Elxis CMS Forum
Ελληνικό Forum => Ασφάλεια => Topic started by: nikos65 on August 10, 2011, 20:15:42
-
Μετά από πολύ καιρό γράφω στο forum ξανά και δυστυχώς δεν είναι για καλό .
Σήμερα με χακάρανε και πείραξαν και αναρτήσανε στην πρώτη σελίδα (αντικείμενο περιεχομένου) την σημαία τους και κάποια μηνύματα.
Επίσης αλλάξανε το password του admin.
Οι προστασίες σε όλα ήταν ενεργά (defender) και χτυπήσανε σε διαφορετικές εκδόσεις του elxis.
Τα σίτε θα επανέλθουν με backup αλλά θα ήθελα να μου προτείνετε μέτρα ασφαλείας τα οποία μπορεί να μην τα ξέρω ή να μην τα έχω εφαρμόσει.
Σας ευχαριστώ
-
Καταρχίν Νίκο θα πρέπει να βρείς από που μπείκανε.
Πιθανότατα κάποιο κενό ασφαλείας από τον server, έλενξε τα logs !
Όλα τα site ήταν επάνω στον ίδιο server ;
-
Ολα είναι στον ίδιο σέρβερ ..
Τα logs σβήστηκανε διότι τα έκανα suspended μέχρι να τα επαναφέρω με backup.
Πιθανόν να χτυπήσανε την βάση δεδομένων και να βάλανε από εκεί την πρώτη σελίδα.
-
νομιζω τα logs δεν διαγραφονται με suspend, αν κανεις το backup διαγραφονται, κανε un sunspend ενα και δες
-
Ολα είναι στον ίδιο σέρβερ ..
Ήταν εγκατεστημένο κάποιο άλλο (...) CMS ή άλλη εφαρμογή, πάνω στον server? Εάν ναι, ποιο;
τα logs δεν σβήνονται με suspend. Κάνε unsuspend, πάρε τα logs... και εξέτασε τα!
-
Και εάν έχεις εσύ την διαχείριση του server κάνε ΟΛΕΣ τις ενημερώσεις.
-
επισης ενα καλο post εδω https://forum.elxis.org/index.php?topic=6208.0 (https://forum.elxis.org/index.php?topic=6208.0)
-
nikos65, κι εγώ την έφαγα σήμερα (http://www.greekmasa.gr/index.php?option=com_bridge&brid=106&Itemid=0&topic=4350.msg112084#msg112084)
ήταν πολύ γρήγορο, με 2 logins και ένα script έγινε η δουλειά
Μπαίνουν σαν διαχειριστές, αλλάζουν κωδικό και το επίπεδο χρήστη του διαχειριστή, φτιάχνουν άλλον διαχειριστή και αλλάζουν την πρώτη δημοσίευση με το σλόγκαν τους.
Δεν βρήκα να πείραξαν τίποτε άλλο, ούτε να ανέβασαν κανένα αρχείο.
Εγώ με το που τους πήρα είδηση το επανέφερα, και την ίδια επίθεση με τα ίδια αποτελέσματα είχα μετά από 20 λεπτά
Ο δράστης ήταν αλβανός και μπλόκαρα όλη την αλβανία, γιατί από ότι είδα ήταν πάνω από το site όλη μέρα
Μπήκαν από τον server και μάλιστα χτύπησαν όλα τα sites τους (niko, στον ίδιο είμαστε ? :P)
Ενημέρωσα αμέσως τους υπεύθυνους και στη συζήτηση που είχα, οι συμβουλές είναι οι εξής :
1. Τα index.php από 644 σε 444
2. Ο admin να μην είναι ID 62 αλλά 75 και πάνω
3. Delete τα default templates
To 3o δεν το κατάλαβα, αλλά πήρα πολλά λάθη στο error-log κατά την διάρκεια της επίθεσης του τύπου
File does not exist: /home/public_html/templates/athina
που εγώ στο φάκελο των templates έχω μόνο αυτό που χρησιμοποιώ
Τα φώτα σας ???
έχω τα access-logs σε όποιον θέλει να ριξει μια ματια απο περιεργεια
-
ArXoS ποια έκδοση του Elxis χρησιμοποιείς;
είστε στον ίδιο;
-
όπως λέει και ο nikos, όλες τις εκδόσεις .. έχω από 2006 μέχρι 2009.2 με όλα τα protections του elxis και σφιχτές php.ini όσο δεν πάει ..
Κι εσύ την έπαθες .. συνάδελφε ? :D
-
Κι εσύ την έπαθες .. συνάδελφε ? :D
Γιατί τέτοια χαρά; ΟΧΙ δεν την έπαθα!
Ο admin να μην είναι ID 62 αλλά 75 και πάνω
Αυτό δεν το καταλαβαίνω;
-
Γιατί τέτοια χαρά; ΟΧΙ δεν την έπαθα!
α χαχα διάβασα "είμαστε στον ίδιο?" .. εμ τόσα μικρά που τα εκανες, είμαστε και καποιας ηλικίας
ένα μόνο elxis δεν μου έπιασαν, αυτό που είχα μετονομάσει το index.php στον φάκελο administrator. Μεγάλη υπόθεση αυτή η ιδέα του Elxis. Μπράβο παιδιά
Αχ μακάρι να μπορούσε να μπει και στο 2006 :'(
-
Να είμαστε ξεκάθαροι αλλά και προσεκτικοί... σε ένα τόσο σοβαρό θέμα. Σας χτυπήσανε συγκεκριμένα ποιες εκδόσεις του Elxis? Άλλο εάν έχετε όλες εγκατεστημένες!!
-
Προσωρινά τα σίτε είναι σε suspend και ζήτησα να γίνει αποκατάσταση από προηγούμενο backuo.
Μόλις γίνει ρεστορ θα αλλάξω τα δικαιώματα των αρχείων που μου προτείνατε σε 444 συν τα υπόλοιπα.
Αλλαγή σε όλες τα password και μπλοκάρισμα της Αλβανίας !! Εάν χτυπήσαν μία θα το ξανακάνουν.
Σε ένα σίτε έχει πρόβλημα η βάση δεδομένων και μόνο με ρεστορ λύνεται.
Μέχρι στιγμής μπαίνω από phpadmin αλλάζω το password του admin.
@Arxos
Μάλλον στον ίδιο σέρβερ είμαστε και φάγαμε το ίδιο χακ.
@babis1
Τα logs κοίταξα δεν υπάρχουν αφού επανέφορα σε λειτουργία τα σίτε!!
@syrigos
Ολα τα σίτε στον ίδιο σέρβερ !
@rentasite
Μόνο κάτι joomla έχω και αυτά 1-2
Με χτυπήσανε και στην πιο πρόσφατη .. δεν έχει σημασία γιατί νομίζω μπήκανε από τον σέρβερ - βάση δεδομένων και όχι από το elxis
-
....
ένα μόνο elxis δεν μου έπιασαν, αυτό που είχα μετονομάσει το index.php στον φάκελο administrator. Μεγάλη υπόθεση αυτή η ιδέα του Elxis. Μπράβο παιδιά
Αχ μακάρι να μπορούσε να μπει και στο 2006 :'(
Άρα να συμπεράνω ότι σου χτυπήσανε έκδόσεις 2006.x διότι η απόκρυψη του admin καθιερώθηκε από το 2008.0 και μετά.
Νίκο εσένα τι εκδόσεις σου χτυπήσανε;
-
Αρκεί και 1 Joomla στο server να σου κάνει την ζημιά!Μπαίνουν εγκαθιστούν το script και αρχίζει το πάρτι με 2-3 εντολές.
Σημαντικό αυτό (https://forum.elxis.org/index.php?topic=6208.msg40412#msg40412) :
Εναλλακτικό σενάριο.
Επειδή στο 90% των περιπτώσεων τις επιθέσεις τις τρώνε 3-4 αρχεία μπορείτε να κάνετε μη-εγγράψιμα (permissions 444) μόνο αυτά:
index.php
index2.php
configuration.php
templates/to_template_mou/index.php
και
Μου χάκεψαν το site, τι κάνω;
Αν έχουν χακέψει το site σας έστω και στο ελάχιστο μην προσπαθήσετε να συνδεθείτε στην διαχείριση. Μην το βλέπετε καν από το browser εκτός αν απενεργοποιήσετε πρώτα την javascript (firefox -> επιλογές -> περιεχόμενο -> ενεργοποίηση javascript on/off). Και αυτό γιατί μπορεί να υπάρχει κακόβουλος κώδικας που να σας υποκλέψει κωδικούς ή κάτι άλλο. Συνδεθείτε στο ftp και επεξεργαστείτε το configuration.php βάζοντας το $mosConfig_offline σε 1 ώστε να βγει το site offline.
Δείτε τα logs
Δείτε τα logs (access και error) του apache για να εντοπίσετε τι έγινε.
Κάντε έλεγχο για το ποια αρχεία αλλοιώθηκαν.
Για να το κάνετε εκτός elxis συνδεθείτε σε ένα shell και δείτε ποια αρχεία τροποποιήθηκαν την τελευταία ημέρα:
cd /path/to/elxis/root/folder/
find . -type f -mtime -1
Σημείωση: μερικά script πειράζουν την ημερομηνία τροποποίησης ώστε να μην φαίνεται ότι αλλοιώθηκαν, εκεί θέλετε διαφορετικό τρόπο εύρεσης των αλλοιώσεων (κατά περίπτωση). Για παράδειγμα αν γνωρίζετε το trojan μπορείτε να ψάξετε με το όνομά του ή με το μέγεθός του. Πχ αν το κακόβουλο script έχει μέγεθος 150kb μπορείτε εύκολα να το εντοπίσετε ελέγχοντας όλα τα αρχεία που είναι μεγαλύτερα από 140kb με αυτό:
find . -type f -size +140k
Έλεγχος βάσης
Συνδεόμαστε στο phpmyadmin και κάνουμε έλεγχο στον πίνακα users αν έχει γραφτεί κάποιος χρήστης ως διαχειριστής ή κάτι άλλο. Εναλλακτικά μπροούμε να επαναφέρουμε ένα backup της βάσης. Αν θέλουμε αλλάζουμε και κωδικό πρόσβασης για τον χρήστη admin (γράφουμε τον κωδικό και επιλέγουμε κρυπτογράφιση md5).
Αφού επαναφέρετε τα σωστά αρχεία και ελέγξετε τη βάση βάλτε το site online, βάλτε τον firefox σε "ιδιωτική περιήγηση", απενεργοποιήστε την javascript και δείτε τον html κώδικα που παράγει το site σας και ψάξτε για περίεργα javascript, εικόνες και frames. Αν όλα είναι οκ ενεργοποιήστε την javascript, συνδεθείτε στη διαχείριση και κάντε έλεγχο συστήματος αρχείων με το εργαλείο updiag.
-
....
ένα μόνο elxis δεν μου έπιασαν, αυτό που είχα μετονομάσει το index.php στον φάκελο administrator. Μεγάλη υπόθεση αυτή η ιδέα του Elxis. Μπράβο παιδιά
Αχ μακάρι να μπορούσε να μπει και στο 2006 :'(
Άρα να συμπεράνω ότι σου χτυπήσανε έκδόσεις 2006.x διότι η απόκρυψη του admin καθιερώθηκε από το 2008.0 και μετά.
Νίκο εσένα τι εκδόσεις σου χτυπήσανε;
Και την τελευταία αλλά δεν μπήκανε από την διαχείριση του elxis !!
Θα ήθελα και εγώ το range των ip της Αλβανίας !!
-
Last IP ranges database updated ==> July 02, 2011
71 αποτελέσματα για την χώρα με κωδικό: AL
deny from 31.22.48.0 - 31.22.63.255
deny from 31.44.64.0 - 31.44.79.255
deny from 31.171.152.0 - 31.171.159.255
deny from 31.201.4.0 - 31.201.4.255
deny from 31.201.75.0 - 31.201.75.255
deny from 31.201.142.0 - 31.201.142.255
deny from 31.201.211.0 - 31.201.211.255
deny from 31.222.40.0 - 31.222.47.255
deny from 46.19.224.0 - 46.19.224.191
deny from 46.19.225.0 - 46.19.227.255
deny from 46.19.230.128 - 46.19.231.255
deny from 46.36.198.116 - 46.36.198.120
deny from 46.99.0.0 - 46.99.255.255
deny from 46.136.8.0 - 46.136.8.255
deny from 46.136.86.0 - 46.136.86.255
deny from 46.136.150.0 - 46.136.150.255
deny from 46.183.120.0 - 46.183.127.255
deny from 46.252.32.0 - 46.252.47.255
deny from 46.255.144.0 - 46.255.151.255
deny from 62.75.65.0 - 62.75.66.255
deny from 77.242.16.0 - 77.242.31.255
deny from 79.98.112.0 - 79.98.119.255
deny from 79.106.0.0 - 79.106.255.255
deny from 79.171.48.0 - 79.171.55.255
deny from 80.78.64.0 - 80.78.79.255
deny from 80.80.160.0 - 80.80.165.179
deny from 80.80.165.184 - 80.80.165.191
deny from 80.80.165.208 - 80.80.175.255
deny from 80.90.80.0 - 80.90.95.255
deny from 80.91.112.0 - 80.91.127.255
deny from 81.26.200.0 - 81.26.207.255
deny from 82.114.64.0 - 82.114.67.255
deny from 82.114.76.176 - 82.114.76.183
deny from 82.114.81.144 - 82.114.81.151
deny from 82.114.89.160 - 82.114.89.171
deny from 82.114.89.208 - 82.114.89.208
deny from 82.114.89.220 - 82.114.89.227
deny from 82.114.90.236 - 82.114.90.239
deny from 82.114.91.160 - 82.114.92.255
deny from 82.114.93.128 - 82.114.93.191
deny from 84.20.64.0 - 84.20.95.255
deny from 88.202.104.192 - 88.202.104.207
deny from 88.202.108.192 - 88.202.108.207
deny from 88.210.152.128 - 88.210.152.255
deny from 91.187.96.0 - 91.187.127.255
deny from 91.188.11.168 - 91.188.11.175
deny from 91.210.136.0 - 91.210.139.255
deny from 92.60.16.0 - 92.60.31.255
deny from 93.90.64.0 - 93.90.79.255
deny from 93.159.192.0 - 93.159.199.255
deny from 94.125.112.0 - 94.125.119.255
deny from 95.107.128.0 - 95.107.255.255
deny from 109.69.0.0 - 109.69.7.255
deny from 109.69.160.0 - 109.69.167.255
deny from 109.75.18.16 - 109.75.18.23
deny from 109.104.128.0 - 109.104.159.255
deny from 109.234.232.0 - 109.234.239.255
deny from 109.236.32.0 - 109.236.47.255
deny from 141.8.200.0 - 141.8.207.255
deny from 173.0.53.83 - 173.0.53.85
deny from 193.254.1.0 - 193.254.3.255
deny from 194.1.149.0 - 194.1.149.255
deny from 207.241.168.0 - 207.241.168.255
deny from 207.241.174.0 - 207.241.174.255
deny from 213.149.101.0 - 213.149.101.255
deny from 213.149.113.240 - 213.149.113.255
deny from 213.207.32.0 - 213.207.63.255
deny from 213.209.187.64 - 213.209.187.127
deny from 217.21.144.0 - 217.21.159.255
deny from 217.24.240.0 - 217.24.255.255
deny from 217.73.128.0 - 217.73.143.255
-
Πολύ σωστά! 71 εμφανίζονται και το διασταύρωσα.
-
Arxo έχεις εσύ τα logs ;
Arxo έχεις κρατήσει το script ; ή μήπως το διάβασες ; τι έκανε ;
Γιατί από αυτά που γράφεται δύνεται την εντύπωση ότι μπήκαν λόγο κενού ασφαλείας του Elxis, αλλά είμαι 99% σίγουρος ότι δεν είναι έτσι.
Ακόμα ότι είσαστε στον ίδιο server 99% σημαίνει ότι κάποια τρύπα έχει ο server και από εκεί μπήκανε.
-
Επίσης εδώ θα βρείτε ενημερωμένες τις ip range από τις χώρες:
# China (CN)
# Hong Kong (HK)
# India (IN), Bangladesh (BD) and Pakistan (PK)
# Indonesia (ID)
# Japan (JP) (hacking, scraping, or spamming)
# Korea (KR)
# Yahoo-Korea
Neighboring Asian countries:
# Malaysia (MY)
# Philippines (PH)
# Singapore (SG)
# Taiwan (TW)
# Thailand (TH)
# Vietnam (VN)
http://www.wizcrafts.net/chinese-blocklist.html (http://www.wizcrafts.net/chinese-blocklist.html)
-
Εδώ θα βρείτε τις ενημερωμένες IP Range, ΟΛΩΝ των χωρών!
www.ipdeny.com/ipblocks
Zone files last updated: Wed Aug 10 15:07:29 EDT 2011
-
είχα συγκεκριμένα 5 elxis
ένα με 2006
τέσσερα με 2009.2
Σε όλα τροποποίησαν την τελευταία δημοσίευση, και την έβαλαν να εμφανίζεται στην πρώτη σελίδα, άλλαξαν το επίπεδο χρήστη του διαχειριστή σε απλό χρήστη και έκαναν νέα εγγραφή χρήστη με το όνομα admin σαν υπερδιαχειριστή (έχω το συνήθειο σε όλα μου τα elxis να μην έχω υπερδιαχειριστή admin αλλά το nick μου)
Μόνο σε ένα που έχω υπο κατασκευή δεν μπήκαν (2009.2, e-shop), που το έχω κάνει rename το index του administration και είναι σε subdomain (δεν ξέρω αν την γλίτωσε το οτι ήταν σε sub ή το rename)
Δεν είπα οτι μπήκαν από τρύπα του elxis, νομίζω οτι από το πρώτο μου μήνυμα γράφω οτι μπήκαν από τον server, για να μην παρεξηγούμαστε.
Το script το σήκωσαν από ένα domain του ίδιου server, που δεν πρόλαβα να το σώσω, γιατί μόλις ενημέρωσα τον server αμέσως το απενεργοποίησαν το account
Σίγουρα πρόκειται για τρύπα κάπου CMS γείτονα και ΟΧΙ του elxis, και αναγκαστικά πήρε μπάλα και εμάς. Ευθύνεται 1000% ο φιλοξενιτής, πρώτα απ.όλα γιατί εγώ βρίσκομαι σε ανεξάρτητο μηχάνημα με 5 μόνο ιδιοκτήτες (έτσι μου έχουν πει τουλάχιστον), ενώ στο domain list του χάκερ (ήταν δίπλα στο script) αναφέρονται να χτύπησαν πάνω από 200 domains (εκτός και αν οι άλλοι 5 συγκάτοικοι έχουν στήσει από 50 domains ο καθένας >:()
Δεν βρήκα αρχεία τροποποιημένα ούτε ξένα trojans/scripts. Άλλαξα κωδικούς και ελπίζω να μην μας ξανατύχει
-
είχα συγκεκριμένα 5 elxis
ένα με 2006
τέσσερα με 2009.2
Σε όλα τροποποίησαν την τελευταία δημοσίευση, και την έβαλαν να εμφανίζεται στην πρώτη σελίδα, άλλαξαν το επίπεδο χρήστη του διαχειριστή σε απλό χρήστη και έκαναν νέα εγγραφή χρήστη με το όνομα admin σαν υπερδιαχειριστή (έχω το συνήθειο σε όλα μου τα elxis να μην έχω υπερδιαχειριστή admin αλλά το nick μου)
Εάν θυμάμαι καλά, έχει γραφτεί πολύ παλιά, usernames τύπου admin κλπ... να υπάρχουν αλλά απενεργοποιούντε (ως μέτρο ασφαλείας). Καλύτερα να δημιουργούμε άλλα usernames με δικαιώματα Administrator. Στην προκειμένη όμως περίπτωση, τίποτα δεν σε σώζει.
Το script το σήκωσαν από ένα domain του ίδιου server, που δεν πρόλαβα να το σώσω, γιατί μόλις ενημέρωσα τον server αμέσως το απενεργοποίησαν το account
Ίσως αυτή να είναι η πιο χρήσιμη πληροφορία. Να ξέραμε... τι στο %@!$#@$ εφαρμογή έτρεχε σε αυτό το domain!
εγώ βρίσκομαι σε ανεξάρτητο μηχάνημα με 5 μόνο ιδιοκτήτες (έτσι μου έχουν πει τουλάχιστον), ενώ στο domain list του χάκερ (ήταν δίπλα στο script) αναφέρονται να χτύπησαν πάνω από 200 domains (εκτός και αν οι άλλοι 5 συγκάτοικοι έχουν στήσει από 50 domains ο καθένας >:()
Αυτό δεν λέει απολύτως τίποτα. Είσαι σε shared hosting? Έχεις δικό σου VPS; Το ότι ήταν "μόνο" 5 ιδιοκτήτες είναι σχετικό. Όπως ορθά λες... εάν είχαν από 50 ο καθένας = 250. Να τα τα 200 domains που χτυπήσανε.
Τελικά με τον nikos65 είσαστε στην ίδια εταιρία; Ή ήταν σύμπτωση;
-
Τελικά με τον nikos65 είσαστε στην ίδια εταιρία; Ή ήταν σύμπτωση;
στην ίδια :-\
-
Παίδες το ενδεχόμενο να έχουν χρησιμοποιήσει proxy server (http://en.wikipedia.org/wiki/Proxy_server) και να είναι π.χ. Έλληνες το έχετε σκεφτεί; Μην κλειδώνετε ολόκληρη χώρα έτσι επειδή φαίνεται η IP από AL.
-
η ΙΡ είναι proxy Αλβανίας
-
Μην ψάχνετε από που προήλθαν οι επιθέσεις. Μπορεί να "έρθουν" και από τη Γουατεμάλα! Δεν λέει κάτι αυτό. ;D
Ψάξτε το ΓΙΑΤΙ... και σ αυτό δεν έχουμε ακόμα απάντηση!
-
Θέλω να ρωτήσω εάν η προσθήκη νέου χρήστη με διαφορετικό όνομα από admin θα βοηθήσει και εάν μπορούμε να επιλέξουμε τον αριθμό του id που θα του δώσουμε.
Δοκίμασα να αλλάξω την id του admin από 62 σε άλλο αριθμό μέσα από phpadmin αλλά μετά δεν με άφηνε το elxis να συνδεθώ !
-
Πρέπει να συμπληρώσεις και στον πίνακα elx_core_acl στο πεδίο value το ίδιο id που άλλαξες στον πίνακα elx_users. Θα αποσυνδεθείς και θα συνδεθείς με επιτυχία αυτή την φορά.
Προσοχή μόνο ποιο value θα αλλάξεις ε ;
-
Πρέπει να συμπληρώσεις και στον πίνακα elx_core_acl στο πεδίο value το ίδιο id που άλλαξες στον πίνακα elx_users. Θα αποσυνδεθείς και θα συνδεθείς με επιτυχία αυτή την φορά.
Προσοχή μόνο ποιο value θα αλλάξεις ε ;
Σταύρο,
Εννοείς συγκεκριμένα τον "elx_core_acl_aro" γιατί μόνο εκεί είδα το id > 62 και αυτό θα πρέπει να αλλάξω σωστά;
Πιστεύεις ότι η αλλαγή του Id σε διαφορετική από 62 θα βοηθήσει να μην βρεθεί ποιος είναι ο admin ;
-
Ναι σωστά ο πίνακας είναι elx_core_acl_aro. Λάθος δικό μου. Υπάρχουν και άλλοι πίνακες ανάλογα τα components που χρησιμοποιείς.
Στις περιπτώσεις που κάποιος αναζητήσει το id του διαχειριστή μέσω εγκατεστημένου script. Καλό είναι να έχει και διαφορετικό όνομα από admin και σίγουρα διαφορετικό id. Αν όμως ξέρει μπορεί να αναζητήσει αντί του id το gid που ανάλογα του group σε κάθε CMS έχουν σταθερούς αριθμούς. Οπότε 0 από 0 ίσον 0 ;)
Το βασικό θέμα μας όμως είναι να μην μπορεί να εγκαταστήσει το script οπότε για την ασφάλεια δουλεύουμε περισσότερο στα δικαιώματα Φακέλων - Αρχείων ( όπως έχει αναφέρει ο Γιάννης εδώ (https://forum.elxis.org/index.php?topic=6208.msg40412#msg40412)).
-
ok Ευχαριστώ πολύ
-
Γιατί να αλλάξεις το id του admin; Δεν έχει καμία σημασία αυτό. Αν τυχόν το αλλάξεις πρέπει να ενημερώσεις άλλους 3-4 πίνακες στη βάση, μην το κάνεις!
Ο διαχειριστής του server πρέπει να ψάξει και να βρει από πιο site και πως ξεκίνησε η επίθεση για να αντιμετωπιστεί το πρόβλημα από τη ρίζα του. Από ότι κατάλαβα κάποιο site στο server την έφαγε (κάποιο κακό script) και μετά ο επιτιθέμενος μπόρεσε να πειράξει και τα άλλα site.
Θα γράψω ένα μικρό παράδειγμα πως μπορούμε να αλλάξουμε τα αρχεία σε ένα site αν έχουμε καταφέρει να ανεβάσουμε ένα php αρχείο σε ένα άλλο site στον ίδιο server.
Έστω έχω 2 site στον ίδιο server.
/sites/siteA/public_html/
/sites/siteB/public_html/
Στο siteA καταφέρνω και ανεβάζω ένα αρχείο bad.php εκμεταλευόμενος μία τρύπα ασφαλείας σε ένα κακό script.
/sites/siteA/public_html/bad.php
Μέσα στο bad.php γράφω:
<?php unlink(/sites/siteB/public_html/test.php); ?>
Το εκτελώ από τον browser:
http://siteA.com/bad.php
και έχω διαγράψει το αρχείο "test.php" του siteB χωρίς καν να πάω στο siteB...
Φυσικά αυτό είναι πολύ απλοϊκή περίπτωση καθώς υπάρχουν διάφορες δικλείδες ασφαλείας (παίζει μεγάλο ρόλο πως είναι σεταρισμένη η php) και δεν δουλεύει πάντα, όμως κάπως έτσι συμβαίνει...
Αν έχετε root access μπορείτε να γυρίσετε τον owner των βασικών αρχείων (index.php/index2.php) σε root και τα permissions τους σε 444. Προσέξτε όμως: τα αρχεία δεν θα μπορείτε ούτε εσείς να τα αλλάξετε μετά, μόνο ο root θα μπορεί. Επίσης σε ορισμένα php setup αν ο owner των αρχείων δεν ταιριάζει με τον χρήστη του apache ο server θα βγάλει error 500.
chown root:root index.php
chmod 0444 index.php
Ξέρω ότι δεν είναι καλό αυτό που έγραψα γιατί δίνω ιδέες σε μερικούς, αν το ψάξετε όμως περισσότερο θα τραβάτε τα μαλιά σας τι μπορεί να γίνει. Η PHP έχει δυστυχώς μερικά σοβαρά θέματα ασφαλείας και δεν υπάρχει απόλυτα ικανοποιητική λύση. Πρέπει να είστε πολύ προσεκτικοί που κάνετε hosting το site σας....
Τα πολύ σημαντικά site δεν πρέπει να συνυπάρχουν με site άλλων στο ίδιο μηχάνημα.
Elxis Nautilus tip
Το Elxis Nautilus έχει ένα σύστημα αυτοδιάγνωσης του συστήματος αρχείων και αν παρατηρήσει αλλοίωση σε ένα αρχείο ειδοποιεί τον τεχνικό υπεύθυνο του ιστότοπου και βγάζει το site offline. Η λειτουργία αυτή είναι μέρος του νέου Elxis Defender ο οποίος τρέχει στο Elxis Nautilus (απαιτεί μόνο ενεργοποίηση της λειτουργίας και καμία άλλη ρύθμιση). Περισσότερες σχετικές πληροφορίες μελλοντικά.
-
Elxis Nautilus tip
Το Elxis Nautilus έχει ένα σύστημα αυτοδιάγνωσης του συστήματος αρχείων και αν παρατηρήσει αλλοίωση σε ένα αρχείο ειδοποιεί τον τεχνικό υπεύθυνο του ιστότοπου και βγάζει το site offline. Η λειτουργία αυτή είναι μέρος του νέου Elxis Defender ο οποίος τρέχει στο Elxis Nautilus (απαιτεί μόνο ενεργοποίηση της λειτουργίας και καμία άλλη ρύθμιση). Περισσότερες σχετικές πληροφορίες μελλοντικά.
Respect! :o
-
Θα ακολουθήσω τις συμβουλές ,
Σας ευχαριστώ :)
-
Το βασικό θέμα μας όμως είναι να μην μπορεί να εγκαταστήσει το script οπότε για την ασφάλεια δουλεύουμε περισσότερο στα δικαιώματα Φακέλων - Αρχείων ( όπως έχει αναφέρει ο Γιάννης εδώ (https://forum.elxis.org/index.php?topic=6208.msg40412#msg40412)).
Τα elxis μου πάντως τα είχα σαν αστακούς, αλλά τελικά δεν αρκεί μόνο αυτό. Προέκυψε η παράμετρος που γράφει ο Γιάννης πιο πάνω >:(
.. Πρέπει να είστε πολύ προσεκτικοί που κάνετε hosting το site σας....
-
Τα elxis μου πάντως τα είχα σαν αστακούς, αλλά τελικά δεν αρκεί μόνο αυτό. Προέκυψε η παράμετρος που γράφει ο Γιάννης πιο πάνω >:(
;D. Τελικά η πρόληψη στους υπολογιστές δεν είναι πάντα η καλύτερη θεραπεία. Υπάρχουν και οι εξωτερικοί παράγοντες!
-
Τελικά η πρόληψη στους υπολογιστές δεν είναι πάντα η καλύτερη θεραπεία. Υπάρχουν και οι εξωτερικοί παράγοντες!
Για κάθε "ασθένεια" υπάρχει γιατρειά... και το αντίστροφο!!