Feltörték egy honlapomat, mi a teendő?

 ( zslaszlo | 2014. január 16., csütörtök - 14:20 )

Most szembesültem vele, hogy egy egyszerű kis forgalmú, ám rendszeresen frissített és karbantartott wordpress alapú oldalamat feltörték. (www.efoeszeger.hu)
Igazából nem értem a dolgot, mert igyekeztem minden biztonsági rést betömni, rendszeresen frissen tartottam a wp-t és az összes modult (már azt a keveset, amit használtam), és a skineket is. Töröltem az alapértelmezett admin felhasználót, ezzel kezdtem telepítés után. Erős jelszót használtam, kisbetű, nagybetű, szám, írásjel kombinációja. Másik szolgáltatónál lévő wp honlapom sértetlen maradt. Ezért gondolom, hogy ott lehet a hiba.
Amit teszek: először is jelzem a szolgáltatónak.
Aztán mi a teendő? Ujra kell telepítenem mindent? Honnan tudom, mit fertőztek? Adatbázist? Tárhelyet? Ftp belépés nem volt a telepítés óta. Igazából csak a bejegyzések tűntek el, az oldalak látszólag sértetlenek.
Mit is kell most tennem?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Kideríteni hogy jöttek be:

- access log (app.php?q='AND select username from' és hasonló sorok keresése)
- ftp log
- egyéb?

Hozzám anno egy siralmasan megírt és azóta se fejlesztett pluginen keresztül jöttek be, így nem feltétlen jelent bármit is, hogy a legfrissebb van fent.

Nem volt fenn semmilyen más plugin a gyáriakon kívül. Nem volt rá szükség. Illetve egy wp importer volt, de az is friss és kikapcsolva. Az előző honlap tartalmát hoztam át vele. Tehát irreleváns...

Ha fizikailag ott volt, akkor nem irrelevans, mert az egyes PHP-k (ha hibasan vannak megirva) mindenkeppen betoltodnek, hiaba van letiltva maga a plugin. Az csak annyit jelent, hogy a WP maga nem adja at neki a vezerlest. Ha ott van valami gebasz - akkor igenis lehet az az oka.

Altalanos szabaly, hogy olyan plugint nem tartunk fenn, amit nem hasznalunk. Letiltjuk, uninstallaljuk, a fajljait letoroljuk, helyet soval behintjuk.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

A wordpress miatt gondolom sokakat érdekelhet, hogy hol jutottak be.
Kíváncsian várom a fejleményeket.

+ 1

--
zrubi.hu

+1

A fejlemény az, hogy nincs fejlemény. Nem tudom, hol jutottak be, mit használtak ki, mert biztonsági mentésből a cég visszaállította. Így nem tudom visszaellenőrizni. Az ügyfélszolgálat szerint nincs baj, szerintem van. Azt mondták valszeg unatkozó tizenévesek műve, akik youtube videókból nézik ki hogyan lehet wordpress oldalt törni. Mint fentebb írták a cég más oldalait is törték meg, gyanítom valahol biztonsági rést találhattak. De én ezt nem tudom kinyomozni természetesen. Remélem a rést betömték, és több ilyen nem fog előfordulni. Kérdeztem, hogy milyen biztonsági javításokat ajánlanak a wp-oldalamon, az volt a válasz, ha akarják úgyis megtörik. Hát ennyi.

Nem tetted el még a napló fájlokat sem? Azokból is sok minden kiderül.
Mondjuk ahogy néztem a post-ot már két hónapos volt (ha ez valós adat), ilyen távlatból nehéz már nyomozni...

előrebocsájtom, nem értek a wordpress-hez különösebben, de beütve gugliba a "wordpress security hole"-t, csak az elmúlt 1 hónap találatait nézve is elgondolkodtató a lista. pl: http://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/Wordpress-Wordpress.html

szakmailag nem megalapozott, de a tényből, hogy rengeteg a sechole-os találat, talán még több a "hogyan tedd biztonságosabbá a wp-det", illetve mintha léteznének wp security pluginek, úgy túnik, hogy a wp és a biztonság nem járnak kéz a kézben.

a kis csíra önfényezéséből is az derül ki, hogy az összes skalpja wp oldal. a stílusa meg arra utal, hogy egy script-kiddie, aki le tudott futtatni egy wp sechole scannert, meg a talált résre alkalmazni tudta a valahonnan szerzett megoldást.

egy szó mint száz, én nem erőltetném a wordpress-t . körülnéznék, milyen olyan open source motor van, amit nem ilyen egyszerű törni, és megfelel az igényeknek, hátha van ilyen.

kérdésedre válaszolva két utat látok:
1. alapos és szakszerű nyomozás (logokban, fileokban, mindenhol), milyen károkat okozott a támadó, és azokat egyesével helyreállítani, megkeresni, milyen hátsó kapukat, trójait hagyott maga után, azokat eltávolítani, és persze kideríteni, milyen biztonsági rést használt ki, és azt befoltozni.
2. teljes újratelepítés és a worpress lecserélése valami biztonságosabbra.

szerintem a másodiknak van értelme.

"1. alapos és szakszerű nyomozás (logokban, fileokban, mindenhol), milyen károkat okozott a támadó, és azokat egyesével helyreállítani, megkeresni, milyen hátsó kapukat, trójait hagyott maga után, azokat eltávolítani, és persze kideríteni, milyen biztonsági rést használt ki, és azt befoltozni.
2. teljes újratelepítés és a worpress lecserélése valami biztonságosabbra.

szerintem a másodiknak van értelme."

Aztán mi lenne az? Drupal? Joomla?

--
PtY - www.onlinedemo.hu

szándékosan nem írtam konkrétumot, mert nem tudom, melyik mennyire biztonságos. évek óta nem foglalkozom open source blogmotorokkal (akkoriban a felmerült 3 motorból drupal - wordpress - joomla volt a csökkenő sorrend), nem utolsósorban azért, mert úgy gondolom, könnyebb biztonsági rést találni egy rendszerben, ha rendelkezésre áll a forrás, mint ha nem. ezzel együtt nem tartom kizártnak, hogy nem a wordpress a létező legbiztonságosabb open source blogmotor, de mint említettem, ez nem szakmailag megalapozott állítás, inkább benyomás. egy alapos keresést talán megér annak, akit érint.

Szerintem egy kutya mind. :(
A köztük lévő különbségeket a "kinek a pap, ..."-szerű érvek alakítják.
--
PtY - www.onlinedemo.hu

ebből a szempontból szerintem is, de nem vagyok képben.

Tapasztalataim szerint a Drupal biztonsagosabb, ott inkabb csak fals regeket tudnak elnyomni, de magat az oldalt meg nem nyomtak fel, pedig kb. masfel evig frissitest nemigen latott.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Ebben az is közrejátszhat, hogy a drupal olyan mint egy doboz legó, neked kell összerakni belőle a cséphadarót és bizony kell némi hozzáértés. A wordpress ezzel szemben úgy érkezik, hogy kb. csak az egérrel kell kattintani párat és máris kész a csilivili oldal, és kb. nulla IT ismeretet követel.

Az, hogy a drupal alavetően biztonságosabb mert nem kell neki jog írni a saját fájlait, az biztos nem hátrány, de talán nem is olyan marha nagy előny.

D7 ota kell neki, ha autoupdate-t szeretnel. De ez WP eseteben is igy van, ha lemondasz az autoupdate-rol, es kezzel feltoltogeted a cuccost, akkor nem kell neki a sajat fajljaihoz iras jog.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Oh, ez nekem új. Mármint a D7 :D Lemaradtam a D6-nál. Azt is csak azért ismerem, mert kaptam egy nagyszerű oldalt ami drupalos, aki anno feltelepítette már az országban sincs (egyikben se :D), akié az oldal az meg 'Nemédekel csak mennyen!' :D

Használtam évekig Drupalt. De egy kisebb oldalhoz szerintem ágyúra veréb kategória. De valóban robusztusabb, biztonságosabb a rendszer. Csakhogy mivel nem én vagyok a tartalom kiadója, csak az oldal karbantartója, így egy egyszerűbb CMS-t kerestem. És ez a WP.

Az elmúlt egy hónap találatai (összesen 2 db.) az egy plugin és egy 2.0.x-es wordpress bug :D

a google találatokra értettem, nem a csatolt linkre.

Hát, ha a népek

- nem frissítik a wp telepítéseket
- gagyi plugineket használnak

akkor az nem a wp hibája. Ha jól karbantartott a rendszer akkor is lehet hogy tényleg becsúsznak valami 0day (vagy nem publikált) wp hibán. De ez meg igaz mindenre :D

agree
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

Az a kérdés, hogy valóban feltörték-e.
Annak ugyanis általában célja van.
--
PtY - www.onlinedemo.hu

aztán mi lenne az egy wordpress deface esetén, túl az önfényezésen és a "because I can" kielégülésen? vagy arra gyanakszol, hogy a postindító saját maga helyezte el az üzenetet az oldalán, hogy most minket fáraszthasson?

Nem néztem meg az oldalt :)
Most megtettem. Egy ismerős oldalát (az épp egy joomla) szoktam takarítani, ha épp felnyomják, és általában olyankor az első lépés, hogy lelövöm: a legtöbb esetben minden oldalhíváskor lefut egy-egy script, ami csinál valami nem épp jót - így, ha lehet, azonnal le kell állítani. Emiatt meg sem néztem, hogy mi van az URL-en.
De most látom, hogy még él... Én marha gyorsan lőném le.
--
PtY - www.onlinedemo.hu

Amúgy meg az oldal tulajdonosa megnyugodhat: nem a wordpresst törték fel.

Az oldalon lévő hall-of-fame lista mind ugyanaz a szerver: 81.0.104.143.
Úgyhogy a szerverre jutott be, nem az oldalra. Az is lehet, hogy az nginx-et nyomta meg, de lehet, hogy ennél a probléma súlyosabb. A szolgáltatónál lesz a probléma, erősen javallott egy nuke-ot küldeni a seggébe.

nmap efoeszeger.hu -PN

Starting Nmap 6.00 ( http://nmap.org ) at 2014-01-16 15:00 CET
Nmap scan report for efoeszeger.hu (81.0.104.143)
Host is up (0.040s latency).
rDNS record for 81.0.104.143: vs3.abplusz.hu
Not shown: 956 filtered ports, 31 closed ports
PORT      STATE SERVICE
21/tcp    open  ftp
22/tcp    open  ssh
25/tcp    open  smtp
80/tcp    open  http
110/tcp   open  pop3
143/tcp   open  imap
443/tcp   open  https
465/tcp   open  smtps
873/tcp   open  rsync
993/tcp   open  imaps
995/tcp   open  pop3s
3306/tcp  open  mysql
55555/tcp open  unknown

Nmap done: 1 IP address (1 host up) scanned in 15.06 seconds

Ennél több kérdésem nincs...
--
PtY - www.onlinedemo.hu

Pfffft... Jó, hát na. Jó. Hát na.

Nekem lenne egy kérdésem. Miért?

Nagyon úgy néz ki, hogy már megírták: Cos I can.
Bejutott egy gépre véletlenül, ott most ámokfut, és mutogatja a haverjainak a hőstetteit, hogy ezt is, ezt is, ezt is, holott az mind ugyanaz...
Szerintem SSH-n ment be.
--
PtY - www.onlinedemo.hu

és vajon a mysql port minek van nyitva?

Az nem baj, ha nyitva van, az a baj, ha mindenhonnan nézve nyitva van.
--
PtY - www.onlinedemo.hu

Mármint arra gondoltam, hogy miért van nyitva a külvilág felé. Nem hinném, hogy olyan nagyon sok dolog indokolna egy internet felé nyitott 3306-ot, mondjuk.

Ha más webszerverek is használnak onnan mysql-t, akkor legyen csak nyitva, de a tűzfalon akkor minimum egy IP restriction dukál.
--
PtY - www.onlinedemo.hu

Úgy tűnik Ti még nem láttatok közelről ilyen "ocssó webtárhely" szolgáltatást... (szinte) mindegyik ilyen.

Egyébként meg hogy a bánatba szűrene IP-re ha PUBLIKUS szolgáltatást nyújt???
Bárkinek, aki beregisztrál (vagy kifizeti azt a pár forintot érte)

Meg milyen tűzfal?? :D nincs ezeknél ilyesmi :P

--
zrubi.hu

Sajnos sok webfejlesztő is tehet erről.
Anno volt egy ügyfelünk, akinek adtunk tárhelyet, és ő kérdezte, hogy tudunk-e adni a webfejlesztőjének FTP hozzáférést. Meglepődött, amikor azt mondtam neki, hogy a webfejlesztőnek FTP-t nem, de két kurva nagy pofont nagyon szívesen.
--
PtY - www.onlinedemo.hu

Hm. Engem anno leugattak, mikor azt merészeltem mondani, hogy bizonyos szolgáltatást nem ftp-n kellene nyújtania a kedves szállítónknak, hanem minimum sftp-n...
Ha jól emlékszem, ugyanennek a beszállítónak a két emberét küldtem el a kurvaanyjába egy alkalommal, amikor a kollégáim nyakába akarták sózni a saját feladataikat. (megjegyzem, azalatt a huszonöt év alatt, amit munkával töltöttem, ez volt az egyetlen eset, hogy ilyen durván fejtettem ki a véleményem, de akkor nagyon felhúztak)

:)
Mondjuk avval az ügyféllel én előtte már rúgtam be, így volt némi előnyöm a webfejlesztővel szemben.
--
PtY - www.onlinedemo.hu

Gondolom tolonganak az ügyfelek :-D

--
maszili

Nem abból élünk. Szívesség volt.
--
PtY - www.onlinedemo.hu

az occsó tárhelyeken általában phpmyadminnal oldják meg nyitott 3306 helyett, mert ők különösen nem szeretik, ha backend adatbázisnak használod az osztott tárhelyet

szerk: van kivétel, pl a godaddy, de ott sem ilyen egyszerű, hogy example.com:3306

én láttam már tárhelyszolgáltatónál ügyfélkaput, ahol felveheted az IP-ket egy whitelist-re, és csak a rajtalevők kapnak http-n kívül más szolgáltatást (ftp-t pl.). nem tűnik komoly technikai kihívásnak.

amíg meg nem adod a 0.0.0.0/0-t :)
Dinamikus IP esetén meg igen mókás tud lenni, főleg, ha nincs karbantartva.
--
PtY - www.onlinedemo.hu

ennek a kivédése még mindig nem tűnik komoly technikai kihívásnak :)
dinamikus IP esetén nyilván macerásabb, de pont annyival, hogy ahányszor új IP-t kap, annyiszor be kell lépnie weben frissíteni az IP-t. így legalább az ügyfél eldöntheti, a macerát választja ami ezzel jár, vagy a macerát amit a hekkelés okoz (merthogy a szűrés saját felelősségre kikapcsolható).
(dinamikus IP-m van, havi 1-nél sűrűbben nem változik. persze ettől még máshol frissülhet naponta, sztem még úgy is megéri.)

Nekem is volt dinamikus IP-m, havi >30-szor változott. :)
--
PtY - www.onlinedemo.hu

akkor nyertél, ez tényleg nem válasz az "Egyébként meg hogy a bánatba szűrene IP-re ha PUBLIKUS szolgáltatást nyújt??? " kérdésre :)

LOL

Nem mintha védeni szeretném, de bármelyik szolgáltató IP-jén ilyesmit kapnál, hiszen SZOLGÁLTAT.
(Ebből kb csak az derül ki, hogy közös tárhelyet használ, nem saját publikus IP-vel)

--
zrubi.hu

Igen, és a mókus az azon az IP-n figyelő vservereket lőtte meg.
Másrészt én nem biztos, hogy nyitva hagynám a mysql-t a nagyvilágnak akárkifiaborja ip-ről (ide értve az ssh-t is).
Bár az úgy nézem kulcsos, de az akár user/csoportfüggő is lehet.
Az FTP jelszó meg ellopható könnyen, aztán már csak kísérletezni kell, hogy mi enged be.
--
PtY - www.onlinedemo.hu

ideértve az rsync-et is

Meg a POP3 és IMAP
--
PtY - www.onlinedemo.hu

Közös lónak...

Sajnos ez van az occsó szolgáltatóknál. Az is lehet hogy a DB is közös volt, így elég lehetett oda bejutni, hogy az összes WP site tartalmát módosíthassa...

Ennél még vannak elvetemülteb szolgáltatók is, akik phpmyadmint-is adnak ugyan így kitálalva - Miért? mert a (l)usereknek ez kell!

Aki biztonságos weboldalt szeretne publikálni, annak előbb egy ennek megfelelő szolgáltató kell, nem másokkal közösködve... hozzáértő és biztosnági szakemberekkel megtámogatott adminisztrátorokkal. Ez viszont drága.

Emiatt az ilyen közös oldalak nagyrésze kiváló alany az ilyen kölkök hasonló megnyilvánulásai számára.

--
zrubi.hu

+1
--
PtY - www.onlinedemo.hu

Mondjuk kezdhettem volna én is azzal hogy az ip-ket megnézzem, ehe.

Én nem avval kezdtem, hanem telnettel, hogy mindenhol nginx-e a webszerver. Aztán feltűnt, hogy gyanúsan egyforma IP-kkel beszélget a telnet :)
--
PtY - www.onlinedemo.hu

Két hónap után már nem mindegy?

Kicsit önreklám szagú, de hátha segít megtalálni a hiányosságokat:

Régebben írtam arról, hogy min múlik egy WP site biztonsága:

http://zrubi.hu/2011/wordpress-background/
http://zrubi.hu/2011/wordpress-biztonsagosan/

Igaz hogy a cikk nem mai, de az itt leírtak nagy része WP verzió független dolog.

+ a egy kapcsolódó cikk, hogy mennyivel rosszabb a helyzet a jelenlegi tárhelyszolgáltatómnál:
http://zrubi.hu/2013/dotroll-webhosting/

Biztosan csak a véletlen műve, de eddig még nem nyomták fel - vagy csak nem tudok róla ;)

--
zrubi.hu

Köszönöm. Hasznos dolgok.

Az eredeti kérdésre válaszolva:

Attól függ, ez mennyit ér neked mindez.

A leírásodból feltételezem, hogy tárhely szolgáltatásról van szó... Ez esetben viszonyleg kevés lehetőséged van, de próbáld meg ezeket összeszedni:

- teljes DB és állomány mentés
- összes web/ftp/ssh szerver log

Ezek utólagos elemzése kiderítheti hogy jutottak be. Egy ilyen elemzés azonban mindenképp sok idő - és pénz is ha mással csináltatod.

A legegyszerűbb, ha a mentést összeveted (diff, md5/sha1 hash) egy friss, install utáni állapottal. Ebből legalábbis az kiderül, hogy van-e nem oda való és/vagy megváltoztatott állomány.

(Általában egyébként elég nagy esély van arra is, hogy a kliens a kompromittálódott elem, ezesetben a szerver oldalon természetesen nem lesz semmi rendellenes)

--
zrubi.hu

Köszönöm mindenkinek a segítséget!
Először is revideálnom kell magamat és elnézést kérnem mindenkitől!
Nem volt naprakész a wordpress! Rosszul emlékeztem, és nem frissítettem két hónapja. Tehát az én hibámból történt az eset. A szolgáltatóhoz nem törtek be. És az ügyfélszolgálat igen segítőkészen visszaállította adatmentésből az egész oldalt. Tehát meg kell követnem nyilvánosan az AbPlusz szolgáltatót (nem, ez nem reklám), mert gyorsan reagáltak és sokat segítettek. És nem, nem az ő hibájukból történt.
Btw, azt hiszem ez bármikor megtörténhetett volna, akkor is, ha friss a wp. Az ember igyekszik mindent megtenni, de lehet, hogy csak a szerencsén múlik kinek és mikor törik meg a honlapját...

Ha a szolgáltatónak nincs hozzá köze, akkor ugyanannak a szolgáltatónak további 6 ügyfele hogy lett feltörve?
Köztük legalább 2 Joomlas volt...
Szóval én nem feltétlenül hinném el, amit a szolgáltató mond, és én is nagyon segítőkész lennék meg kedves, ha tudnám, hogy sáros vagyok :)
--
PtY - www.onlinedemo.hu

Igen, valahol olvastam hogy mit kell csinálni ha betörtek: semmit. Ráülsz a kezedre, nem kapkodsz, nem hozol átgondolatlan döntéseket, kijelentéseket. Aztán a második lépés hogy megőrizni a jelenlegi állapotot, hogy ennél rosszabb ne legyen, és utána a tiszta rendszert építeni.

Amúgy hogy tovább okoskodjak ha "csak" a postok tűntek el akkor lehet hogy csak a db-hez fértek hozzá, azt meg vissza lehet állítani adott időpillanatra (már ha úgy van beállítva). A nyitott mysql mindenesetre nah.

Hááát. Igen. Végeredményben nagy kár nem történt. És megnéztem a többi (másik három) wp alapú oldal verzióját is. Nem a legfrisebb. Bár azt írja, hogy naprakész. Tudom ez a wp verziókezeléséből adódik. Szóval a nyugalom megőrzése igen fontos dolog. Aztán a következő eset után esetleg költöztethetem is az egész hóbelebancot. Nem egy nagy dolog adatbázismentést készíteni és visszaállítani. És olyan sok szolgáltató van... Mindenesetre az esélyt meg kell adni. Szerintem.

el kell kerulni mindent, aminek a php-hez barmi koze van es kesz

--
NetBSD - Simplicity is prerequisite for reliability

Szerintem a legritkább esetben okozza a PHP. A probléma inkább az, amit valahol olvastam: Magyarország a 10 millió webfejlesztő országa. De ezt a hoszting szolgáltatókra, üzemeltetőkre is ki lehet bővíteni.

Tegnap kipróbáltam a http://www.playframework.com/ keretrendszert. Összességébe tetszik. Erre viszont sok embernek az a véleménye, hogy bármi csak ne JAVA.