remote

    Atbildēt
  23. Andron Mc

    Kaspariņ, kāds tad ir tavs “intelekts” ja tu neatšķir, kas ir intelekts un kas ir IQ? Ja tu domāji IQ, man ir ap 130 pat pohainam. Tūdaliņš sranijs.

    Atbildēt
  24. das

    Gluži vienkārši varbūt vajag mest miskastē Avast un tamlīdzīgas šausmas. Varbūt tomēr vajag izvēlēties ko jaudīgāku?

    Atbildēt
  25. kas

    Paldies par log failu. Lūk dažas lietiņas, ko izlobīju.

    Haxeris lietojis TORu.

    Visur rādās WP 2.5.1 versija, kas ir 2 gadus veca. Tas ir jocīgi, jo gan jau Artis tomēr ir apgreidojies, jo, lai to izdarītu pietiek vienu pogu nospiest… bet nu anywais – visur rādās šī versija.

    haxeris ticis admin daļā un tad tur ņēmies ar pluginu editoru, dikti paticis plugins hello.php.

    Kaut kādā brīdī izveidojis failu wp-olleh.php. Kā īsts haxeris-sātanists – Hello no otra gala. 🙂 Un tas tad arī saturēja visu kas ir redzams Blackhalt screenshotā.

    06/Aug/2010:20:48:09 viņam izdevās to failu dabūt rootā, tā, lai viss html ko servē pods.lv būtu faila saturs no wp-olleh.php.

    Tas viņam nav paticis un kaut ko ņēmies ar wp-olleh.html. Kāpēc – nav zināms.

    Interesanta IP adrese ir Lattelekoma 87.110.1.100. Parasti šis cilvēks nācis no Google Readera, bet 20:43:36, it kā, pirms haxeris bija lapu palaidis publiski, viņš jau kaut kā pieminēja kuce.lv domēnu.

    Labprāt uzzinātu no spečukiem kā tad šis īsti ticis tajā admin daļā. Pats vēl neesmu pētījis.

    Atbildēt
  26. mdaaa

    mcb jau gadiem nemainaas, vinjam par visu ir viedoklis, tas vienmer ir tas pareizakais un vienigais. tikai skatoties ko vinhs raksta iq ir minusa ziimee nerunajot par plashku skatijienu uz lietaam. krugozors = 0

    Atbildēt
  27. endrju

    Starp citu, Andron Mc, ja būtu tik balts un pūkains, tad padalītos ar saviem logiem, kuros skaidri būtu redzami refereri no pods.lv vai citurienes jau pirms 6. augusta.

    Atbildēt
  28. Andris

    Man pilnīgi pofig kas un kapēc uzlauza portālu,
    man lapu ko gandrīz neviens neapmeklē arī uzlauza,
    klicak laikam nebija ko darīt jēga viņam nekāda jo neko svarīgu tur nedabūja.

    Atbildēt
  29. BlackHalt

    Es teiktu, ka jau 2.augustā wp adminī kāds jau bija iekšā:

    [02/Aug/2010:16:30:34 +0300] “POST /wp-login.php HTTP/1.1” 302 – “http://pods.lv/wp-login.php”

    jo tālāk tiek ielādēts /wp-admin/css/dashboard.css?version=2.5.1 un cits saturs, kas ielādējās, imho, tikai, ja esi iekļuvis /wp-admin/

    Atbildēt
  30. ansamblis

    nu skaidrs ka betons.. ko var njemties ip liepaajas = betona, redirects uz betonu bla bla.. betons arii drusku sabijies kad policiju piemineja……

    Atbildēt
  31. ko var njemties

    nu sachakareja uz bridi nuun , tagad delj taa pusdebiilaa puika delj baigais kipish.
    atrod bagu standarta sisteema, baigi gudrie kingi.
    taa kaa taadi tinji megjina pinciiti pagarinaat.

    Atbildēt
  32. kas

    BlackHalt:
    Jā Tev varētu būt taisnība, jo IP 66.230.230.230 arī ir TORs (visticamāk) un 302 redirektu droši vien atgriež tikai tad, kad ir noticis logins, jo pie nepareiza logina viņš atgriež 200to kodu.

    Un ja tā ir taisnība, tad visticamāk tur kāds tās admin paroles var būt zinājis jau gadiem, ja tās tika iegūtas sniffojot kaut kādu lokālo networka trafiku.

    Un ja tas ir kāds no tīkla adminiem, tad tur nepalīdzēs arī poda pašreizejā aizsardzība. Varētu palīdzēt, ja admin daļu uzliktu uz SSL. Bet arī tad, ja kāds var nostāties kā man-in-the-middle, tad arī SSL jau tiek atkodēts… tā kā – pods ir doomed! 😉

    Atbildēt
  33. taafele

    Bet arī tad, ja kāds var nostāties kā man-in-the-middle, tad arī SSL jau tiek atkodēts… tā kā – pods ir doomed! 😉

    Kāpēc ibankas naw doomed??? winjaam kkada aizsardziba kuru podam uzlikt newar?

    Atbildēt
  34. kas

    taafele: Visām ibankām ir vienreizējās paroles. Bet jā – ja tavs admins darbā grib tevi aplaupīt un viņam ir veids kur to naudu nodumpot – tad ir iespējams pārķert tavu 10ls bankas pārskaitījumu uz Tele2 kontu un pārvērst to par 200Ls pārskaitījumu uz kontu X. Ja džeks var tikt starp tevi un banku, tad visu (cik nu man zināms) var atkodēt un izmainīt…

    Un vēl labāk to var izdarīt speciālie bankas vīrusi, kas sēž tavā datorā (tā aplaupīga somijas Nordea banku par vairākiem miljoniem $).

    Tā jau ir liela diskusija, bet ja kādreiz taisīja vīrusus, kuri gribēja zīmēties, tad tagad ir vīrusi, kuru mērķis ir nekad neparādīties lietotājam, bet klusiņām sūtīt spamu, taisīt DOS vai zagt bankas datus un kredītkaršu numurus. klusiņām, un signature-based antivīrusi nepalīdzēs…

    Atbildēt
  35. kas

    Anonymous: Paldies par info. Jā, tas tiešām liekas patiess stāts.

    Ir jau cilvēki, kas specializējas tieši uz vīrusu rakstīšanu, tiesa, tas var būt piemērots tikai konkrētai bankai. Parastā metode, par kādu es lasīju Nordea gadījumā bija lielākoties bagātnieku apzagšana, kur tu nepamani, ka pazūd kāds tūkstotis vai desmit tukstoši.

    Tā ideja bija vienkārša. kad ielogojies bankā, tad progamma sež pa vidu starp pārlūku un banku, un kad ievadi maksājuma apstiprinājuma vienreizējo kodu, viņa to nosper un izpilda citu maksājumu, tev banka parāda, ka tāds kods nav derīgs. ar otro reizi aiziet un tu novel to uz savu neuzmanību…

    Lābākais ieteikums, kas man ir zināms, tad, ja tiek iegūts kāds aizdomīgs fails ir palaizt to caur http://www.virustotal.com/

    Atbildēt
  36. kas

    Dažās bankās, piemēram Pirmajā bankā (DnB Nord), man vēl joprojām (ja pareizi atceros) ir kodu karte kredītkartes formātā, kura nemainās. Man tā ir ieskanēta. Un šādu autentifikāciju var appiet pavisam elementāri – uzliek uz datora vīrusu kas ik pa brīdim (vai tad, kad ieiet ibankas adresē) ievāc ekrāna attēlus un nosūta to vīrusa autoram. Un tad var ieiet manā ibankā no jebkura datora pasaulē…. VARBŪT parexam tajā brīdī bija kaut kas tamlīdzīgs – vienkārsa ieeja internetbankā.

    Atbildēt
  37. dzelzcelsh

    Izskatās gan pēc tā pirmā varianta, jo viņam arī pateica, ka nepareizs kods no sākuma, un tad šis nomainīja, bet hakors pēc tam tik un tā urkjējās viņa kontā un izveidoja citus maksājumus.

    #71. Kāpēc kodu karte būtu jāieskenē… LMAO?

    Atbildēt
  38. hren

    to kas…

    Teorētiski variantu ar kodu karti var izdarīt, taču reāli tas var būt tikai targeted uzbrukums tieši Tev, ja zināms ka tev uz konta ir riskam atbilstoša naudas summa. Iedomājies ja vīruss-robots tiks sūta screenshotus no n-tajiem tūkstošiem lietotāju, tad otrā galā jāsēž leģionam dresētu mērkaķu, kas manuāli tos analizē un kad pēc vairāku mēnešu saspringta darba to tavu nelaimīgo kodu karti ir “uzzīmējuši” un loginu/paroli arī dabūjuši, tad var pēkšņi konstatēt, ka kontā ir -5Lati un nikns paziņojums no bankas par kredīta saistību piespiedu piedziņu 🙂
    Variantā ar vienreizēju kodu arī teorētiski izdarīt visu var – atkost šifrētu trafiku, pārķert paroles utt., bet tur vēl papildus faktors ir laika zīmogs, kas derīgs pietiekami īsu laiku.

    Atbildēt

Ieraksti komentāru

Tava e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *