Thursday, December 24, 2009

Hacker ප්‍රහාරයක්...?


වෙබ් අඩවියක් පරිපාලනය කරනවා (website administration) කියන්නෙත් හරියට නැවක කපිතන් තනතුරේ ඉන්නව වගේ වැඩක්. හැම දෙයක් ගැන ම හැම ආකාරයකින් ම විමසිල්ලෙන් ඉන්න ඕනේ. ඇතුළතින් - පිටතින් දෙපැත්තෙන්ම එන සතුරු ප්‍රහාර වලට මුහුණදෙන්න ඕනේ... අන්තර්ගතය ගැන බලන්න ඕනේ... සෙවුම් යන්ත්‍රත් එක්ක තියෙන පළහිළව් විසඳන්නත් ඕනේ....
වෙබ් අඩවියෙ ප්‍රතිපත්තිත් (policies) එක්ක මේ වැඩ රාජකාරි ප්‍රමාණය  අඩු වැඩි වෙන්නත් පුළුවන්.

හරි.... එමුකො මාතෘකාවට. මගේ පරිපාලනය යටතෙ තියෙන එක වෙබ් අඩවියක් මෑතකදි හදිසියෙම අකර්මණ්‍ය වුණා. වෙබ් අඩවියට ගියාම සුදු පාට පිටුවක පෙන්නනවා දෝෂ පණිවුඩයක්... index.php ගොනුවෙ 38 වෙනි පේළිය... < ලකුණ තමයි අවුලට මුල කියල ඒ පිටුවෙ කියන්නේ. මේ අවුල දැක්ක සැණින් මට දැන්වූ බ්‍රයන් වෙත මගේ ස්තුතිය!

ඉතින් මමත් මේ ගැන සොයා බලන්න Filezilla මෘදුකාංගය පාවිච්චි කරලා FTP හරහා වෙබ් අඩවියෙ ගොනු තියෙන ඩිරෙක්ටරියට පිවිසුණා. මේ වෙබ් අඩවිය CMS එකක් භාවිතයෙන් නිර්මාණය කළ එකක්. index.php ගොනුව පිරික්සා බැලුවාම අමුතු දේවල් කීපයක්ම දකින්න ලැබුණා.

සාමාන්‍යයෙන් අපි PHP කේත ලිවීමේදී අපේ PHP කේත කොටස ලියන්නේ <?php හා ?> යන ටැග අතර. නමුත්, සුපුරුදු සම්මතයට පටහැනි වුණත්, අපේ php ගොනුවෙ තිබුණෙ ආරම්භක (<?php) ටැගය පමණයි.

PHP කේතයෙ අන්තිමේ HTML Script ටැගයක් තිබුණා. බොහොම භයංකර, බැලු බැල්මට hieroglyphs වගේ පේන අමුතු HTML/ Javascript කේත කෑල්ලක් ඒක.

එතකොට සම්පූර්ණ කේතය මෙන්න මේ වගේ:
<?php
/* වෙබ් අඩවියේ
PHP
කේත */

<script> // ආගන්තුක Javascript කේත කොටස </script>
හේතුනිර්ණය: දෝෂයට හේතු වුණේ PHP අස්සේ HTML තිබීම නිසා HTML කේත කොටසත් PHP කියල හිතාගෙන, අපේ සර්වර් එකේ PHP එන්ජිම මඤ්ඤං වීම.

---

ඉතින් මේක දැක්කාම මම කළ පළවෙනි දෙය මේ ගැන අනිත් පරිපාලකවරුන්ගෙන් (administrators) විමසීම. මේ කේතය ගැන ඒ කිසිවෙක් දැන සිටියෙ නැහැ.

එහෙනම්......
Hacker ප්‍රහාරයක් ද?

මගේ අනුමානය වුණේ මේ කවුරුහරි hacker කෙනෙකුගෙ වැරදුණු කුරුමානමක් කියලයි. මොකද අපේ වෙබ් අඩවිය අකර්මණ්‍ය කළා කියල කාටවත් අත්වෙන වාසියක් නැති නිසා. Phishing වගේ වැඩකට අපේ වෙබ් අඩවිය යොදා ගත්ත නම් ඒකෙන් ඔවුන්ට යම් වාසියක් ලබන්න අවස්ථාව තිබුණා.

කොහොම නමුත් අනිත් ඇඩිමින්ලා මේ ගැන නොදන්න නිසා (අනිත් අයගෙ දැනුවත් වීමකින්/ මැදිහත් වීමකින් තොරව සිද්ධ වුණු නිසා) මම ආගන්තුක HTML/ Javascript කේත කොටස විශ්ලේෂණය කිරීමේ අවශ්‍යතාව සඳහා මගේ පරිගණකයට පිටපත් කරගෙන, index.php ගොනුවෙන් ඉවත් කරලා ඒක save කළා. දැන් සයිට් එක බබා වගේ වැඩ.

හැබැයි.......... මගේ වැඩ එතනින් අහවර වෙන්නෙ නැහැ. මීළඟ පියවර සිද්ධියෙ අග මුල කොනක සිට සෙවීම. මෙන්න මෙහෙමයි අපේ වෙබ් අඩවියට ආසාදනය වෙලා තිබුණු විෂබීජය:



ඉතින්,... මේක එකපාර දැක්කාම මහ ලොකු පටළැවිල්ලක් වගේ.... බැලු බැල්මට ඇසෙම්බ්ලි වලින් ලිව්ව එකක් වගේ.... :P මේ කේතය පරීක්ෂා කරමින් ඉන්නකොට පැය විසි හතරක් ඇතුළත දෙවන වතාවටත් වෙබ් අඩවිය අකර්මණ්‍ය වුණ බව අහම්බෙන් දැනගන්න ලැබුණා.

සිද්ධ වෙලා තිබුණෙ කලින් සිද්ධියමයි. ඉතින් මම පෙර වතාවෙ කළ සැත්කම ම ආපහු කරලා මීට විසඳුමක් හොයන්න උත්සුක වුණා. කාලෙකට පස්සෙ පොඩි අභියෝගයක්! මේක කරදරයක් නෙමෙයි.... අභියෝගයක්....!! සතුටු විය යුතුයි ඒ ගැන.

---

දැනට සිද්ධ වුණු දේවල් ගැන පොඩි සාකච්ඡාවක් මෙතනම ඉදිරිපත් කරන්න හිතුණා. සාකච්ඡාවට සහභාගි වුණේ මගේ මස්තිෂ්ක අර්ධගෝල දෙක.... තනියට පාලුවට අනුමස්තිෂ්කයත් පිටුපස්සෙන් හිටියලු...... :D

මේ මගුල අටවපු කෙනා ඒක කරල තියෙන්නෙ වෙබ් පිටුවක මේ කේතය අඩංගු කරලා වෙබ් පිටුව පූරණය වෙන අවස්ථාවෙ ඒක පරිශීලකගෙ පැත්තෙන් ක්‍රියාත්මක කරවන්න. නමුත් අපේ php ගොනුවෙ අග වැසීමේ ටැග් එක (?>) නැති නිසා, සර්වරය පැත්තෙන් ආගන්තුක HTML කේත කොටසක් PHP කේතයක් ලෙසම සලකලා interpret කරන්න උත්සාහ කිරීමෙ අවසාන ප්‍රතිපලය වුණේ මුළු වෙබ් අඩවියම අකර්මණ්‍ය වීම.


එක්කෝ අපිත් එක්ක සෙල්ලම් කරන කෙනා/ bot එක ට index.php ගොනුවෙ සම්පූර්ණයෙන් කියවන්න හැකියාවක් නැහැ. එහෙම නැත්නම් කියවා අවබෝධ කර ගන්න හැකියාවක් නැහැ. කියවා අවබෝධ කරගැනීමේ හැකියාවක් තිබුණා නම් ඒකාන්තයෙන්ම මේ වැඩේ කරන්නෙ මනුස්සයෙක්. නමුත් මේ දෙ වතාවේදී ම php කේතයෙ ව්‍යූහය නොතකා එහි අගට අන්ධ ලෙස HTML කේත කොටසක් එක් කර තිබීම නිසා මගේ නිගමනය වුණේ මේකට වගකියන්න ඕනෙ bot එකක්ම විය යුතුයි කියන එක.

මම මෙතෙක් ලබලා තියෙන දැනුමේ හැටියටත්, අපේ වෙබ් අඩවියෙ ස්වභාවයත් අනුවත්, වෙබ් ගවේශකයක් හෝ වෙනත් උපක්‍රමයක් පාවිච්චි කරලා HTTP හරහා මේ ප්‍රහාරය ක්‍රියාත්මක කිරීම අතිශයින්ම අසීරු දෙයක්. (HTTP ගැන හොඳ අවබෝධයක් තියෙනව නම් Firefox පවා hacking tool එකක් කරගන්න බොහොම පහසුයි! -- ඒක වෙනම කතන්දරයක්)

මේ නිසා මගේ සැකය යොමු වුණේ වෙබ් අඩවිය ස්ථාපනය කරලා තියෙන සර්වරය වෙත. සර්වරය වෙත අනවසරයෙන් පිවිසෙන්න සමත් වුණු තක්කඩියෙකුගෙ වැඩක් වෙන්න ඇති! << හැබැයි මේ උපකල්පනයක් පමණයි.

---

අගමුල හෙවිල්ල පොඩ්ඩකට පැත්තක තියලා අර කේත කොටස මම ආපහු පරීක්ෂා කළා. බැලු බැලුමට ආධුනිකයෙකුගේ ධෛර්යය හීන කරවන විධියෙ සංකීර්ණ පෙනුමක් ඒකට තියෙන්නේ. නමුත් ඕනම සංකීර්ණ ගැටළුවක් සරල කොටස් වලට වෙන් කරගත්තාම පහසුවෙන් විසඳන්න පුළුවන්. අන්තිමේ බැලුවම ඒකත් බොහොම සරල දෙයක් නොවැ!

මුලින්ම කියවන්න පහසු ක්‍රමයකට කේතය පේළි කීපයකට වෙන් කරගත්තා,



මේ තියෙන්නෙ අමාරුකාර පේළිය,



ඒ පේළිය දිහා පරීක්ෂාකාරීව බලන්න... javascript පිළිබඳ එතරම් ම දැනුමක් අවශ්‍ය වෙන්නෙ නැහැ. :)



Javascript වල තියෙන replace නම් method එක තමයි මෙතන පාවිච්චි කරල තියෙන්නේ. (අහඹු ලෙස) විරාම ලක්ෂණ මුසු කිරීම මගින් සූක්ෂ්ම ආකාරයට සඟවන ලද පාඨ කොටසක්, ක්‍රමලේඛය ධාවනය වෙන අවස්ථාවේදී ඒ විරාම ලක්ෂණ ඉවත් කර නැවත ප්‍රයෝජනයට ගැනීමේ අපූරුව! හැබැයි ඉතිං මේක හරියට අගුළු දමාපු අල්මාරියක යතුර ඒකෙ යතුරුකටේම තියෙන්න අරිනව වගේ වැඩක්.

ඔය කේත කොටසෙ අවසාන ප්‍රතිපලය:



බැලු බැල්මටම පේනව නෙව මේක phishing වගේ වැඩකට පාවිචිචි කරන්න හදපු එකක් කියලා.... :)

මේ සම්පූර්ණ කේතය ධාවනය වෙද්දි වෙබ් ගවේශකය මත දිස් වන වෙබ් පිටුවේ තවත් javascript object එකක් නිර්මාණය වෙනවා. ඒ javascript කේතය තියෙන්නෙ/ තිබිය යුත්තෙ ඔය රතු පාටින් දීල තියෙන URL එකේ. නමුත් වෙබ් ගවේශකයෙන් මේ URL එක වෙත ගියාම දිස් වෙන්නෙ හිස් වෙබ් පිටුවක්. දෙවැනි ප්‍රහාරයෙදි මම පිටපත් කරගත් කේතයෙන් දැක්වුණේ මේ ව්‍යූහයම දරණ වෙනත් URL එකක්. පහත දැක්වෙන්නෙ attacks කීපයකින් පසුව මම එකතු කරගත් තවත් මෙවැනි URL දෙකක්.



---

මේ වෙබ් ලිපින මම පරීක්ෂා කර බැලුවා... මේ කේත කොටස shaakunthala.com හි මගේ වෙබ් අඩවියට දාලා ඇතැම් විට අවශ්‍ය පරිදි Wireshark පවා යොදාගෙන පරීක්ෂා කරල බැලුවා. ඒත් කොයි URL එකෙන් වුණත් ලබා දෙන්නෙ අපේක්ෂිත javascript කේතය නෙවෙයි, හිස් පිටුවක්.

ඒ හැම host එකකම port 80 හා 8080 හි වෙබ් සර්වර් ක්‍රියාත්මකව තිබෙනවා.

මේ port 80 හි ක්‍රියාත්මක වෙබ් සර්වර මත තියෙන අඩවි:




තිරපිටපත් මත ක්ලික් කරලා පැහැදිලිව බලන්න පුළුවන්

---

වෙබ් අඩවි ලඝු සටහන් (site logs) වලිනුත් කිසිම දෙයක් හොයාගන්න බැරි වුණා. ඒවයෙ මේ ගැන කිසි දෙයක් සටහන් වෙලා තිබුණෙ නැහැ. මේ කිව්වෙ server logs ගැන නෙවෙයි.

මේ ගැන කරන විමර්ශනය මම අතහැර දමා නැහැ. ඊට සමගාමීව මීළඟ පියවර අපට web hosting සේවාව සපයන ආයතනය සමඟ සාකච්ඡා කර විසඳුමක් සොයන එකත් කළ යුතුයි. තාවකාලික පැලැස්තර විසඳුමක් ලෙස index.php ගොනුවෙ අගට පහත දැක්වෙන කේත කොටස එකතු කළා. 

die();

මෙහෙම 'මැරියං!' කිව්වාම එතනින් එහාට කේතය interpret වෙන්නෙ නැහැ. ඒ නිසා අර කෙහෙල්මල් javascript එක interpret වෙන්නෙවත්,  වෙබ් ගවේශකය වෙත එන්නෙවත් නැහැ. වෙලාවෙ හැටියට මේ 'මැරියං!' එක පැලැස්තර විසඳුමක් හැටියට බොහොම ප්‍රයෝජනවත් වුණා.

---

අපේ වෙබ් අඩවිය දැන් කිසිම ගැටළුවකින් තොරව ක්‍රියාත්මකයි. හැබැයි නැවත නැවතත් ප්‍රහාරයට ලක් වෙමින් පවතිනවා. die() කියන PHP මෙතඩ් එක පළිහක් වගේ අපේ වෙබ් අඩවිය අකර්මණ්‍ය වෙන්න නොදී ආරක්ෂා කරනවා. බලමුකො ඒකෙත් අපූරුව!

හැබැයි, විමර්ශණ මෙතනින් නවතින්නෙ නෑ. index.php ගොනුවෙ permissions තිබුණෙ 664 (-rw-rw-r--) ලෙස. ඒක ටිකක් විතර අසාමාන්‍යයි වගේ (සාමාන්‍යයෙන් මේක 644 හෙවත් -rw-r--r--). මේ වෙබ් අඩවිය නිර්මාණය කළ අය වෙබ් අඩවිය සකස් කරන්න සහ host එකට upload කරන්න පාවිච්චි කරල තිබුණෙ වින්ඩෝස් මෙහෙයුම් පද්ධතිය හා ඒ පාදක කරගත් මෘදුකාංග. මේක වින්ඩෝස් වල තියෙන 'අල' permission system එක නිසා මෙතන එය 664 වුණා කියලයි මම හිතන්නේ.

මගේ ඊළඟ ඇටවුම වුණේ මේ permissions 600 (-rw-------) ආකාරයට සැකසීම. සරලව කිව්වොත්, දැන් index.php කියවන්න සහ සංස්කරණය කරන්න පුළුවන් සර්වරය පැත්තෙන් ඒ ගොනුවෙ අයිතිකරු ලෙස ඉන්න userට පමණයි. අනෙක් අයට කිසිම දෙයක් කරන්න බැහැ. කලින් තිබුණු ක්‍රමය අනුව අදාළ පරිශීලකටත්, කණ්ඩායමටත් මේ අවසර ලැබී තිබුණා. මේ නව permission සැකසීම මගින් මම සොයාගන්න අදහස් කළේ කලින් කිව්ව bot හෝ ස්වයංක්‍රීය උපක්‍රමය ධාවනය වෙන්නෙ අදාළ පරිශිලක යටතේම ද කියන එක.

මේ ආගන්තුක කේත කොටස javascript වීම නිසා ඇති වුණු සැකයක් ඔස්සේ  (මේ දැන් මොහොතකට පෙර) කළ සෙවීමකදී jQuery සහය සඳහා පාවිච්චි කරන jquery.js ගොනුවත් මෙලෙසම ආසාදනය වී ඇති බව දැනගන්න ලැබුණා. නමුත් එය Javascript ගොනුවක් නිසා කලින් වගේ ප්‍රතිපල බාහිරයට පෙනුනේ නැහැ. තවදුරටත් සොයා බැලීමේදී මුළු වෙබ් අඩවියෙම විවිධ තැන් වල තියෙන index.php ගොනු වලටත් javascript ගොනු වලටත් මෙය ආසාදනය වී ඇති බව සොයාගන්න හැකි වුණා. මට හීන්දාඩිය දාන්න ගත්තේ දැන්. තවදුරටත් සොයා බැලීමේදී මේ ගොනු බොහොමයක permissions තිබුණේ 644 (-rw-r--r--) ආකාරයෙන් බවත් නිරීක්ෂණය වුණා. මේ (permissions) නිරීක්ෂණයත් එක්කම මම කලින් ඡේදයෙ විස්තර කළ ඇටවුමේ ප්‍රතිපල ලැබෙන තෙක් බලා සිටීම අනවශ්‍ය කාරණයක් බවට පත් වෙනවා.

සියළුම නිරීක්ෂණ සලකා බලා මගේ අවසාන නිගමනය මෙය web hosting සේවාව සපයන ආයතනයේ වරදකින් සිදු වුණා කියන එක. වෙබ් අඩවි ලඝු සටහන් වලත් වැදගත් යමක් සටහන් නොවී තිබීම නිසා, මෙය HTTP හරහා වෙනත් පාර්ශවයක් අනවසර පිවිසීමක් ලබාගෙන සිදු කළ දෙයක් නොවෙයි කියන එක පැහැදිලියි.

---

අද සටහන අනවශ්‍ය පරිදි දීර්ඝයි කියා මට හිතෙන්නේ.... සුළුවෙන් හරි අපැහැදිලි තැනක් තියෙනවනම් comment එකක් දාන්න.... මම තවත් සරල කරලා විස්තර කරන්නම්.

ඒ වගේම මේ ක්ෂේත්‍රයේ අත්දැකීම් තියෙන අයගෙ උපදේශත් මේ ලිපියට ප්‍රතිචාර හෝ ඊමේල් ආකාරයෙන් බලාපොරොත්තු වෙනවා. (cyber forensics කියන්නෙ මේවද මන්දා.... :-/ )

විමර්ශණ කෙසේ වෙතත් නත්තලත් ළඟටම ඇවිත්.... ඉතින්... මගේ බ්ලොග් අඩවියට යන එන හැම දෙනාටම හැකර් ප්‍රහාර වලින් තොර සාමකාමී සුභ නත්තලක් වේවා කියල ඔන්න මගෙනුත් නත්තල් සුභපැතුම්! :-)




පසු සටහන (2009/12/25):
මේ සටහනේ අන්තර්ගතය ලෙස malicious source code කොටස් සඳහන් කිරීම නිසා විවිධ වයිරස් නාශක මගින් මගේ බ්ලොග් අඩවිය අවහිර කර ඇති බව දැනගන්න ලැබුණා. ඒවා කේත ලෙස නොව පාඨ ලෙස render වන නිසා හානි රහිතයි. මෙය වයිරස් නාශක මෘදුකාංග වල සිදුවූ වරදක් (False Positive).


Image credit: Ravin Perera

මෙය වළක්වන්න අදාළ source code සියල්ල පිළිබිඹු (images) ලෙස යොදන්න සිදු වුණා. නමුත් ඒ ඒ තැන් වලට අදාළ කේත කොටස් අවශ්‍ය නම් පහත දැක්වෙන සබැඳියෙන් බාගත කරගත හැකියි.

  http://www.4shared.com/file/180832826/c4c709df/altcodetxt.html
Password: malcode

(ඔබ වින්ඩෝස් මෙහෙයුම් පද්ධතිය පාවිච්චි කරනවා නම් මේ ගොනුව විවෘත කරන්න wordpad මෘදුකාංගය යොදාගන්න -- notepad පාවිච්චි කරන්න එපා)

යොමු:
http://forum.avast.com/index.php?topic=52588
http://groups.google.com/group/techkatha/browse_thread/thread/ab92437e0054fcec

මේ වින්නැහිය ගැන මට දැන්වූ සියළුම දෙනාට මගේ හෘදයාංගම ස්තුතිය පිරිනමනවා! :)

Merry X'mas to you all again!!
ලිව්වේ ලියූ වෙලාව - කාණ්ඩ: , , , ,

43 comments:

  1. CharithDDecember 25, 2009 at 12:36 AM

    අප්පා ලෝක ප්‍රශ්නයක් නෙ....මොනවා වුනත් සොයා ගැනිම ඉස්තරම්

    ReplyDelete
  2. Prashan FernandoDecember 25, 2009 at 3:27 AM

    අයියා, ඔයාගෙ මිෂන් ඉම්පොසිබල් වැඩ නියමයි. හරි ආසාවෙන් කියෙව්වේ. ඔයාටත් සුභ නත්තලක් වේවා!!

    ReplyDelete
  3. budhikaDecember 25, 2009 at 10:46 AM

    well done oneday u will become a it foresic consultant

    ReplyDelete
  4. IndranamaDecember 25, 2009 at 12:11 PM

    මටත් මීට ටිකක් සමාන වැඩක් උනානෙව කාලෙකට කලින්. හැබැයි ඒ තියෙන ෆයිල් එක වෙනස් කිරීමක් නම් නොවෙයි, අලුත්ම ෆයිල් වගයක් මගේ සර්වරේට පැටවිලා.

    හොස්ටිං ආයතන නං ජීවිතේට තමන්ගෙ වැරැද්ද පිලිගන්නෙ නං නෑ :P අපිවම ප්‍රෙස් කරන්න හදනවා මිසක්.

    කොහොම උනත් මේ Permission ගැන දැනුවත් කිරීමට නම් ස්තූතියි. මමත් මගේ ෆයිල් වල පර්මිෂන් තත්වය හොයලා බලලා නිවැරදි කරන්න ඕනේ.

    වර්ඩ්ප්‍රෙස් පාවිච්චි කරන අයට නම් මට කියන්න තියෙන්නේ wordpress වල security holes නැතත් අපි පාවිච්චි කරන third party plugin වල තියෙන්න පුලුවන්. ඒවා හරහා කෙනෙකුට අපේ ෆයිල් වලට රිංගන්න පුලුවන් වෙයි. මගේ සිද්ධියෙදි උනේ එහෙම දෙයක් කියලා දැන් මට හිතෙනවා.

    ReplyDelete
  5. Gayan TharakaDecember 25, 2009 at 12:15 PM

    හැබයි මට උනේ ඕකෙ අනිත් පැත්ත ඇටෑක් වෙච්ච සයිට් එකක් මට මේන්ටෙනන්ස් වලට දුන්න. ඒක හදන්න ගිහින් මගේ අනිත් වෙබ් සයිට් වලටත් ඇටෑක් කරන්න ගත්ත. ඇටෑක් කරන්නේ හැම නිතරම 444 දාල තිබුණු ෆයිල් පර්මිෂන් හිටන් වෙනස් කරල. දාල තිබුණු පාස් ව‍ර්ඩ් සේරම මාරු කරල තමයි ‍නවත්ත ගත්තේ. ඒ සයිට් සේරම ගූගල් එකෙන් පවා බ්ලොක් කරල තිබුණා. වෙබ්මාස්ටර් ටූල්ස් වලින් තමයි ආපහු හදාගත්තේ.

    සයිට් එ‍කේ ස්ක්‍රිප්ට් එක දාද්දී පොඩ්ඩක් වෙනස් කරල දාන්න ගෙඩි පිටින් දාන්න එපා. උදා: . එක [තිත] හෝ [dot] @ එක [at] වගේ. බොහෝමයක් ෆෝරම් වල ඔය උපක්‍රමේ පාවිච්චි කරනව දැකල තියෙනවා.

    ReplyDelete
  6. AnujaDecember 25, 2009 at 12:16 PM

    Ela, kiyawana kota nam therenawa. Api karanna giyoth...
    But niyamai. Ube "yaluwo" hodata weda ;)

    ReplyDelete
  7. UnknownDecember 25, 2009 at 2:49 PM

    මචං ඔයගේ බ්ලොග් එකෙත් තවම Script එක තියෙනව වගේ මගේ Avast එකෙන් සයිට් එක බ්ලොක් ක‍රනවා (http://blog.shaakunthala.com/2009/12/hacker.html\{gzip}), මමත් ක‍රපු සයිට් කිහිපයකටම ඔයවැඩේ උනා මම joomla වලින් ක‍රපු එකක හැම ෆොල්ඩර් එකකම තිබුන index ෆයිල් වල ඔය වගේ ආගන්තුක කේතයක් තිබුනා ඊට අමත‍රව mySql database එකෙත් එකතැනක ඔය කේතය ගබඩාවෙලා තිබුනා ඒ හැම තැනකම තියෙන එව ඉවත් ක‍රනකම් නවත්වගන්න හ‍රි අමාරුවෙයි,
    මගේ එකම server එකේ තිබුන හැම සයිට් එකකටම බොවෙලයි නැවතුනේ, මමටනම් Server එක සම්පුර්නයෙනන්ම මකල අලුතෙන් හැම සයිට් එකක්ම ස්ථාපනය ක‍රන්න උනා,

    ReplyDelete
  8. ශාකුන්තල | ShaakunthalaDecember 25, 2009 at 3:56 PM

    @Dilshan,
    1. Infect වුණේ මගේ බ්ලොග් එක නෙවෙයි.
    2. Script එක මගේ බ්ලොග් එකේ තියෙන්නෙ publish කළ source code ආකාරයෙන්.

    ඒ නිසා මෙතන මගේ වරදක් නැහැ. මේක False Positive එකක්.

    අත්දැකීම් බෙදා හදා ගත්තටත්, Virus Warning එක ගැන දැන්නුවටත් බොහෝම ස්තුතියි :) . කීප දෙනෙක්ම ට ඒ ගැන පුද්ගලිකව දැනුම් දුන්නා. මේ ගැන Avast එකටත් දැන්නුවා.

    අන්තිම පියවර ලෙස මේ කේත සියල්ලම png image විධියට දාන්න පුළුවන්.

    ReplyDelete
  9. SanTechTalkDecember 25, 2009 at 7:58 PM

    This comment has been removed by a blog administrator.

    ReplyDelete
  10. UnknownDecember 25, 2009 at 8:02 PM

    පට්ට ගේමක්නේ...
    internet security පැත්තත් ආස හිතෙන පැත්තක් නේ....
    ලිපිය සම්පූර්ණයෙන්ම තේරුනේ නෑ. මොකද මට ඔය java script ගැන මේලෝක idea එකක් නැති නිසා.
    අනික මට ඔය HTML,PHP වස කම්මැලියිනේ....මම අපේ සයිට් එකට pdf generation කෑල්ල තාම හරියට දාගන්න බැරි උනා. කොහොම හරි ලස්සනට හදලා ඉවර කරන්න ඕන.
    මගේ කුතුහලට ඇවිස්සුවට තැන්කූ කිව්ව..

    ReplyDelete
  11. ශාකුන්තල | ShaakunthalaDecember 25, 2009 at 8:18 PM

    ඔන්න Virus Warning අහවරයි! පෝස්ට් එක පොඩ්ඩක් විතර edit කළා.

    @sanjeewa,
    කුණුහරුප මතක් වෙනව නම් ඒව ලියන්න එපා -- කුණුහරුප මකනවා

    @සුසිත,
    මේක තේරුම් ගන්න javascript දැනගන්න ඕනෙ නෑ.
    අවශ්‍යතාව = Internet Programming වල මූලිකාංග (basics) පිළිබඳ දැනුම + සුපරීක්ෂාකාරී මනස

    PHP අමාරු නෑ කොල්ලෝ... උඹ දන්නවනෙ programming වල basics... PHP වලට පොඩ්ඩක් ටියුන් වෙයං.... ඉන් පස්සෙ උඹ හීනෙනුත් code ලියයි. :P

    ReplyDelete
  12. නුවන්සිDecember 28, 2009 at 4:46 PM

    සැහෙන හොද අභියොගයක්
    තාමත් නිවැරදි පිළියමක් සොයා ගන්න බැරි වුනාද?

    එත් මමත් හිතන්නේ මෙක එයාලගේ න් සිදු වුනු දෙයක් කියලයි
    මටත් මතකයි කලින් ඉන්දරෙටත් මෙ වගේ ඇබැද්දියක් වුනා
    ඔයාගේ නිරික්ෂණය සැහෙන්න හොදයි හොද ඇහැක් වගෙම හොද මොළයක් නැත්නම් අතර මං වෙලා අල්ලලා දානවා.
    එයාලගේ සර්වර් වල ස්වයංක්‍රිය ස්ක්‍රිප්ට් එකකින් මෙක වෙනවා ඇති, එක කරන්න ඇත්තේ යම්කිසි වෙබ් අඩවියක් තොරාගෙන විය හැකියි. එක හැමොටම අදාල නැ
    නමුත් සර්වර් වල තියෙන හැම අඩවියකටම මෙක යනවා
    සාමාන්‍යයෙන් වැඩි කාලයක් නොතියා වෙනස් කම් වලට භාඡනය කරත් මෙක වෙනස් කරලා නැහැ නෙද?
    එකෙන් තෙරෙනවා නේ වැඩේ

    ReplyDelete
  13. Kasun KaushalyaDecember 29, 2009 at 4:14 PM

    ela kiri yaluwa , wade maxaa , lesatama oyala wage

    danna deyak apita kiyala dena ayata thawa thath aluth aluth dewal igenaganna labenna one ..

    kapuwa malli

    ReplyDelete
  14. Saranga RathnayakeDecember 30, 2009 at 11:33 AM

    පට්ට ගේමක්, අත්දැකීම් බෙදා ගත්තට ස්තුතියි !!!

    ReplyDelete
  15. ශාකුන්තල | ShaakunthalaDecember 30, 2009 at 6:24 PM

    @නුවන්සි,
    ඔව්, සර්වර් වලට අනවසර පිවිසීමක් ලබා ගන්න හැකි වුණු තක්කඩියෙකුගේ වැඩක්. හැබැයි මම නිවැරදි පිළියමක් හොයා ගත්තා...

    @Kasun, @Saranga,
    ස්තුතියි මිත්‍රවරුනි. :-)

    @All,
    මෙන්න කියවන්න Episode 2 !
    http://blog.shaakunthala.com/2009/12/bash.html

    ReplyDelete
  16. UnknownDecember 30, 2009 at 10:06 PM

    perfect .... mama tikak pahu wela tamai meka kiyewwe.

    ReplyDelete
  17. ඉෂාන් තිළිණ සෝමසිරි (Ishan Thilina Somasiri)December 31, 2009 at 11:14 AM

    අයියා වැඩර් කියලා අපි ඒ කාලේ ඉදන්ම දන්නවනේ ඉතිං :D

    ReplyDelete
  18. AnonymousDecember 31, 2009 at 6:15 PM

    මචා මම මේක වැරදි තැන දාන්නේ. එත් කවුරුහරි www කෑල්ල නැතුව යුද්ධ හමුදාවේ web site එකට (http://army.lk) ගිහින් බැලුවොත් පෙනෙයි. ආමි සයිට් එකෙන් කවුරුහරි ගූගල් මනී ගරනවා. (http://www.army.lk අවුලක් නෑ) හැමතැනටම ඊමේල් කළා. ප්‍රතිචාරයක් නැත. ටෙලිෆෝන් කරලා ඕවා කියලා සුදුවෑන් වල යන්න කම්මැලියි. :P

    ReplyDelete
  19. AnonymousJanuary 7, 2010 at 1:55 PM

    http://geniushackers.com/blog/2009/06/05/mass-injectioninfected-more-than-40000-web-sites/

    ReplyDelete
  20. ශාකුන්තල | ShaakunthalaJanuary 7, 2010 at 3:14 PM

    @Anonymous,
    ඔයා කිව්වට පස්සේ මම දැක්කේ... ඊට පසුවත් සතියක් විතර තිබිලා ඔන්න දැන් හදලා.... මතකනේ කලින් වතාවකුත් ඕකට ගේමක් දීලා තිබුණා.

    @--lanKa--,
    Thanks for the link, dude! :-)

    ReplyDelete
  21. ශාකුන්තල | ShaakunthalaJanuary 7, 2010 at 3:40 PM

    @--lanKa--,
    කිරි අප්පට බල්ලො පැනපි කිව්වලු!! දැනුයි කියවල ඉවර කළේ. ඇඟ හිරි වැටෙන නිව්ස් එකක්නේ... O_o

    අපි නොදැනුවත්ව මේ වගේ වෙබ් අඩවි කීයක් නං තව තියෙනවා ඇතිද?

    ReplyDelete
  22. sajeeJanuary 12, 2010 at 7:09 AM

    udawuvak denna puluvanda Shakunthala malli?
    mama SINHALA BLOG kiyavanaya kiyana site eke blog kiyawana kenek. namuth ada mama e SITE eka click kalama menna me..vidihata PAGE eka vatenawa.

    Forbidden

    You don't have permission to access /index.php on this server.

    Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.
    Apache/2.0.63 (Unix) mod_ssl/2.0.63 OpenSSL/0.9.8e-fips-rhel5 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at blogs.sinhalabloggers.com Port 80

    mekata mokada karanne kiyala kiyanvda?

    ReplyDelete
  23. ශාකුන්තල | ShaakunthalaJanuary 12, 2010 at 3:57 PM

    මේක ඔයාගේ වරදක් නෙවෙයි. සිංහල බ්ලොග් කියවනය මේ දවස් වල නවීකරණය කරමින් පවතිනවා. ඒ නිසා කලාතුරකින් වෙලාවක ඔහොම වෙන්න පුළුවන්. බලන්න, දැන් ඒක හදලා. :-)

    ReplyDelete
  24. sajeeJanuary 12, 2010 at 6:06 PM

    බොහොම සතූතියි ශාකුන්තල මල්ලි ප‍්රතිචාරයට.ඔයාට ජය ප‍්රාර්තනා කරනවා.

    ReplyDelete
  25. C0de BlUeFebruary 25, 2010 at 1:56 PM

    අප්පා අයියා මාර ගේමක් නේ දිලා තියන්නේ , මටත් මේ වගේ වැඩක් උනා , මමත් joomla script එකක් freehosting එකක host කර කර ඉන්න කොට මටත් මේකම උනා
    (joomla කොහොමත් vulnerable වැඩි නේ) , පස්සේ බැලින්නම් වෙලා තියන්නේ script එකේ index.php , home.php වගේ default root එකට එන files වලට malicious code එකක් inject වෙලා ( iframe එකක malicious code එකක් hidden වෙලා තියනවා russian site එකකට) . මම නම් මුලින්ම හිතුවේ මේක Sql injection එකක් කරලවත් ඇවිල්ලද කියලා , පස්සේ ටිකක් google කලාම තමා තේරුනේ malicious code එක ඇවිල්ලා තියන්නේ malicious pdf එකක් vulnerable වෙලා .මේ pdf එකෙන් තමන්ගේ පරිඝනකයට පොඩි .vbs script එකක් download වෙලා , පස්සේ ඔක්කොම keystorke record වෙනවා (මේක මට හොදටම තේරුනේ මම file hosting වල files clean කරලා , මුරපද වෙනස් කරලා අලුතෙන් දැම්මත් ආයි site එක injection වෙන නිසා ) , එපා කරපු russian hackers ලා !! , පස්සේ මුලු හාඩ් එකම full scan එකක් දාලා සුද්ධ කරලම දැම්මා , දැන්නම් අවුලක් නෑ !! :D

    ReplyDelete
  26. GFebruary 27, 2010 at 10:43 AM

    බොහොම් ස්තූතී! මට ගොඩක් උදවු වුනා! die() තමයි වැදගත්ම!

    ReplyDelete
  27. AshenOctober 7, 2010 at 6:09 PM

    මට නම් මෙලොව හසරක් තේරුනේ නැති බව කිව යුතුය ........ :D

    ReplyDelete
  28. AnonymousJanuary 9, 2011 at 6:18 AM

    මටත් එසේමය ????

    ReplyDelete
  29. KBWJanuary 22, 2011 at 5:21 PM

    patta gema........

    ReplyDelete
  30. සාලිත ලක්මාල්March 23, 2011 at 8:39 PM

    ela mach mata ube help eka one..
    man alut web ekak patan ganna inne ..

    ReplyDelete
  31. AnonymousNovember 21, 2011 at 9:39 PM

    ok it is so interesting and thanks

    ReplyDelete
  32. ZeeJanuary 11, 2012 at 8:30 PM

    ඔව් මේක HOSTING SERVER එකේ වැඩක් වෙන්න ඕනි. මගේ site එකක් හොස්ට් කරලා තියෙනවා free hosting server එකක. එකෙත් main page එක index .php file එකට අගින් script code එකක් auto add වෙනවා. මේක මටත් අහුවුනෙ W3 validate කරද්දී. හොස්ටින්ග් ෆිර්ම් එකට කතා කරලා විසදුමකට එන්න. ඔය permissions වැරදියට පාවිචි කරන පඬියෙක් ගේ වැඩක් වෙන්න ඕනි.
    මෙන්න auto add වුනු code එක,

    ReplyDelete
  33. AnonymousFebruary 28, 2012 at 10:03 PM

    mage lagadi upload kala personal web site 1 tath oya wadeta samana wadak una.. bt eka une kohomada kiyala mama hoya gaththa.. eka karala thiyenne mage machin eke thibuna virus or spyware 1kin.. mama site 1e update wagayak local machin 1n karala index.php eka upload kalama oya wadema unaa. eta passe sathiyakin withara mulu web 1ma gannama deyak na hama page 1katama oya magula ringala. server 1ta virus or spyware mama ma upload karagaththa num ithin widawannath oni mamane :P

    ReplyDelete
  34. KushanMay 11, 2012 at 12:08 AM

    මට හිතා ගන්න පුලුවන් කාපුකට්ට, හැබැයි මටනම් මෙ ගැන තෙරෙන්නේ නැහැ, මම වෘතියෙන් ඉලෙක්ට්‍රොනික් ශිල්පියෙක්....මට කම්පියුටර් ලැන්ග්වෙජ් ගැන වැඩි වැටහිමක් නැහැ, කොහොමත් ස්තූතියි මේ ගැන දැනුවත් කලාට

    ReplyDelete
  35. AnonymousJuly 26, 2012 at 12:23 PM

    කොහොමද ?

    ReplyDelete
  36. නොහික්මුණු ඇසAugust 10, 2012 at 10:45 PM

    මචං , ම්ම්ම් , මට හිතෙන හැටියට නම් XSS - Cross site Scripting Attack එකක් ,
    ඔයාගේ වෙබ් අඩවියට එන අයගේ කුකිස්‌, වගේ තව විස්ටහ්ර ගන්න කරපු දෙයක් ,
    කැමති නම් මට ඔයාගේ අඩවියේ ලින්ක් එක දෙන්න , මම පොඩ්ඩක් ටෙස්ට් කරලා බලන්නම් :)

    සුබ දවසක්

    ReplyDelete
  37. ශාකුන්තල | ShaakunthalaAugust 18, 2012 at 3:36 PM

    මේ වෙබ් අඩවිය කලකට පෙර නවතාදැමූ එකක්. හැකර් ප්‍රහාර නෙමෙයි... අභ්‍යන්තර ගැටළු. =)

    ReplyDelete
  38. UnknownSeptember 3, 2012 at 12:06 AM

    patta wafe aiiyaaaaa

    ReplyDelete
  39. zelanicaDecember 4, 2012 at 11:16 PM

    බොහොම් ස්තූතී! so interesting.....zelanica

    ReplyDelete
  40. kumarayaDecember 9, 2012 at 10:47 AM

    මේ තරම් බරපතල දෙයක් සාකච්චා වෙන අස්සේ ...මේකට අදාළ නැති ... බොහොම පොඩි ප්‍රශ්ණයකටත් මට අවසර දෙන්න.
    මගෙ බ්ලොගයේ [ maligawa.blogspot.com ] කමෙන්ට් වැටීමේ දි ඒවා දාන අයගෙ පිංතූරයත් .. උත්තර දීමේ දි මගේ පිංතූරයත් පෙන්නුම් කරන්නෙ නෑ ... ඒ මොකද කියල දැනගන්න කැමතියි.
    සෙටින්ග්ස් වලට ගිහින් හදන්න උත්සාහ කළාට හරිගියෙ නෑ.

    ReplyDelete
  41. nishanthaDecember 14, 2012 at 2:30 PM

    thnks machan meka dammata

    ReplyDelete
  42. UnknownDecember 28, 2012 at 10:27 AM

    wooof;hat,s offfff;

    ReplyDelete
  43. AnonymousJune 25, 2013 at 9:42 PM

    katada puluwan mageth ekka ekathu wela web site ekak hack karanna?0782712924

    ReplyDelete

Facebook ප්‍රතිචාර

Subscribe to: Post Comments (Atom)