作者 主題: 被人種了個假銀行網站...  (閱讀 7177 次)

0 會員 與 1 訪客 正在閱讀本文。

kingwah

  • 可愛的小學生
  • *
  • 文章數: 6
    • 檢視個人資料
    • http://kingwah.net
被人種了個假銀行網站...
« 於: 2005-05-22 16:55 »
上星期五無啦啦被ISP停左我條寬頻... 跟住打去問ISP, 佢話收到投訴, 話我個網站有假銀行網頁, 於是立即停止我的服務.

咁我返到屋企即刻睇O下部SERVER, check番D LOG, 發覺真係被人種了兩隻rootkits(Dreams, Sin), hacker寫左個外國銀行網頁, 及利用我個mail server O係半個鐘內SEND了超過3000封EMAIL出去, 叫人UPDATE信用卡資料...
唉, 豈有此理... 我找到hacker應該有個EMAIL A/C "calin_ncl@yahoo.com".
我已經將D LOG同埋假網頁資料SEND哂俾ISP, 不過唔知佢之後會有咩跟進行動...

請問有無人有同樣經歷呀?
同埋, 我真係想知個hacker究竟點樣種到D rootkit去我部server? 我有咩方法可以預防呢?

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
被人種了個假銀行網站...
« 回覆 #1 於: 2005-05-22 18:53 »
看不懂廣東話~.~
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

coffeefish

  • 鑽研的研究生
  • *****
  • 文章數: 572
    • 檢視個人資料
被人種了個假銀行網站...
« 回覆 #2 於: 2005-05-23 08:55 »
嗯!看得有點痛苦!
不過建議您把一些資料補齊。
如:防火牆Log、你的防護機制、SERVER LOG、所有被竄改過的資料(最好保留硬碟)、您所採取的補救行動(如SEND 資料給IPS)......等等!
以免以後有人遭少損失求償時您會被當作幫兇。
-------------------------------------------------------------------------------
對了!真的看不懂廣東話,可否幫忙以後翻譯一下!....    :)

mn921

  • 活潑的大學生
  • ***
  • 文章數: 375
    • 檢視個人資料
被人種了個假銀行網站...
« 回覆 #3 於: 2005-06-15 13:46 »
Hello, kingwah
(1) Which bank?
(2)  Please post log, if possible.
(3)  What is bank and ISP  suggestion?
(4)  What is about now?

小弟認為 這是粉難得的經驗;  不必轉移焦點, 廣東話  看的8分懂就好
case study 比較重要  人家跑來 post 代表 酷學園夠份量

richewea

  • 憂鬱的高中生
  • ***
  • 文章數: 162
    • 檢視個人資料
被人種了個假銀行網站...
« 回覆 #4 於: 2005-06-15 14:17 »
真恐怖
請問他是直接把網頁架在你的機器上面嗎?
還是只是入侵你的電腦發信給那些人?

如果這樣在台灣會不會被叛業務過失呢?

mn921

  • 活潑的大學生
  • ***
  • 文章數: 375
    • 檢視個人資料
被人種了個假銀行網站...
« 回覆 #5 於: 2005-06-15 16:56 »
我想補充一下
這事  大家都可能遇到
一夜之間  銀行會損失百萬美金耶!!
那 抓kingwah  抵帳怎麼辦?  不然銀行先告再說
那怎麼吃的消?
所以 真的值得討論  如何自保  尤其在法律層面 大家都是一片白茫茫
希望  這種 case 進來  各位大大 要慎重發言

dark

  • 俺是博士!
  • *****
  • 文章數: 1581
    • 檢視個人資料
被人種了個假銀行網站...
« 回覆 #6 於: 2005-06-15 22:11 »
趕快 ghost 下來當證據 ..... 免得背黑鍋
如果可以 , 順便傳給小弟

至於 "如何防範這件事" ...... 答案粉簡單
.............. 不需要防 , 來一次 , 收集一次 ghost

至於 "如何防範 hacker" ...... 若站在 server 考量
小弟雖身在資安產業 1 年多 , 仍有這觀念 ... 只是說出來一定被罵死
其實 , 了解自己提供的服務最重要 ...
OS 又不是你寫的 , 平台又不是你開發的 , 有 patch 就 patch 吧
... 網頁算是 MIS 寫的啦 ... 前任嗎 ?? ... 養人家多久 ... 有發現在改吧
DMZ 區擋東檔西就算了 , 還加 ids idp ... DDOS 叫 ISP 擋比較省事啦 .....

不過這些東西還真好賣 ... 又貴 一.一


若有要分享 ghost , 別忘了小弟  ^^

mn921

  • 活潑的大學生
  • ***
  • 文章數: 375
    • 檢視個人資料
被人種了個假銀行網站...
« 回覆 #7 於: 2005-06-16 12:21 »
請教 dark
SOP 就是 ghost 嗎?  好像大家都是這麼做;
版本控制  使用前 使用中 使用後 呢?  斯斯有兩種喔!!
怎麼知道不是 內神通外鬼?

另外 是蓋台問題;   cracker 是怎麼辦 網頁轉移的?  

DDOS  有時是另一波攻擊的前奏曲 可能佯攻  如果ISP擋住  you will never know  what will be the next!!
ids,  idp ....    snort 的新書封面 都改稱 IPS呗!!

請教你們的流程 怎麼樣走?