Domanda:
Devo rilevare un sito Web compromesso da un altro hacker?
user67281
2015-01-29 20:57:24 UTC
view on stackexchange narkive permalink

Un sito web (www.blue ***** art.com) sta tentando di attaccare il mio server utilizzando la vulnerabilità Shellshock. Dopo aver eseguito una scansione Nmap sull'indirizzo IP dell'attacco, ho trovato molte porte aperte. Sembra che il sito web stia eseguendo Exim, che è vulnerabile a GHOST.

Il sito web in questione non è stato mantenuto negli ultimi tre anni ( dalla data del copyright, dallo stato di Twitter e Facebook); forse il proprietario è morto. Un controllo con Sucuri mostra che attualmente non è nella lista nera, perché non è stato trovato alcun malware.

Devo vendicarmi prendendo il controllo del sito web dall'hacker e spegnendolo per impedirgli di scansionare i computer di altre persone?

Correlati: [Come posso punire un hacker?] (Http://security.stackexchange.com/questions/35738/how-can-i-punish-a-hacker/35747#35747)
Gli hacker di solito utilizzano i siti Web per continuare ad attaccare. Ti consiglio vivamente di non entrare in un altro sito web.
Due errori non fanno bene. Finirai per essere responsabile / perseguibile come l'hacker originale. Non puoi semplicemente bloccare questo IP per ora, mentre segnali tramite canali appropriati?
Potrebbero esserci due domande mescolate qui. Se questo potrebbe essere sostenuto in tribunale come un attacco legale (come per legittima difesa) in qualunque territorio sia, potrebbe essere una domanda interessante, ma poi c'è la questione etica che potrebbe dipendere anche dalla prima.
@Smig Sto pensando che il blocco dell'indirizzo IP, come suggerisce geoffmcc, sarebbe l'equivalente digitale dell'autodifesa.
@Smig non è una domanda particolarmente interessante - AFAIK assolutamente nessuna giurisdizione da nessuna parte ha qualcosa di simile a una dottrina legale di "autodifesa virtuale" che consentirebbe di vendere al dettaglio per un attacco informatico, e sarebbe una notizia importante nel campo con interessante discusione se una legge del genere è stata approvata ovunque. Ad alcune agenzie governative può essere concessa l'immunità / autorizzazione per l '* attacco * in quanto tale, ma anche in questo caso legalmente non importa se si tratta di un "contrattacco" o semplicemente di hackerare il sistema per i loro obiettivi.
Penso che l'analogia migliore qui in ogni caso sarebbe scoprire che un ladro ha rubato la tua proprietà e fare irruzione in casa sua per rubarla indietro. Potresti avere un alto livello morale, ma di sicuro non hai quello legale.
Mentre mi piacerebbe prendere una benda sull'occhio e rispondere con un caloroso "Arr!" Penso che tutti qui, compreso l'OP, sappiano che la giustizia elettronica del vigilante non è (quasi) mai un buon piano.
@Pateris Non sono in disaccordo. Sto solo cercando di chiarire e restringere la questione. Chiedendo se "avrebbe dovuto" invece che se "avrebbe potuto", non era chiaro se andasse oltre la lettera della legge. La questione legale potrebbe avere una risposta oggettiva, ma la questione etica no.
@sapi sicuramente non "sicuro come l'inferno". È una cosa che avrebbe senso, e accetto che la legge probabilmente non lo consenta, ma poiché è "ragionevole", non lo considererei mai "sicuro".
Quando è ancora online da 3 anni, qualcuno sta pagando le bollette di hosting.
Vuoi dire come [Code Green] (http://w.spyware32.com/170/11525/IISWormCodeGreen.html)? E [nematodi] (http://virus.wikidot.com/nematode) in generale.
@sapi La tua analogia non funziona. Recuperare la tua roba da un ladro non è un furto perché il furto è, per definizione, prendere qualcosa che non ti appartiene. In una giurisdizione in cui la violazione di domicilio è una questione civile e, fintanto che non hai danneggiato nulla o preso qualcosa di diverso dalla tua proprietà, non credo che commetteresti alcun tipo di crimine.
Legalmente non puoi hackerare il sito web. Moralmente, però, non mi sentirei in colpa per aver hackerato un server che sta cercando di hackerare il mio. Ecco come la vedo io: l'hackerare un sito web che ti sta attaccando attivamente è paragonabile all'autodifesa se qualcuno ti sta attaccando. Un giudice potrebbe non essere d'accordo con questo, ma l'hacker andrà alla polizia perché è stato violato e cacciato via da una macchina? Non è probabile. È una decisione difficile con molti angoli di visione diversi, ma suppongo che se vedi la situazione in bianco e nero, allora è illegale farlo.
Cinque risposte:
S.L. Barth - Reinstate Monica
2015-01-29 21:05:03 UTC
view on stackexchange narkive permalink

No, se vuoi stare fuori dai guai.

Quello che stai suggerendo è un'azione di vigilanza, e la maggior parte dei sistemi legali non la vede di buon occhio. Anche se potresti sentire di proteggere altre persone meno esperte di tecnologia, probabilmente costituirebbe comunque un crimine.

Quello che potresti fare è cercare di scoprire se ci sono autorità per mettere in guardia. Potrebbe essere il provider di hosting, il registrar o la polizia del paese in cui è ospitato il sito web. Oppure, se ritieni che il sito sia stato dirottato, trova il proprietario o i parenti rimasti.

È un'azione di vigilante? O autodifesa?
@corsiKa È un'azione di vigilanza. Per autodifesa, è sufficiente bloccare l'indirizzo IP fino a quando la situazione non viene risolta.
@S.L.Barth Il blocco di un indirizzo IP ti proteggerà da qualsiasi cosa da quell'indirizzo IP tranne dal consumo di larghezza di banda. È possibile che ci siano situazioni in cui il consumo di larghezza di banda è un problema e potrebbe esserci qualcosa che si potrebbe fare al mittente, che causerebbe l'interruzione del flusso di pacchetti. Ma raramente è una buona idea intraprendere tali azioni.
@kasperd, sì, potresti ad esempio "tarpit" le sue connessioni. A seconda del metodo e del sistema di scansione, ciò potrebbe persino arrestare la macchina dell'attaccante a causa dell'esaurimento delle risorse.
kasperd
2015-01-29 22:32:55 UTC
view on stackexchange narkive permalink

Dovresti contattare il provider di hosting, le sue informazioni di contatto possono essere trovate da una ricerca whois dell'indirizzo IP del server. Dovresti fornire al provider di hosting i log con la prova che gli attacchi hanno avuto origine da quell'IP.

Il provider di hosting può ispezionare il traffico di rete per scoprire se gli attacchi sono ancora in corso e portare l'host offline se necessario.

Sono sicuro che qualcuno che conosce Shell Shock, sucuri, GHOST ed Exim, sa anche come "le loro informazioni di contatto possono essere trovate" e che "dovrebbero fornire al provider di hosting i log con le prove che gli attacchi hanno avuto origine da quell'IP".
Alteci
2015-01-30 01:43:29 UTC
view on stackexchange narkive permalink

Molte volte il sito web che attacca non ha la minima idea che il suo sito stia attaccando. Possiedo una società di hosting e in genere riceviamo una notifica tramite la nostra email di abuso da parte degli attaccati .

Dopo alcune indagini, abbiamo o trovare

  1. Mondo cartella scrivibile in cui sono stati installati gli script di scansione canaglia
  2. siti web mal creati che consentono upload illimitato
  3. Account FTP compromessi.

Nella maggior parte dei casi, se non in tutti, i nostri clienti non ne avevano la minima idea.

A parte questo, è illegale / non etico vendicarsi.

Malachi
2015-01-29 23:03:30 UTC
view on stackexchange narkive permalink

Se qualcuno ti stesse attaccando nella vita reale, avresti opzioni:

  • Corri
  • Difenditi

Direi che questa è una situazione simile. Se metti in atto le contromisure giuste e ritieni che l'hacker tenterà a tutti i costi di hackerare il tuo server, direi che non ti resta altra scelta che difenderti a tutti i costi, o rinchiudere il castello e chiamare aiuto.

Esplora le tue opzioni.

  • Forze dell'ordine
  • Autorità Internet
  • Chiusura del sito
  • Acquisizione del sito
  • ecc.

Direi che se prendi il controllo o chiudi il sito, questo hacker potrebbe (probabilmente) vendicarsi tu.

Dovresti

  • Raccogliere log
  • Ottenere informazioni sull'hacker
  • indirizzo IP, ecc. può agire passivamente
  • Contatta le autorità

Le forze dell'ordine e le autorità di Internet dispongono di risorse che potresti avere o meno. Sono preparati a questo tipo di attacchi e alle ritorsioni che derivano dal rintracciarli.

Non sai chi ti sta attaccando o quante risorse hanno a disposizione.

Quindi, a meno che tu non sia qualcosa come una Penelope Garcia, non consiglierei di andare faccia a faccia con un hacker nel suo stesso quartiere.

che ne dici di bloccare semplicemente l'IP sul tuo firewall?
@schroeder, Penso che rientri in "ecc.", Non è vero? So di non aver davvero accennato in quella direzione. il blocco degli IP è una battaglia senza fine se l'hacker insiste nell'attaccare il tuo sistema, può avere accesso ad altri IP o può falsificare il proprio IP.
AgonyOfVictory
2015-01-31 05:40:17 UTC
view on stackexchange narkive permalink

Ovviamente la scommessa più sicura sarebbe fare ciò che la maggior parte dei soccorritori ha già suggerito, registrando e notificando le risorse appropriate per spegnerlo ... ma non è divertente, vero?

Gli attacchi in corso dovrebbero essere di tipo attivo e non di tipo botnet automatizzato (che suona più vicino a ciò con cui hai a che fare ... e ho poca familiarità con questa particolare vulnerabilità), dove un l'obiettivo dell'attaccante in tempo reale è penetrare nel tuo sistema e magari prendere qualcosa di prezioso, poi ho tosse tosse giocato con l'idea di vendicarmi con un BearTrap (pensa che il vaso di miele che porta a payload dannoso). Legalmente, è un po 'meno semplice ora, non è vero rispetto a un'azione di acquisizione attiva ... anche se molto più sofisticata.

Se entri in casa mia, ruba la mia cassaforte e aprendola esplode in faccia quindi, ehi ...

Ovviamente questo probabilmente invita a ritorsioni più grandi e più motivate alla fine ... ma i confini morali e legali sono molto più sfocati ...

Se fai una trappola esplosiva in una cassaforte e questa esplode in faccia a un aspirante scassinatore, sarai accusato e probabilmente condannato per tentato omicidio. L'autodifesa è limitata a ciò che è noto come "forza ragionevole" e solo in presenza di una minaccia immediata. Far saltare in aria uno scassinatore fallisce entrambi i test, così come contrastare un hacker.
la questione di legalità relativa alla creazione di un honeypot non l'ANALOGIA sicura ... pensavo che sarebbe stato ovvio ma a quanto pare non a tutti. Non credo che mettere una bomba in una cassaforte che esplode all'apertura risolva qualcosa. Per essere chiari, mi riferisco all'idea di qualcuno che ruba qualcosa che potrebbe non essere così vantaggioso come crede. Dovresti assumere l'avvocato peggiore per
Vedo molto difficile dimostrare l'intenzione di fare del male da un codice "sperimentale" rubato ... è una merda di tipo Minority Report ...
Nessuno si preoccupa del tuo codice, e anche se lo fanno, è il codice sorgente che vogliono, non i binari. La possibilità che qualcuno esegua il tuo codice dannoso sul proprio computer è minima. Più probabilmente, lo eseguiranno sulla * tua * macchina, poiché ciò che generalmente cercano è la capacità di lanciare attacchi futuri contro terze parti in modo anonimo e senza occupare la propria larghezza di banda e CPU.
Probabilmente vero, ma non è inaudito e tecnicamente possibile. Tutte le intrusioni non sono le stesse, non sopravvaluterei la media. la raffinatezza dell'attaccante o ... ** Honeypot punge gli aggressori con contrattacchi **: http://www.darkreading.com/vulnerabilities---threats/honeypot-stings-attackers-with-counterattacks/d/d-id/1139424? "Gli honeypot aggressivi e offensivi sono un concetto controverso e le ramificazioni legali sono complicate. Sintsov, che ha presentato i risultati del suo esperimento honeypot al Blck Ht Europe questo mese ad Amsterdam, dice che le questioni legali sono da interpretare ..."


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...