Feltörték egy honlapomat, mi a teendő?

Web, mail, IRC, IM, hálózatok

Most szembesültem vele, hogy egy egyszerű kis forgalmú, ám rendszeresen frissített és karbantartott wordpress alapú oldalamat feltörték. (www.efoeszeger.hu)
Igazából nem értem a dolgot, mert igyekeztem minden biztonsági rést betömni, rendszeresen frissen tartottam a wp-t és az összes modult (már azt a keveset, amit használtam), és a skineket is. Töröltem az alapértelmezett admin felhasználót, ezzel kezdtem telepítés után. Erős jelszót használtam, kisbetű, nagybetű, szám, írásjel kombinációja. Másik szolgáltatónál lévő wp honlapom sértetlen maradt. Ezért gondolom, hogy ott lehet a hiba.
Amit teszek: először is jelzem a szolgáltatónak.
Aztán mi a teendő? Ujra kell telepítenem mindent? Honnan tudom, mit fertőztek? Adatbázist? Tárhelyet? Ftp belépés nem volt a telepítés óta. Igazából csak a bejegyzések tűntek el, az oldalak látszólag sértetlenek.
Mit is kell most tennem?

  • 10335 megtekintés

( Fisher v | 2014. 01. 16., cs – 13:48 )

Kideríteni hogy jöttek be:

- access log (app.php?q='AND select username from' és hasonló sorok keresése)
- ftp log
- egyéb?

Hozzám anno egy siralmasan megírt és azóta se fejlesztett pluginen keresztül jöttek be, így nem feltétlen jelent bármit is, hogy a legfrissebb van fent.

Ha fizikailag ott volt, akkor nem irrelevans, mert az egyes PHP-k (ha hibasan vannak megirva) mindenkeppen betoltodnek, hiaba van letiltva maga a plugin. Az csak annyit jelent, hogy a WP maga nem adja at neki a vezerlest. Ha ott van valami gebasz - akkor igenis lehet az az oka.

Altalanos szabaly, hogy olyan plugint nem tartunk fenn, amit nem hasznalunk. Letiltjuk, uninstallaljuk, a fajljait letoroljuk, helyet soval behintjuk.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

( wrie | 2014. 01. 16., cs – 13:54 )

A wordpress miatt gondolom sokakat érdekelhet, hogy hol jutottak be.
Kíváncsian várom a fejleményeket.

A fejlemény az, hogy nincs fejlemény. Nem tudom, hol jutottak be, mit használtak ki, mert biztonsági mentésből a cég visszaállította. Így nem tudom visszaellenőrizni. Az ügyfélszolgálat szerint nincs baj, szerintem van. Azt mondták valszeg unatkozó tizenévesek műve, akik youtube videókból nézik ki hogyan lehet wordpress oldalt törni. Mint fentebb írták a cég más oldalait is törték meg, gyanítom valahol biztonsági rést találhattak. De én ezt nem tudom kinyomozni természetesen. Remélem a rést betömték, és több ilyen nem fog előfordulni. Kérdeztem, hogy milyen biztonsági javításokat ajánlanak a wp-oldalamon, az volt a válasz, ha akarják úgyis megtörik. Hát ennyi.

( phord | 2014. 01. 16., cs – 14:02 )

előrebocsájtom, nem értek a wordpress-hez különösebben, de beütve gugliba a "wordpress security hole"-t, csak az elmúlt 1 hónap találatait nézve is elgondolkodtató a lista. pl: http://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-…

szakmailag nem megalapozott, de a tényből, hogy rengeteg a sechole-os találat, talán még több a "hogyan tedd biztonságosabbá a wp-det", illetve mintha léteznének wp security pluginek, úgy túnik, hogy a wp és a biztonság nem járnak kéz a kézben.

a kis csíra önfényezéséből is az derül ki, hogy az összes skalpja wp oldal. a stílusa meg arra utal, hogy egy script-kiddie, aki le tudott futtatni egy wp sechole scannert, meg a talált résre alkalmazni tudta a valahonnan szerzett megoldást.

egy szó mint száz, én nem erőltetném a wordpress-t . körülnéznék, milyen olyan open source motor van, amit nem ilyen egyszerű törni, és megfelel az igényeknek, hátha van ilyen.

kérdésedre válaszolva két utat látok:
1. alapos és szakszerű nyomozás (logokban, fileokban, mindenhol), milyen károkat okozott a támadó, és azokat egyesével helyreállítani, megkeresni, milyen hátsó kapukat, trójait hagyott maga után, azokat eltávolítani, és persze kideríteni, milyen biztonsági rést használt ki, és azt befoltozni.
2. teljes újratelepítés és a worpress lecserélése valami biztonságosabbra.

szerintem a másodiknak van értelme.

"1. alapos és szakszerű nyomozás (logokban, fileokban, mindenhol), milyen károkat okozott a támadó, és azokat egyesével helyreállítani, megkeresni, milyen hátsó kapukat, trójait hagyott maga után, azokat eltávolítani, és persze kideríteni, milyen biztonsági rést használt ki, és azt befoltozni.
2. teljes újratelepítés és a worpress lecserélése valami biztonságosabbra.

szerintem a másodiknak van értelme."

Aztán mi lenne az? Drupal? Joomla?

--
PtY - www.onlinedemo.hu

szándékosan nem írtam konkrétumot, mert nem tudom, melyik mennyire biztonságos. évek óta nem foglalkozom open source blogmotorokkal (akkoriban a felmerült 3 motorból drupal - wordpress - joomla volt a csökkenő sorrend), nem utolsósorban azért, mert úgy gondolom, könnyebb biztonsági rést találni egy rendszerben, ha rendelkezésre áll a forrás, mint ha nem. ezzel együtt nem tartom kizártnak, hogy nem a wordpress a létező legbiztonságosabb open source blogmotor, de mint említettem, ez nem szakmailag megalapozott állítás, inkább benyomás. egy alapos keresést talán megér annak, akit érint.

Ebben az is közrejátszhat, hogy a drupal olyan mint egy doboz legó, neked kell összerakni belőle a cséphadarót és bizony kell némi hozzáértés. A wordpress ezzel szemben úgy érkezik, hogy kb. csak az egérrel kell kattintani párat és máris kész a csilivili oldal, és kb. nulla IT ismeretet követel.

Az, hogy a drupal alavetően biztonságosabb mert nem kell neki jog írni a saját fájlait, az biztos nem hátrány, de talán nem is olyan marha nagy előny.

Nem néztem meg az oldalt :)
Most megtettem. Egy ismerős oldalát (az épp egy joomla) szoktam takarítani, ha épp felnyomják, és általában olyankor az első lépés, hogy lelövöm: a legtöbb esetben minden oldalhíváskor lefut egy-egy script, ami csinál valami nem épp jót - így, ha lehet, azonnal le kell állítani. Emiatt meg sem néztem, hogy mi van az URL-en.
De most látom, hogy még él... Én marha gyorsan lőném le.
--
PtY - www.onlinedemo.hu

Amúgy meg az oldal tulajdonosa megnyugodhat: nem a wordpresst törték fel.

Az oldalon lévő hall-of-fame lista mind ugyanaz a szerver: 81.0.104.143.
Úgyhogy a szerverre jutott be, nem az oldalra. Az is lehet, hogy az nginx-et nyomta meg, de lehet, hogy ennél a probléma súlyosabb. A szolgáltatónál lesz a probléma, erősen javallott egy nuke-ot küldeni a seggébe. 

nmap efoeszeger.hu -PN

Starting Nmap 6.00 ( http://nmap.org ) at 2014-01-16 15:00 CET
Nmap scan report for efoeszeger.hu (81.0.104.143)
Host is up (0.040s latency).
rDNS record for 81.0.104.143: vs3.abplusz.hu
Not shown: 956 filtered ports, 31 closed ports
PORT      STATE SERVICE
21/tcp    open  ftp
22/tcp    open  ssh
25/tcp    open  smtp
80/tcp    open  http
110/tcp   open  pop3
143/tcp   open  imap
443/tcp   open  https
465/tcp   open  smtps
873/tcp   open  rsync
993/tcp   open  imaps
995/tcp   open  pop3s
3306/tcp  open  mysql
55555/tcp open  unknown

Nmap done: 1 IP address (1 host up) scanned in 15.06 seconds

Ennél több kérdésem nincs...
--
PtY - www.onlinedemo.hu

Úgy tűnik Ti még nem láttatok közelről ilyen "ocssó webtárhely" szolgáltatást... (szinte) mindegyik ilyen.

Egyébként meg hogy a bánatba szűrene IP-re ha PUBLIKUS szolgáltatást nyújt???
Bárkinek, aki beregisztrál (vagy kifizeti azt a pár forintot érte)

Meg milyen tűzfal?? :D nincs ezeknél ilyesmi :P

--
zrubi.hu

Sajnos sok webfejlesztő is tehet erről.
Anno volt egy ügyfelünk, akinek adtunk tárhelyet, és ő kérdezte, hogy tudunk-e adni a webfejlesztőjének FTP hozzáférést. Meglepődött, amikor azt mondtam neki, hogy a webfejlesztőnek FTP-t nem, de két kurva nagy pofont nagyon szívesen.
--
PtY - www.onlinedemo.hu

Hm. Engem anno leugattak, mikor azt merészeltem mondani, hogy bizonyos szolgáltatást nem ftp-n kellene nyújtania a kedves szállítónknak, hanem minimum sftp-n...
Ha jól emlékszem, ugyanennek a beszállítónak a két emberét küldtem el a kurvaanyjába egy alkalommal, amikor a kollégáim nyakába akarták sózni a saját feladataikat. (megjegyzem, azalatt a huszonöt év alatt, amit munkával töltöttem, ez volt az egyetlen eset, hogy ilyen durván fejtettem ki a véleményem, de akkor nagyon felhúztak)

ennek a kivédése még mindig nem tűnik komoly technikai kihívásnak :)
dinamikus IP esetén nyilván macerásabb, de pont annyival, hogy ahányszor új IP-t kap, annyiszor be kell lépnie weben frissíteni az IP-t. így legalább az ügyfél eldöntheti, a macerát választja ami ezzel jár, vagy a macerát amit a hekkelés okoz (merthogy a szűrés saját felelősségre kikapcsolható).
(dinamikus IP-m van, havi 1-nél sűrűbben nem változik. persze ettől még máshol frissülhet naponta, sztem még úgy is megéri.)

Igen, és a mókus az azon az IP-n figyelő vservereket lőtte meg.
Másrészt én nem biztos, hogy nyitva hagynám a mysql-t a nagyvilágnak akárkifiaborja ip-ről (ide értve az ssh-t is).
Bár az úgy nézem kulcsos, de az akár user/csoportfüggő is lehet.
Az FTP jelszó meg ellopható könnyen, aztán már csak kísérletezni kell, hogy mi enged be.
--
PtY - www.onlinedemo.hu

Közös lónak...

Sajnos ez van az occsó szolgáltatóknál. Az is lehet hogy a DB is közös volt, így elég lehetett oda bejutni, hogy az összes WP site tartalmát módosíthassa...

Ennél még vannak elvetemülteb szolgáltatók is, akik phpmyadmint-is adnak ugyan így kitálalva - Miért? mert a (l)usereknek ez kell!

Aki biztonságos weboldalt szeretne publikálni, annak előbb egy ennek megfelelő szolgáltató kell, nem másokkal közösködve... hozzáértő és biztosnági szakemberekkel megtámogatott adminisztrátorokkal. Ez viszont drága.

Emiatt az ilyen közös oldalak nagyrésze kiváló alany az ilyen kölkök hasonló megnyilvánulásai számára.

--
zrubi.hu

( zrubi v | 2014. 01. 16., cs – 14:37 )

Kicsit önreklám szagú, de hátha segít megtalálni a hiányosságokat:

Régebben írtam arról, hogy min múlik egy WP site biztonsága:

http://zrubi.hu/2011/wordpress-background/
http://zrubi.hu/2011/wordpress-biztonsagosan/

Igaz hogy a cikk nem mai, de az itt leírtak nagy része WP verzió független dolog.

+ a egy kapcsolódó cikk, hogy mennyivel rosszabb a helyzet a jelenlegi tárhelyszolgáltatómnál:
http://zrubi.hu/2013/dotroll-webhosting/

Biztosan csak a véletlen műve, de eddig még nem nyomták fel - vagy csak nem tudok róla ;)

--
zrubi.hu

( zrubi v | 2014. 01. 16., cs – 14:48 )

Az eredeti kérdésre válaszolva:

Attól függ, ez mennyit ér neked mindez.

A leírásodból feltételezem, hogy tárhely szolgáltatásról van szó... Ez esetben viszonyleg kevés lehetőséged van, de próbáld meg ezeket összeszedni:

- teljes DB és állomány mentés
- összes web/ftp/ssh szerver log

Ezek utólagos elemzése kiderítheti hogy jutottak be. Egy ilyen elemzés azonban mindenképp sok idő - és pénz is ha mással csináltatod.

A legegyszerűbb, ha a mentést összeveted (diff, md5/sha1 hash) egy friss, install utáni állapottal. Ebből legalábbis az kiderül, hogy van-e nem oda való és/vagy megváltoztatott állomány.

(Általában egyébként elég nagy esély van arra is, hogy a kliens a kompromittálódott elem, ezesetben a szerver oldalon természetesen nem lesz semmi rendellenes)

--
zrubi.hu

( zslaszlo v | 2014. 01. 16., cs – 21:35 )

Köszönöm mindenkinek a segítséget!
Először is revideálnom kell magamat és elnézést kérnem mindenkitől!
Nem volt naprakész a wordpress! Rosszul emlékeztem, és nem frissítettem két hónapja. Tehát az én hibámból történt az eset. A szolgáltatóhoz nem törtek be. És az ügyfélszolgálat igen segítőkészen visszaállította adatmentésből az egész oldalt. Tehát meg kell követnem nyilvánosan az AbPlusz szolgáltatót (nem, ez nem reklám), mert gyorsan reagáltak és sokat segítettek. És nem, nem az ő hibájukból történt.
Btw, azt hiszem ez bármikor megtörténhetett volna, akkor is, ha friss a wp. Az ember igyekszik mindent megtenni, de lehet, hogy csak a szerencsén múlik kinek és mikor törik meg a honlapját...

Ha a szolgáltatónak nincs hozzá köze, akkor ugyanannak a szolgáltatónak további 6 ügyfele hogy lett feltörve?
Köztük legalább 2 Joomlas volt...
Szóval én nem feltétlenül hinném el, amit a szolgáltató mond, és én is nagyon segítőkész lennék meg kedves, ha tudnám, hogy sáros vagyok :)
--
PtY - www.onlinedemo.hu

Igen, valahol olvastam hogy mit kell csinálni ha betörtek: semmit. Ráülsz a kezedre, nem kapkodsz, nem hozol átgondolatlan döntéseket, kijelentéseket. Aztán a második lépés hogy megőrizni a jelenlegi állapotot, hogy ennél rosszabb ne legyen, és utána a tiszta rendszert építeni.

Amúgy hogy tovább okoskodjak ha "csak" a postok tűntek el akkor lehet hogy csak a db-hez fértek hozzá, azt meg vissza lehet állítani adott időpillanatra (már ha úgy van beállítva). A nyitott mysql mindenesetre nah.

Hááát. Igen. Végeredményben nagy kár nem történt. És megnéztem a többi (másik három) wp alapú oldal verzióját is. Nem a legfrisebb. Bár azt írja, hogy naprakész. Tudom ez a wp verziókezeléséből adódik. Szóval a nyugalom megőrzése igen fontos dolog. Aztán a következő eset után esetleg költöztethetem is az egész hóbelebancot. Nem egy nagy dolog adatbázismentést készíteni és visszaállítani. És olyan sok szolgáltató van... Mindenesetre az esélyt meg kell adni. Szerintem.

( Replaced | 2014. 01. 16., cs – 21:43 )

el kell kerulni mindent, aminek a php-hez barmi koze van es kesz

--
NetBSD - Simplicity is prerequisite for reliability

Szerintem a legritkább esetben okozza a PHP. A probléma inkább az, amit valahol olvastam: Magyarország a 10 millió webfejlesztő országa. De ezt a hoszting szolgáltatókra, üzemeltetőkre is ki lehet bővíteni.

Tegnap kipróbáltam a http://www.playframework.com/ keretrendszert. Összességébe tetszik. Erre viszont sok embernek az a véleménye, hogy bármi csak ne JAVA.