Feltört oldalak

duc-sai képe

Sziasztok! Ma reggel két oldalam gyökerébe pakisztáni hackerek egy index.html fájlt tettek be, ezt törölve már működik minden rendesen.
Az egyik 6.24, a másik 7.12-es drupal. Egyiknél sincs regisztrációra lehetőség, a naplóbejegyzések nem is tartalmaznak semmi szokatlant. Ftp-t csak én használok, nincsenek elmentett jelszavak TotalCommanderben sem (volt már itt a fórumon erre vonatkozó figyelmeztetés, erre azért is ügyeltem).
A tárhelyen ez a két drupal oldal van, a többi a tárhely üzemeltetője szerint joomlák, azokat nem érintette a hackelés.
Mit javasoltok, hogyan tudnám a biztonságot növelni (elegendő az ftp jelszócsere, vagy lehet, hogy esetleg mindezek alapján a szerverbeállításoknál lehet biztonsági rés)?

Drupal verzió: 
Fórum: 
pp képe

nehéz így bármit is mondani, de az ftp-n hiába cserebelész jelszót, hisz az kódolatlanul tolja át ezeket az infókat. Minden olyan gépről megszerezhető a jelszó ami egy alhálózatban van azzal ahol áthalad ez az infó. Legyen ez egy netkávézó wifije(vagy otthoni wifi), vagy az adatközpont ahol a szervered van. (és a köztes helyek)

Javasolt valamilyen biztonságosabb protokollra váltás. (sftp, ftps stb.)

pp

2
0
duc-sai képe

Köszönöm István, az ftps-t megfontolom...Sajnos nem sikerült kideríteni, hogy hol volt a biztonsági rés, a tárhely üzemeltetője nem kívánja a szervernaplót bogarászni [egy nagy hosztingcég szerveréről van szó, valahol megértem :)]
Az itthoni wifim titkosított, fogalmam sincs, hogy történhetett a dolog, de abban maradtunk a tárhely üzemeltetőjével, hogy szükség esetén szerveroldalon tesz védelmi lépéseket (pl. az én IP címemen kívül mást nem enged belépni, vagy index.html tiltása a site gyökérben)

0
0
pp képe

Hogy tehetsz ellene, ha nem tudod hogyan történt? No mindegy Ti tudjátok.
Azt se lehet tudni, hogy milyen felhasználóval hozták létre a fájlt?
Azért azt jó lenne tudni, hogy egy alkalmazásban van-e a hiba (mondjuk a tiedben, vagy máséban a szerveren) vagy valami más ügyességet kihasználva jöttek be a szerverre.

Wifi titkosításban én annyira nem bíznék meg:
http://www.wonderhowto.com/how-to-hack-into-wep-encrypted-wireless-netwo...
http://www.youtube.com/watch?v=3P8l-PsvYak

pp

0
0
nevergone képe

WEP, értelmes ember már nem használja. WPA2-AES, kellően összetett és hosszú jelszó: nyugton alszol. De ez már egy másik történet.

Viszont teljesen igazad van, hogy ez az info kb. semmi.
Nem tudjuk, hogy a honlapodon keresztül jutottak be, vagy más felhasználó alkalmazásán át, esetleg magát a szervert törték meg. Aztán az is simán lehetséges, amit pp emlegetett, hogy egy trójai titokban loggolja a tárhely-hozzáféréseset (anno a Total Commanderhez terjedt ilyesmi) amit aztán mások felhasználnak már a bejutásra.
És még számtalan egyéb lehetőség is lehetséges.

0
0
duc-sai képe

Köszönöm, hogy segíteni próbáltatok...közben kísérletet tettem a szervernapló megtekintésére, ez (sajnos) sikertelen volt...gyakorlatilag elbagatellizálta a problémát a tárhelyem üzemeltetője (ő javasolta, hogy ha megismétlődne, szerveroldalon majd megoldja).
Sajnálom, hogy a probléma így megoldatlan maradt, nem tudok több információt adni...de NAGYON ERŐS a gyanúm ezek után, hogy nem az én 'térfelemen' volt bibi (ha nem ismétlődik meg a dolog, akkor pedig még inkább gyanakszom: két további tárhelyen nem történt ilyen probléma, pedig oda is be szoktam lépni ftp-vel...a wifim feltörését pedig gyakorlatilag én kizárnám, nemhogy hacker, de számítógép sem sok van a környéken). Viszont pp belinkelt videója elismerem, döbbenetes!
Még egyszer köszönet!
Ducsai Zoltán

0
0
kepes képe

Sziasztok!

Nálunk az alábbi három probléma szokott előfordulni a szervereken:
1. Feltörik valamilyen módszerrel a TotalCommandert-és lehalásszák a jelszavakat. Ez elég gyakori eset, a szerver naplóban annyi látszik, hogy pakisztáni/kínai/afgán/brazil stb. IP bejön a szerverre simán a jelszó megadásával. Pontosan nem tudom, hogy ezt hogyan csinálják, annyit sikerült kideríteni, hogy vannak ilyen backdoor progik, amiken egy-két gombnyomás, és már meg is van a TC jelszó lista. Ez esetben szerintem nem ez történt, ha nincs a gépeden jelszó tárolva

2. Feltörik az oldalt egy gyengén megírt pluginen keresztül úgy, hogy fel tudnak tölteni fájlt a szerverre. Szerintem csak olyan plugineket érdemes telepíteni, amiken látszik, hogy az írója komolyan gondolja, frissít, és az utolsó verzió nem két éves.

3. A drupal verzió olyan öreg mint nagyanyám, és még egy ovis is ismeri a biztonsági réseket rajta. A feltörése google + 5 perc. A megoldás nem fájdalommentes, hiszen jó sok idő egy ilyen verzióból naprakészet készíteni, főleg ha egyedi fejlesztések vannak benne.

A fentebbi három megoldáson túl a szolgáltató is hibázhat, például, hogy a szerveren minden php processz ugyanazon a néven fut (www-data/apache) így minden megrendelő könyvtára írható a szerver többi megrendelője számára, tehát ha feltörnek a szerveren egy tetszőleges oldalt, akkor a többi is veszélyben van.

Gyors megoldás lehet az admin oldalra egy .htaccess fájl, amiben csak a saját Internet szolgáltatód IP tartományát engeded be. Ez elég fapados, de hatékony. Érdemes lehet az alkönyvtárakon tiltani a php fájlok elérését is vele, pl. /image vagy hasonló könyvtárakban. legtöbbször ilyen helyekre raknak be php fájlokat, és futtatják, mert itt nemtűnik fel annyira.

Szolgáltató oldalon a SUHOSIN vagy ModSecurity jó eszköz, a legtöbb bugos plugin elhasal rajta, ha megfelelően van konfigurálva, és nem enged át mindent vele a szerver.

7
0
duc-sai képe

Köszönöm a részletes és tanulságos leírást (a három pont kilőve: mint írtam, nincsenek elmentett jelszavak, továbbá viszonylag "egyszerű" honlapokról van szó - az egyiken 9, a másikon 12 [általánosan használt] kiegészítő modul van, amiket rendszeresen frissítek [ahogy a drupal alaprendszert is]).
Ezeken túl, műkedvelő lévén, sajnos nem látok tovább :)
(Az a legfurcsább számomra, hogy "csak" egy index.html került be, semmi több garázdálkodás nem történt...)
Ez a .htaccess fájl megoldás felkeltette az érdeklődésemet...ezt pontosan hová kell tenni? A gyökérben eleve van 1, úgy tippelem, azt kellene kiegészíteni...ha ebben valaki tud segíteni, örömmel veszem!

0
0
kepes képe

Mi így szoktuk: ez a UPC-s hálózatot engedi be:

allow from 80.98.0.0/16
allow from 89.0.0.0/8
deny from all

Lehet még más IP is UPC-ben, tehát ezt ne vedd készpénznek!

0
0
vajdasági képe

Figyelembe kell venni, hogy igy, attol fuggoen, hogy hova teszed a fenti beallitast kizarsz ninden latogatot az oldalrol kiveve azokat akik a fent emlitett IP cimtartomanybol jonnek be. Fejlesztesre jo ha nem akarod hogy masok lassak az aldalad, de eles oldalaknal ez igy nem "kerek".

mongyuk nekem itthon fix ip cimem van igy en ezt szoktam:

Order Deny,Allow
deny from all
allow from 111.111.111.111

de allitolag az apache2 -nel a .htaccess mukodik ugy is hogy ha az ip cimek helyett domaint-t irsz be ami lehet pl. enotthonigepemdomainje.example.com is vagy hvalami hasonlo:

Order Deny,Allow
deny from all
allow from enotthonigepemdomainje.example.com

Csak ugytudom akkor a revers dns -nek is be kell hogy legyen allitva ...

0
0
duc-sai képe

Köszönöm a segítségeteket, így végiggondolva ez a módszer nem tűnik célszerűnek...végszükség esetére tartalékolom :)

0
0
kepes képe

valóban, elnéztem. A megoldás csak akkor működik, ha az admin egy külön könyvtárban van, pl. WordPress esetében. Mivel itt az URL query string mondja meg, hogy admin, a trükk:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REMOTE_ADDR} !^89.134.168.14
RewriteCond %{QUERY_STRING} q=admin
RewriteRule ^(.*)$ /? [L,R=301]
</IfModule>

Itt az IP helyére értelem szerűen a saját IP-t kell rakni. Ha az IP végét törlöd, akkor tartományt tilt. Az admin helyett átirányítja a látogatót az index oldalra.

0
0