Tureccy hackerzy szaleją...

W ostatnim czasie wręcz niewiarygodnie duża jest aktywność hackerów z Turcji: nie tak dawno włamali się na francuską stronę Microsoftu, zhackowali wiele innych dużych stron, ale ciągle im mało. Wczoraj, około godziny 22 dopadli także naszą stronę – Wudeka! Choć sam skrypt jest przez wielu uznawany za najbezpieczniejszy, to jeden z komponentów okazał się mieć poważną lukę, przez którą nastąpił atak.
Komponent forum o nazwie Simpleboard posiada bardzo poważną, do dziś nie załataną dziurę: mowa tu o funkcjach wysyłania przez użytkownika plików i obrazków na serwer, jako załącznik do postu. Oddzielnie za upload obrazka i upload pliku odpowiadają dwa różne, niwielkich rozmiwarów pliki, i właśnie one są tym słabym ogniwem stron opartych na Joomla lub Mambo. Atakujacy uruchamia te pliki i za ich pomocą ładuje na serwer backdoora, plik, który zapewnia mu swobodny dostęp do zawartości serwera. Tak tez stało się w przypadku wczorajszego ataku na naszą stronę.Siedziałem wieczorkiem i studiowałem jakieś teksty naukowe, kiedy napisał do mnie Draqu, że coś się ze stroną stało. Zdziwiłem się, zajrzałem i zobaczyłem podmienioną stronę główną. Wystraszyłem się, bo po pierwsze nie wiedziałem, czy tylko ten jeden plik został podmieniony czy może ten plik jest teraz jedynym plikiem na naszym serwerze… Szybko połączyłem się z serwerem i odetchnąłem z ulgą: wszystko było na swoim miejscu :) Odszukałem na swoim komputerze kopię strony ściągniętą kiedyś z serwera i przywróciłem stronę startową. Byłem zdenerwowany tym włamem i w rozmowie z Draqu’iem nie byłem zbyt uprzejmy… Sorry Draqu!

Gdy już strona działała zacząłem się zastanawiać, jak do tego doszło? O hackingiu niewiele wiem. Na dobry początek postanowiłem zajrzeć do logów serwera (dokładny zapis calutkiego ruchu na stronie). Strasznie dużo tego uzbierało sie przez cały dzień, ale w końcu znalazłem interesujący mnie fragment zapisu i zacząłem go studiować. I gdybym nie pamiętał dokładnie struktury plików i katalogów naszej strony, to pewnie bym to przeoczył, ale na szczęście tak się nie stało i szybko doszedłem do tego, w jaki sposób atakujący uzyskał dostęp do serwera. Z łatwością odnalazłem też pliki, które sobie wgrał na mój serwer i zanim je usunąłem, sprawdziłem, do czego mu są potrzebne: szok! Uruchomiłem pewien plik wgrany podczas włamu i zobaczyłem całą zawartość swojego serwera, które nie strzegło nawet najgłupsze hasełko. Po prostu: droga do serwera stała otworem.

Czym prędzej wywaliłem ten plik i zacząłem szukać innych wgranych podczas włamu, ale szybko dałem sobie z tym spokój: musiałbym przekopać tysiące plików, a w takiej ilości najłatwiej przeoczyć coś, kiedy nie zna się na pamięć każdego pliku z nazwy. Napisałem do administratora naszego serwera, aby przywrócił kopię zapasową naszej strony, czyli usunął calutką stronę i w jej miejsce wgrał to, co było niecałą dobę temu :) Miałem pewność, że żadnego syfu na serwerze już nie ma.

Postanowiłem zaktualizować stronę, ale co to da, skoro to nie wina skryptu strony, tylko dodatku do niej? W ruch poszła wyszukiwarka Google: nie znalazłem od razu tego, czego szukałem, ale powoli jak po sznurku znalazłem informację i już wiedziałem dokładnie na czym sprawa polega. Przy okazji trafiłem na kilka osób, którym także tej nocy przytrafiło się dokładnie to samo co nam: włamanie przez ten sam komponent. Szlag by to trafił! Pisało na jednej polskiej stronie o tym, że to forum ma luki zagrażające bezpieczeństwu, była nawet łatka, ale dotyczyła innej luki! Dalej uparcie szukałem, aż wreszcie olałem polskie serwisy i zacząłem szukać po całym świecie.

Na jednej z anglojęzycznych stron znalazłem trop, który zaprowadził mnie do obszernych informacji na temat tej luki, o którą mi chodziło. Zaczytałem sie myśląc jednocześnie nad rozwiązaniem problemu, bo łatek na ciągle nie ma, a na serwer wgrywała się już nowa wersja skryptu. Gdy już wszystkie pliki wgrały się na serwer, włączyłem stronę, ale powitały mnie błędy, których rozwiązanie kończyło sie nowymi :/ “Na chama” usunąłem feralne funkcje ładowania plików i obrazków do postów na naszym forum i poszedłem cos zjeść.

Najadłem się i na nowo wgrywam starsza wersję, która akurat sama w sobie nie ma takich dziur, jak to forum. Trochę to potrwa, zanim się to wszystko wgra na serwer: korzystam z czasu i piszę tego niusa ;-) Gdy się załaduje, znowu będę musiał poustawiać i poprawić to, co się podczas aktualizacji uszkodziło, ale powinno pójść gładko… Najgorsze w tym wszystkim jest to, że chce mi się zajebiście spać, bo to już druga z rzędu zarwana noc :(

Mimo wszystko nadal jestem niespokojny: czy pozbycie sie tej feralnej funkcji zapewni większe bezpieczeństwo? Najchętniej wymieniłbym to obecne forum na inne, które miałem pierwotnie instalować, ale ostatecznie zdecydowałem się na to obecne, bo lepiej się ze stroną komponuje. Ale raczej to forum zostanie – przynajmniej na razie. Już raz zmieniałem forum i musiałem cierpieć z powodów około półtora tysiąca postów, który sie zmarnowały: teraz byłaby powtórka z rozrywki: tak samo wszystkie posty poszłyby na straty :/ Ale jeśli okaże się, że wciąż istnieje zagrożenie kolejnym włamem, to będzie trzeba się pożegnać z forum i albo zrezygnować z dyskusji całkiem, albo zainstalować nowe i budować jego zawartość na nowo…

Gdy koło piątej nad ranem konfigurowałem zaktualizowaną stronę, coś mi sie nie podobała praca serwera na plikach w katalogu, w którym jest strona Wudeka. Moja prywatna śmigała jak zawsze, a tamta zacinała sie, wieszała, albo muliła jak nigdy. Znowu zajrzałem do logów i zobaczyłem to, czego zobaczyć nie chciałem: te skurwysyny znowu cos majstrowały: a w zasadzie nie coś, ale to samo, co poprzednio… ;/ Szybko poblokowałem wszystkie IP, z których przeprowadzany był atak i śledziłem to, co sie dzieje. Na szczęście ten ktoś odpuścił… ale na jak długo? To się okaże ;]

Wszedłem też na stronę tej grupy Turków, którzy się włamali na naszą stronę. Na ich stronie były na bieżąco aktualizowane informacje o kolejnych dokonanych włamaniach. W ciągu tej nocy dokonali w przybliżeniu 700-900 ataków na strony z całego świata, wszędzie podmieniając strony startowe. Naszej strony na tej liście nie było, pewnie przez to, że niemal natychmiast postwaiłem ją na nogi po ataku i uniemożliwiłem kolejne, za to na tej liscie znalazły sie strony róznych firm, instytucji, banków i stacji telewizyjnych z całego świata! Mimo, że byłem w pochmurnym nastroju, to dojrzałem ten jeden pozytywny promyk słońca: byle jakich stron nie atakowali, czyli nasza także uznali za nie byle jaką :D Zawsze to jakaś pociecha ;-)

Subskrybcja
Powiadom o
guest
17 komentarzy
Wbudowane komentarze zwrotne
Pokaż wszystkie komentarze
dOlek

no moja tez zhackowali :/ chyba bedzie trzeba teraz sie wziac za strone Turków :x

szuman

no ciekawe by to bylo, bo ich strona tez dziala na Joomla, ale chyba nie ma forum opartego na SB a poza tym nie sa chyba kretynami, aby znajacdziuri nie łatac ich jakos ;-) Chociaz nie patrzylem jakie komponny maja, tylko czytalem adresy stron, ktore zhackowali – imponujaca lista domen…

paolo

Szuman a moze dasz link do tej hakerskiej strony?? :)

Fisher

Moją stronę tez shakowali :(
ja wlasnie ogarniam swoj serwis po ataku :[ oj szaleja szaleja

Arek

Dzis tj. 12 maja 2007 moje kilka stron także shakowali Turcy.

czy ktoś wie jak sięzabezpieczyć przed takimi atakami ? proszę o info na: arcikowski@o2.pl

eszej

Moją stronę też zaatakowali.Nie ma niej forum, tylko marketplace i sobi.. Jak sobie z nimi poradzić?

szuman

@eszej
pierwsze, co zrób, to przywróć plik configuration.php i index.php z kopii zapasowej (w koncu strona musi dzialac). Zaloze sie, ze na Twoim serwerze jest wlaczona funkcja Register_Globals (powinna byc wyłączona, by uniemozliwic wywoływanie zmiennych odnoszacych sie do zewnetrznych serwerow.) Wylaczenie Register-Globals to podstawa – poproś o to administratora Twojego hostingu. Po ataku zaleca sie tez, aby usunac cala zawartosc serwera (pliki) i przywrocic z kopii zapasowej.

eszej

Nie pomaga

szuman

a co dokładnie zrobiłaś, że nie pomaga? przywróciłaś z kopii plik index.php i configuration.php?

eszej

Usunęłam z serwera wszystkie pliki php z katalogu www i wgrałam orginalne joomli

szuman

a próbowałaś usunąć katalog /memo ? Bo do niego przkierowuje z twojego adresu. Ewentualnie wgraj na nowo zawartość katalogu /include.

eszej

W memo był nowy index.Wywaliłam memo i całkiem się napsociło. W includes nie ma nowych plików.

szuman

czasem podmieniane są też pliki z /includes (osobiscie spotkałem się z podmianą pliku joomla.php). Najlepiej wgraj sobie na spokojnie cala kopie bezpieczenstwa: wszystkie katalogi i pliki i powinno pójść. Baza powinna być niektnięta – te ataki sa z reguly takie same i najczesciej jest to podmiana pliku konfiguracyjnego i index

szuman

Eszej, wszedlem teraz na Twoja strone i wygląda na to, że nie wgrałaś pliku konfiguracyjnego (configuration.php) bo przekierowuje do instalatora, który, rzecz jasna, jest usunięty. Sprawdź to :)

szuman

widzę, że wrzuciłaś configuration.php, ale w wersji po ataku. Jeśli nie posiadasz prawidłowego configuration.php, to możesz skorzystać ze wzoru tego pliku – configuration.php-dist – jest to taki awaryjny szablon, w którym zmienne musisz wypełnić danymi. Jeżeli chcesz, to podeślij mi na pocztę (szuman[małpa]wudeka.net) Twój plik configuration.php, to poprawię go.

eszej

Niestety nie mam tego pliku, chyba go usunęłam ,jest configuration.php-dist.

szuman

damy radę. Sprawdź pocztę