Betőrés elleni védelem.

Web, mail, IRC, IM, hálózatok

Sziasztok,

üzemeltetek egy webszervert. Kb 3 éve lett beállítva a debian + ispconfig + email + egyebek rajta.
Olyan 50 darab, 90%-ban drupal alapú weboldal van rajta.

Azt észleltem pár hónapja, hogy az egyik weboldalt, (amely szintén drupalos) mindig megpróbálják feltörni, azaz egy malware scriptet elhelyezni rá. S bizony, néha sikeresen. Amikor felmásolják, akkor a spammales miatt feketelistára teszik a gépemet, így más ügyfelek emailezése ellehetetlenedik.

Amit észleltem:
- az access log fájlt olvasgatva mindig találok ilyen (vagy hasonló)bejegyzést: 82.131.209.59 - - [16/Apr/2015:12:24:41 +0200] "POST /sites/all/libraries/defines.php HTTP/1.1" 404 5257 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ( a defines.php néha views.php, néha config.php néha más...)
- mindig csak ezen az 1 weboldalra helyezik el a scriptet

Amit próbáltam tenni:
- ezt a weboldalt frissítettem, tehát már a drupal és az összes modul a legfrisebb
- hiába változtatok jelszavakat, eredménytelen, mert hetente egyszer csak bejutnak
- nincs már FTP hozzáférése az ügyfélnek
- naponta egyszer-kétszer kézzel végigfuttatok egy maldet és egy clamscan programot a /var/www mappán. Mai eredmény:
FILE HIT LIST:
{CAV}Php.Malware.Mailbot-1 : /var/www/clients/client11/web5/web/sites/all/libraries/defines.php => /usr/local/maldetect/quarantine/defines.php.20085

- az access.log fájlt olvasgatva mindig találok ilyen bejegyzést:
82.131.209.59 - - [16/Apr/2015:12:24:41 +0200] "POST /sites/all/libraries/defines.php HTTP/1.1" 404 5257 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1;

Ti mit javasoltok? Hogyan kellene kivédeni ezeket a támadásokat? Vagy mit kéne csinálnom?
Vagy Kecskemét vagy környéki szakember jelentkezését is várom, aki átnézné az egészet, s megcsinálná rá a védelmet.

/ Kérlek, hogy mellőzzétek az ilyen hozzászólásokat, hogy "Dobd ki az egészet! Telepítsd újra az egészet!" /

Előre is köszönöm.

  • 2124 megtekintés

( zoner | 2015. 04. 16., cs – 13:33 )

web user tud irni oda, ahova nem kellene neki? Pl sites/default/files irhato kell legyen, semmi mas nem. a sites/default/files-ben talalhato php fajlok ne legyenek futtathatok, ez apache virtualhost file-ban beallithato.

Sajnos ezek a scripteket nem elsősorban a /sites/default/files mappában találom meg, hanem ahogy bemásoltam, legutoljára libraries mappában, de találtam már a themes/design2/ mappában is. S hogy a másik kérdésedre is válaszoljak: pl a /sites/all/themes/design2 mappának a jogosultságaaz mc szerint: Név: design2, Jogok (oktálisan) 40554 Tulajdonos: web5 Csoport: client11

( pirate | 2015. 04. 16., cs – 13:33 )

Lehet, hogy a legfrissebb modulban is van biztonsagi res?
Kapcsold ki vagy torold az osszes hasznalaton kivuli modult es nezd at a beallitasokat.
Egy hanyagul beallitott Drupalon siman bejohetnek, akkor is ha a legfrissebb.

Mi a kulonbseg egy Kecsekemet kornyeki vagy egy a deli sarkon ulo szakember kozott? Ssh, http az egesz vilagon mukodokepes :)

---
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Igazad van. Azokat a modulaokat amelyeket nem használok kikapcsolom.
A drupal a 7.35-ös rajta --> frissítem.

S azért jó lenne elsősorban Kecskemét vagy -környéki szakember, mert jó lenne vele személyesen találkozni.

De persze szívesen veszek máshonnan is jelentkezőket, akik távolról átnéznék a rendszert, s ajánlanának rá megoldást.

Igen, most már jól:
Drupal core 7.36 Modulok Aktuális rendben
Administration menu 7.x-3.0-rc5 Administration Development tools, Administration menu Aktuális rendben
CKEditor - WYSIWYG HTML editor 7.x-1.16 aktuális.
Félórája még a 7.35-ös volt.

Az állapotjelentésnél is minden oké (minden zöld) már.
Bár félorája azon panaszkodott, hogy a tmp mappa nincs jól beállítva, az nem írható. De már ezt is javítottam.

( andrej_ v | 2015. 04. 16., cs – 13:43 )

A Drupal 7 az 7.36-nál jár. Tuti mindegyik a legfrissebb?

A fenti probléma egyébként mindenhol visszatérő mára. Ami védhet, illetve főleg "esemény utáni" jellegű, az egy .htaccess file vagy a szerver konfigba beállítás, hogy a sites/* alatt tiltod a PHP futtatást vagy meghívást.

Ugyanilyen bugokat használnak ki WordPress vagy Joomla esetén is.

A.

Most látom, hogy lemaradt a lényeg, illetve kacsacsőrök nélkül most: :)


IfModule mod_rewrite.c
RewriteEngine On
RewriteRule ^sites/.*/files/.*\.php - [F,L]
/IfModule

Ez mehet elvileg az Apache konfigba és a sites könyvtárba is. Ha .htaccess és esetleg nem eszi, akkor legfeljebb leszeded a file-t.

( Elbandi v | 2015. 04. 16., cs – 13:55 )

apparmor nemtud vedni az ilyenektol?

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

( carlcolt | 2015. 04. 16., cs – 14:33 )

"Betőrés"

au

(mondjuk ekezetek nelkul en inkabb meg se szolaljak, tudom)