Μας χακάρανε !!!

[ArXoS]

Γεια σας παιδιά. Τα φώτα σας παρακαλώ

Πριν από 2 μέρες, τα sites που έχουμε με κάποιον φίλο μου, πέσαν θύματα hacking. Στο ένα site άλλαξαν το index.html και στο δεύτερο το configuration.php, κάνοντάς τα να εμφανίζουν τα γνωστά μηνύματα των δραστών.
 
Κοιτώντας τα logs του server, δεν είδα καμία ύποπτη σύνδεση, αλλά πολλές επισκέψεις ερχόντουσαν από το http://www.zone-h.org/component/option,com_attacks/Itemid,45/ (οι τύποι, δημοσιεύουν τα κατορθώματά τους για να περνάει η ώρα)
Διαβάζοντας λοιπόν στο παραπάνω site, διαπίστωσα ότι η όλη διαδικασία (διορθώστε με αν κάνω λάθος) λέγεται site defacement και κυκλοφορούν άπειρα προγράμματα αυτής της νέας «πλάκας». Είμαι σίγουρος ότι δεν έχω αφήσει access που δεν χρειάζονται σε φακέλους ή αρχεία, ενώ τα αρχεία που αλλάχθηκαν από τον hacker ήταν owner 99 (όπως δηλαδή περιγράφονται τα αρχεία που δημιουργεί το elxis ή η php)

Για πείτε μου ρε παιδιά πως μπορούμε να προστατευτούμε από αυτή τη πλάκα; Είναι τρύπα του Elxis, ή του server;
Να σας πώ μόνο, ότι στον server που φιλοξενούμαστε, δεν μας αλλάζουν τις php παραμέτρους (τις έχουν standar) και στον έλεγχο ασφαλείας που έκανα με το Updiag έχω τις παρακάτω αναφορές :

Elxis register globals emulation is set to ON
PHP displays errors
PHP register globals is ON
PHP function system is enabled
PHP function exec is enabled
PHP function passthru is enabled
PHP function shell_exec is enabled
PHP allows openning remote files
Elxis error reporting is set to ON
Elxis FloodBlocker is disabled
Elxis Defender is disabled

Υπάρχει κάτι που μπορούμε να κάνουμε ή είμαστε τελείως απροστάτευτοι ;

[datahell]

Με αυτές τις ρυθμίσεις της php δεν φταίνε αυτοί αλλά εσύ. Τα έχεις όλα ανάποδα σε σχέση με το ασφαλές. Αυτά είναι τα προτεινόμενα:

Elxis register globals emulation = OFF
PHP displays errors = OFF
PHP register globals= OFF
PHP function system= DISABLE
PHP function exec = DISABLE
PHP function passthru = DISABLE
PHP function shell_exec = DISABLE
PHP allows openning remote files= OFF
Elxis error reporting = OFF
Elxis FloodBlocker = ENABLE
Elxis Defender = ENABLE

Όλα τα παραπάνω (και άλλα) είναι σημαντικά αλλά ειδικά οι γραμμές με έντονο κείμενο είναι τζιζ. Όποιος τα έχει ανάποδα την πάτησε.

Κοίτα πάντως τα Logs του apache (access logs/error logs) να δεις πως στο έκαναν.

[ArXoS]

το Elxis register globals emulation το βρηκα // το Elxis error reporting που βρησκεται ?
Τα υπόλοιπα, δεν μου τα αλλαζει ο σερβερ .. υπάρχει βρε παιδιά άλλος τροπος να τα ορισω εγω?
Στα site σας, σας επιτρεπουν να αλλαξετε τις php παραμετρους ή μονο εγώ έχω πεσει ρε περίεργους ;

Επίσης, τον defender δεν μπορω ρε παιδιά να τον κάνω να δουλεψει .. τι φιλτρα λεει .. ιδεα δεν εχω ..
Αν δηλαδή όλα της php ήταν σωστα, δεν θα είχα προβλημα ασφαλειας; Αν αυτό ισχύει, τότε είναι λόγος αποχώρησης από το server ... τι να πω..

[datahell]

Η αλλαγή των προκαθορισμένων ρυθμίσεων της php μπορεί να γίνει είτε με κατάλληλη εντολή στο php script ( πχ με την συνάρτηση ini_set() ), είτε μέσω ενός αρχείου .htaccess, είτε με επεξεργασία του php.ini, είτε τέλος με επεξεργασία του httpd.conf του apache. ΟΜΩΣ, ένας σωστός διαχειριστής server δεν επιτρέπει στους χρήστες να βάζουν ότι τιμές να 'ναι στις ρυθμίσεις της php για το καλό όλων. Πχ αν έχει βάλει REGISTER_GLOBALS σε OFF στο php.ini δεν σου επιτρέπει να το γυρίσεις στο ON. Αυτό ποικίλει από server σε server. Ακόμα αυτά τα δικαιώματα (υπερκάλυψης βασικών ρυθμίσεων) μπορούν να οριστούν και κατά περίπτωση/site σε ένα περιβάλλον virual host. Η παράμετρος που καθορίζει αυτό είναι η AllowOverwrite του apache. Θα πρέπει φυσικά να έχεις πρόσβαση στο httpd.conf του apache.

Στην περίπτωσή σου: Αν σε αφήνει μέσω .htaccess να αλλάξεις αυτές τις παραμέτρους μπορείς να βάλεις στο αρχείο .htaccess γραμμές όπως αυτή:

php_flag register_globals off

ή αυτή:

php_value allow_url_fopen 0 (υπάρχει περίπτωση αυτό να σου δημιουργήσει error 500)

Επειδή δεν είσαι έμπειρος χρήστης και δεν είναι και αρμοδιότητά σου να ρυθμίζεις το server (πληρώνεις ανθρώπους για αυτή τη δουλειά άλλωστε) καλύτερα είναι, αφού βεβαιωθείς πως οι τιμές των παραμέτρων είναι όπως τις ανέφερες, να απευθυνθείς στην εταιρεία που σε φιλοξενεί για να κάνει τις απαραίτητες αλλαγές ασφαλείας.

Στο site το μόνο που χρειάζεται να κάνεις είναι:  να το κρατάς ενήμερο και να μην εγκαθιστάς οτιδήποτε δεν προέρχεται από το elxis.org. Οποιοδήποτε module/component κλπ δεν είναι για το Elxis, ξήλωσέ το. Αν τέλος έχεις και άλλα script πάνω στο site σου εκτός του elxis βεβαιώσου ότι είναι ασφαλή και ότι δεν "μπήκανε" από εκεί.

[ArXoS]

Σε ευχαριστώ πάρα πολύ για τη βοήθειά σου
έβαλα στο .htaccess την εντολη
php_flag register_globals off
και διορθώθηκε το register globals 

Μπορείς σε παρακαλώ να με βοηθήσεις, με ποιες εντολές πρέπει να βάλω για να διορθωθούν και τα άλλα λάθη της php ;;;

[ioannis]

καλησπέρα,

το .htaccess αρχείο πρέπει να βρίσκεται στον κατάλογο που είναι εγκατεστημένο το Elxis ή σε άλλο σημείο;
Γιατί κι εγώ κοίταξα τα παραπάνω που γράφει ο Datahell και είναι όλα ON.

[datahell]

Όταν επιλέγεται host για να βάλετε το site σας να μην κοιτάτε μόνο την τιμή. Δεν χρειάζεται να είστε ειδήμων, απλά κάντε μία έρευνα αγοράς και ρωτήστε ή ψάξτε πρωτού επιλέξετε να βάλετε το site σας σε κάποιο server. Ειδικά αν το site σας δεν είναι προσωπικό αυτή η διαδικασία είναι επιβεβλημένη. Λίγα ευρώ παραπάνω σε κόστος (ή και τίποτα υπάρχουν φθηνοί και καλοί hosting providers) είναι τίποτα μπροστά στην διασφάλιση του κόπου σας.

Επίσης όταν εγκαταστήσατε το Elxis, δεν είδατε με κόκκινα έντονα γράμματα που σας έλεγε ότι οι τιμές των παραμέτρων της php δεν είναι ασφαλής; Το παραβλέψατε...

Αυτούς τους ανθρώπους που σας φιλοξενούν τους πληρώνεται για να σας προσφέρουν κάποια στοιχειώδη πράγματα, ασφάλεια και υποστήριξη για το site σας. Απευθυνθείτε σε αυτούς. Λυπάμαι αλλά δεν θα πω περισσότερα εδώ για θέματα ασφαλείας γιατί δεν θέλω σε καμία περίπτωση να είμαι εγώ υπεύθυνος με τις όποιες συμβουλές δώσω για την ασφάλεια των site σας ενώ πρέπει να είναι άλλοι υπεύθυνοι. Αν θέλει κάποιος άλλος φίλος ας το κάνει.

Το έχω ξαναπεί και στο παρελθόν, το ξαναλέω και τώρα αφού είναι πάντα επίκαιρο: απόλυτη ασφάλεια δεν υπάρχει. Δυνητικά όλοι οι server/site μπορούν να χακευθούν. Τουλάχιστον όμως ας έχουμε μία στοιχειώδη ασφάλεια.

[ArXoS]

Όταν επιλέγεται host για να βάλετε το site σας να μην κοιτάτε μόνο την τιμή.

ϊσα ίσα, που ο server που επέλεξα δεν είναι και από τους φθηνούς. Για τα υπόλοιπα που λες, αν είναι η πρώτη φορά που ασχολείσαι με domains και hosts, πως θέλεις να τα ξέρεις; Ποιους να ρωτήσεις; Όλοι οι servers που προσφέρουν υπηρεσίες online, τις προσφέρουν μετά το παραδάκι .. όταν πλέον είναι αργά. Έτσι λοιπόν, στην εγκατάσταση, έπεσε η πρώτη υπόδειξη στους διαχειριστές για να μου αλλάξουν τα php modes, και έφαγα την πρώτη κράξα. Τί να κάνεις μετά; προσπαθείς μα ζεις με αυτό/αυτούς.

Επίσης όταν εγκαταστήσατε το Elxis, δεν είδατε με κόκκινα έντονα γράμματα που σας έλεγε ότι οι τιμές των παραμέτρων της php δεν είναι ασφαλής; Το παραβλέψατε...

Οι υποδείξεις της εγκατάστασης για copy-paste στο .htaccess δεν δούλεψαν (error 500)

 

Λυπάμαι αλλά δεν θα πω περισσότερα εδώ για θέματα ασφαλείας γιατί δεν θέλω σε καμία περίπτωση να είμαι εγώ υπεύθυνος με τις όποιες συμβουλές δώσω για την ασφάλεια των site σας ενώ πρέπει να είναι άλλοι υπεύθυνοι. Αν θέλει κάποιος άλλος φίλος ας το κάνει.

Θα μπορούσες να το κάνεις αν ήθελες, έστω και private. Δεν σε αδικώ όμως, άλλωστε εδώ δεν είναι forum υποστήριξης php. Μπορεί κάποιος τουλάχιστον να μου πει πως μπορώ να αλλάξω το PHP allows openning remote files;

Θα προσπαθήσω να μην ενοχλήσω ξανά το forum με ερωτήσεις μου. Όχι οτι και στις προηγούμενες ερωτήσεις μου είχα κάποια ικανοποιητική απάντηση, τουλάχιστον να μην αισθάνομαι και βάρος.

[datahell]

php_value allow_url_fopen 0 (υπάρχει περίπτωση αυτό να σου δημιουργήσει error 500)

[ArXoS]

Όντως βγάζει error 500
Διάβασα κάπου ότι αν είναι το register globals off, δεν είναι και τόσο μεγάλη η ζημιά. Το κακό είναι να είναι συνδυασμός αυτών των 2
Αληθεύει ?

[datahell]

Το νο1 είναι το register_globals. Γιατί;

http://to_site_mou.com/index.php?option=...&mosConfig_live_site=http://www.allo_site.com/....

Το register_globals "προάγει" οποιαδήποτε μεταβλητή δηλώνεται σε "παγκόσμιο" επίπεδο. Αυτό σημαίνει πως αν δεν υπάρχει τότε δηλώνεται στο array $GLOBALS, και αν υπάρχει τότε υπερκαλύπτει την υπάρχουσα τιμή. Έτσι το παραπάνω παράδειγμα θα κάνει το elxis να νομίζει ότι το site μας είναι το http://www.allo_site.com, έτσι τόσο απλά και εύκολα, σαν να μπορεί ο οποιοσδήποτε να γράφει ότι θέλει στο configuration.php

Το Elxis δεν έχει ανάγκη το register_globals, ούτε καν την εξομοίωση (βλ. γενικές ρυθμίσεις), μπορεί άνετα να δουλεύει και χωρίς αυτά και συστήνεται έντονα να τα έχετε OFF.

Το allow_url_fopen είναι επίσης θανατηφόρο αλλά η επίδρασή του εξαρτάται και από το πόσο καλογραμμένος είναι ο κώδικας του script μας και αν ελέγχονται οι μεταβλητές πριν εισέλθουν στο script. Αυτή η παράμετρος επιτρέπει στην php να ανοίγει οποιοδήποτε αρχείο ακόμα και απομακρυσμένο σαν να βρισκόταν τοπικά στο server. Ένας χάκερ μπορεί να εκμεταλλευτεί μια αδυναμία ενός script και να εισάγει στον κώδικα του elxis ένα αρχείο αντλώντας το από ένα άλλο site. Σε ένα cms όπως το elxis που αποτελείται από μερικές χιλιάδες αρχεία και εκατοντάδες χιλιάδες γραμμές κώδικα, είναι αρκετό ένα και μόνο σημείο σε ένα αρχείο να έχει πρόβλημα για να προκληθεί γενικό πρόβλημα.

[ArXoS]

Μαλιστα … datahell, τώρα αρχίζω και καταλαβαίνω την ουσία αυτών των εντολών. Πιστευω ότι είναι πολύ χρήσιμο το συγκεκριμένο θέμα για την ασφάλεια, και ότι υπάρχουν πολλοί χρήστες που δεν είχαν καταλάβει τη λειτουργικότητα αυτών των εντολών. 

Πρέπει λοιπόν να πιεστεί πιο έντονα ο κάθε διαχειριστής server από τους πελάτες του για την σωστή τους ρύθμιση. Μου κάνει όμως εντύπωση, που όλοι οι server που έχω περάσει, έχουν σαν standard configuration τις παραπάνω ρυθμίσεις. Δεν το καταλαβαίνουν ότι εκθέτουν τους πελάτες τους; Με την εξάπλωση μάλιστα των cms όλα τα παραπάνω θα έπρεπε να είναι default off.

Προτελευταίο.
Οι εντολές των functions που είναι και αυτές λάθος, και προτείνει μάλιστα το elxis στην εγκατάσταση την επέμβαση στο htaccess (php_admin_value disable_functions "exec, system, passthru, shell_exec, suexec, dbmopen")  ούτε αυτή δουλεψε. Είναι το ίδιο κρύσιμη όπως και αυτά που προανέφερες;

...Και τελευταίο !
Αλήθεια, στην προσπάθεια μου να λειτουργήσω το defender, είδα ότι πρέπει να κατέχω κάμποσα από τα φίλτρα,  και δυστυχώς δεν τα γνωρίζω. Υπάρχει κάποιο topic για βοήθεια; Ή αναφέρονται στο βιβλίο του elxis, καθως είναι tool εκτός της διάθεσης του elxis;

Ευχαριστώ και πάλι

[datahell]

Οι εντολές που προτείνει το elxis κατά την εγκατάσταση είναι μία χαρά και καθόλου λάθος. Αν τις δεχτεί ο server σου αυτό είναι άλλο θέμα καθώς εξαρτάται από τις εκάστοτε ρυθμίσεις του apache και της php. Το κάθε πράγμα μπορεί να αλλάξει με πολλούς τρόπους. Πχ σου είπα παραπάνω για 4 τρόπους. Υπάρχουν και άλλοι αλλά δεν είναι βέβαιο πως όλοι θα δουλέψουν στο server σου. Εξαρτάται και από τις άλλες ρυθμίσεις του. Για παράδειγμα σου ανέφερα παραπάνω το AllowOverwrite του apache, αν αυτό είναι σε OFF δεν σε αφήνει να αλλάξεις τις τιμές μέσω κάποιου αρχείου htaccess και παράγει σφάλμα 500 (Internal server error).

Ο Defender αποτελεί ένα "φίλτρο απαγορευμένων λέξεων". Βάζεις όποιες λέξεις/φράσεις δεν θες να περνάνε ως εισόδοι στο elxis. Παίξε με τον defender σε μία τοπική εγκατάσταση για να τον μάθεις.

[artman]

Η αλλαγή των προκαθορισμένων ρυθμίσεων της php μπορεί να γίνει είτε με κατάλληλη εντολή στο php script ( πχ με την συνάρτηση ini_set() ), είτε μέσω ενός αρχείου .htaccess, είτε με επεξεργασία του php.ini, είτε τέλος με επεξεργασία του httpd.conf του apache. ΟΜΩΣ, ένας σωστός διαχειριστής server δεν επιτρέπει στους χρήστες να βάζουν ότι τιμές να 'ναι στις ρυθμίσεις της php για το καλό όλων. Πχ αν έχει βάλει REGISTER_GLOBALS σε OFF στο php.ini δεν σου επιτρέπει να το γυρίσεις στο ON. Αυτό ποικίλει από server σε server. Ακόμα αυτά τα δικαιώματα (υπερκάλυψης βασικών ρυθμίσεων) μπορούν να οριστούν και κατά περίπτωση/site σε ένα περιβάλλον virual host. Η παράμετρος που καθορίζει αυτό είναι η AllowOverwrite του apache. Θα πρέπει φυσικά να έχεις πρόσβαση στο httpd.conf του apache.

Στην περίπτωσή σου: Αν σε αφήνει μέσω .htaccess να αλλάξεις αυτές τις παραμέτρους μπορείς να βάλεις στο αρχείο .htaccess γραμμές όπως αυτή:

php_flag register_globals off

ή αυτή:

php_value allow_url_fopen 0 (υπάρχει περίπτωση αυτό να σου δημιουργήσει error 500)

Επειδή δεν είσαι έμπειρος χρήστης και δεν είναι και αρμοδιότητά σου να ρυθμίζεις το server (πληρώνεις ανθρώπους για αυτή τη δουλειά άλλωστε) καλύτερα είναι, αφού βεβαιωθείς πως οι τιμές των παραμέτρων είναι όπως τις ανέφερες, να απευθυνθείς στην εταιρεία που σε φιλοξενεί για να κάνει τις απαραίτητες αλλαγές ασφαλείας.

Στο site το μόνο που χρειάζεται να κάνεις είναι:  να το κρατάς ενήμερο και να μην εγκαθιστάς οτιδήποτε δεν προέρχεται από το elxis.org. Οποιοδήποτε module/component κλπ δεν είναι για το Elxis, ξήλωσέ το. Αν τέλος έχεις και άλλα script πάνω στο site σου εκτός του elxis βεβαιώσου ότι είναι ασφαλή και ότι δεν "μπήκανε" από εκεί.

Έχω Shared Hosting και δυστυχώς και με τις 2 επιλογές μου βγάζει error 500. Σε κατάσταση ON είναι το register globals από τα ανησυχητικά απ' ότι κατάλαβα.

Θέλω να ρωτήσω, αν απευθυνθώ στην εταιρία να μου το κάνει OFF, επηρεάζει αρνητικά τα υπόλοιπα sites που έχω επάνω (κάποιο με oscommerce και κάποια με html)?

Ευχαριστώ

[ArXoS]

Έχω να ρωτήσω κάτι άλλο ..
Τελικά, η εταιρία φιλοξενίας, μετά από πολλά emails, μου έβαλε το php.ini στο root
Κάνω διάφορες αλλαγές, αλλά δε βλέπω να γίνεται τίποτε .. λογικά για να πάρει τις νέες ρυθμίσεις, δε πρέπει να κάνει restart η php ? τι να πω ..

α .. και κάτι άλλο
οι εντολές disable_functions = "exec,system,passthru,shell_exec, suexec, dbmopen"   θέλουν " (αυτάκια) 'η οχι?