W ostatnim czasie wręcz niewiarygodnie duża jest aktywność hackerów z Turcji: nie tak dawno włamali się na francuską stronę Microsoftu, zhackowali wiele innych dużych stron, ale ciągle im mało. Wczoraj, około godziny 22 dopadli także naszą stronę – Wudeka! Choć sam skrypt jest przez wielu uznawany za najbezpieczniejszy, to jeden z komponentów okazał się mieć poważną lukę, przez którą nastąpił atak.
Komponent forum o nazwie Simpleboard posiada bardzo poważną, do dziś nie załataną dziurę: mowa tu o funkcjach wysyłania przez użytkownika plików i obrazków na serwer, jako załącznik do postu. Oddzielnie za upload obrazka i upload pliku odpowiadają dwa różne, niwielkich rozmiwarów pliki, i właśnie one są tym słabym ogniwem stron opartych na Joomla lub Mambo. Atakujacy uruchamia te pliki i za ich pomocą ładuje na serwer backdoora, plik, który zapewnia mu swobodny dostęp do zawartości serwera. Tak tez stało się w przypadku wczorajszego ataku na naszą stronę.Siedziałem wieczorkiem i studiowałem jakieś teksty naukowe, kiedy napisał do mnie Draqu, że coś się ze stroną stało. Zdziwiłem się, zajrzałem i zobaczyłem podmienioną stronę główną. Wystraszyłem się, bo po pierwsze nie wiedziałem, czy tylko ten jeden plik został podmieniony czy może ten plik jest teraz jedynym plikiem na naszym serwerze… Szybko połączyłem się z serwerem i odetchnąłem z ulgą: wszystko było na swoim miejscu :) Odszukałem na swoim komputerze kopię strony ściągniętą kiedyś z serwera i przywróciłem stronę startową. Byłem zdenerwowany tym włamem i w rozmowie z Draqu’iem nie byłem zbyt uprzejmy… Sorry Draqu!
Gdy już strona działała zacząłem się zastanawiać, jak do tego doszło? O hackingiu niewiele wiem. Na dobry początek postanowiłem zajrzeć do logów serwera (dokładny zapis calutkiego ruchu na stronie). Strasznie dużo tego uzbierało sie przez cały dzień, ale w końcu znalazłem interesujący mnie fragment zapisu i zacząłem go studiować. I gdybym nie pamiętał dokładnie struktury plików i katalogów naszej strony, to pewnie bym to przeoczył, ale na szczęście tak się nie stało i szybko doszedłem do tego, w jaki sposób atakujący uzyskał dostęp do serwera. Z łatwością odnalazłem też pliki, które sobie wgrał na mój serwer i zanim je usunąłem, sprawdziłem, do czego mu są potrzebne: szok! Uruchomiłem pewien plik wgrany podczas włamu i zobaczyłem całą zawartość swojego serwera, które nie strzegło nawet najgłupsze hasełko. Po prostu: droga do serwera stała otworem.
Czym prędzej wywaliłem ten plik i zacząłem szukać innych wgranych podczas włamu, ale szybko dałem sobie z tym spokój: musiałbym przekopać tysiące plików, a w takiej ilości najłatwiej przeoczyć coś, kiedy nie zna się na pamięć każdego pliku z nazwy. Napisałem do administratora naszego serwera, aby przywrócił kopię zapasową naszej strony, czyli usunął calutką stronę i w jej miejsce wgrał to, co było niecałą dobę temu :) Miałem pewność, że żadnego syfu na serwerze już nie ma.
Postanowiłem zaktualizować stronę, ale co to da, skoro to nie wina skryptu strony, tylko dodatku do niej? W ruch poszła wyszukiwarka Google: nie znalazłem od razu tego, czego szukałem, ale powoli jak po sznurku znalazłem informację i już wiedziałem dokładnie na czym sprawa polega. Przy okazji trafiłem na kilka osób, którym także tej nocy przytrafiło się dokładnie to samo co nam: włamanie przez ten sam komponent. Szlag by to trafił! Pisało na jednej polskiej stronie o tym, że to forum ma luki zagrażające bezpieczeństwu, była nawet łatka, ale dotyczyła innej luki! Dalej uparcie szukałem, aż wreszcie olałem polskie serwisy i zacząłem szukać po całym świecie.
Na jednej z anglojęzycznych stron znalazłem trop, który zaprowadził mnie do obszernych informacji na temat tej luki, o którą mi chodziło. Zaczytałem sie myśląc jednocześnie nad rozwiązaniem problemu, bo łatek na ciągle nie ma, a na serwer wgrywała się już nowa wersja skryptu. Gdy już wszystkie pliki wgrały się na serwer, włączyłem stronę, ale powitały mnie błędy, których rozwiązanie kończyło sie nowymi :/ “Na chama” usunąłem feralne funkcje ładowania plików i obrazków do postów na naszym forum i poszedłem cos zjeść.
Najadłem się i na nowo wgrywam starsza wersję, która akurat sama w sobie nie ma takich dziur, jak to forum. Trochę to potrwa, zanim się to wszystko wgra na serwer: korzystam z czasu i piszę tego niusa ;-) Gdy się załaduje, znowu będę musiał poustawiać i poprawić to, co się podczas aktualizacji uszkodziło, ale powinno pójść gładko… Najgorsze w tym wszystkim jest to, że chce mi się zajebiście spać, bo to już druga z rzędu zarwana noc :(
Mimo wszystko nadal jestem niespokojny: czy pozbycie sie tej feralnej funkcji zapewni większe bezpieczeństwo? Najchętniej wymieniłbym to obecne forum na inne, które miałem pierwotnie instalować, ale ostatecznie zdecydowałem się na to obecne, bo lepiej się ze stroną komponuje. Ale raczej to forum zostanie – przynajmniej na razie. Już raz zmieniałem forum i musiałem cierpieć z powodów około półtora tysiąca postów, który sie zmarnowały: teraz byłaby powtórka z rozrywki: tak samo wszystkie posty poszłyby na straty :/ Ale jeśli okaże się, że wciąż istnieje zagrożenie kolejnym włamem, to będzie trzeba się pożegnać z forum i albo zrezygnować z dyskusji całkiem, albo zainstalować nowe i budować jego zawartość na nowo…
Gdy koło piątej nad ranem konfigurowałem zaktualizowaną stronę, coś mi sie nie podobała praca serwera na plikach w katalogu, w którym jest strona Wudeka. Moja prywatna śmigała jak zawsze, a tamta zacinała sie, wieszała, albo muliła jak nigdy. Znowu zajrzałem do logów i zobaczyłem to, czego zobaczyć nie chciałem: te skurwysyny znowu cos majstrowały: a w zasadzie nie coś, ale to samo, co poprzednio… ;/ Szybko poblokowałem wszystkie IP, z których przeprowadzany był atak i śledziłem to, co sie dzieje. Na szczęście ten ktoś odpuścił… ale na jak długo? To się okaże ;]
Wszedłem też na stronę tej grupy Turków, którzy się włamali na naszą stronę. Na ich stronie były na bieżąco aktualizowane informacje o kolejnych dokonanych włamaniach. W ciągu tej nocy dokonali w przybliżeniu 700-900 ataków na strony z całego świata, wszędzie podmieniając strony startowe. Naszej strony na tej liście nie było, pewnie przez to, że niemal natychmiast postwaiłem ją na nogi po ataku i uniemożliwiłem kolejne, za to na tej liscie znalazły sie strony róznych firm, instytucji, banków i stacji telewizyjnych z całego świata! Mimo, że byłem w pochmurnym nastroju, to dojrzałem ten jeden pozytywny promyk słońca: byle jakich stron nie atakowali, czyli nasza także uznali za nie byle jaką :D Zawsze to jakaś pociecha ;-)
no moja tez zhackowali :/ chyba bedzie trzeba teraz sie wziac za strone Turków :x
no ciekawe by to bylo, bo ich strona tez dziala na Joomla, ale chyba nie ma forum opartego na SB a poza tym nie sa chyba kretynami, aby znajacdziuri nie łatac ich jakos ;-) Chociaz nie patrzylem jakie komponny maja, tylko czytalem adresy stron, ktore zhackowali – imponujaca lista domen…
Szuman a moze dasz link do tej hakerskiej strony?? :)
Moją stronę tez shakowali :(
ja wlasnie ogarniam swoj serwis po ataku :[ oj szaleja szaleja
Dzis tj. 12 maja 2007 moje kilka stron także shakowali Turcy.
czy ktoś wie jak sięzabezpieczyć przed takimi atakami ? proszę o info na: arcikowski@o2.pl
Moją stronę też zaatakowali.Nie ma niej forum, tylko marketplace i sobi.. Jak sobie z nimi poradzić?
@eszej
pierwsze, co zrób, to przywróć plik configuration.php i index.php z kopii zapasowej (w koncu strona musi dzialac). Zaloze sie, ze na Twoim serwerze jest wlaczona funkcja Register_Globals (powinna byc wyłączona, by uniemozliwic wywoływanie zmiennych odnoszacych sie do zewnetrznych serwerow.) Wylaczenie Register-Globals to podstawa – poproś o to administratora Twojego hostingu. Po ataku zaleca sie tez, aby usunac cala zawartosc serwera (pliki) i przywrocic z kopii zapasowej.
Nie pomaga
a co dokładnie zrobiłaś, że nie pomaga? przywróciłaś z kopii plik index.php i configuration.php?
Usunęłam z serwera wszystkie pliki php z katalogu www i wgrałam orginalne joomli
a próbowałaś usunąć katalog /memo ? Bo do niego przkierowuje z twojego adresu. Ewentualnie wgraj na nowo zawartość katalogu /include.
W memo był nowy index.Wywaliłam memo i całkiem się napsociło. W includes nie ma nowych plików.
czasem podmieniane są też pliki z /includes (osobiscie spotkałem się z podmianą pliku joomla.php). Najlepiej wgraj sobie na spokojnie cala kopie bezpieczenstwa: wszystkie katalogi i pliki i powinno pójść. Baza powinna być niektnięta – te ataki sa z reguly takie same i najczesciej jest to podmiana pliku konfiguracyjnego i index
Eszej, wszedlem teraz na Twoja strone i wygląda na to, że nie wgrałaś pliku konfiguracyjnego (configuration.php) bo przekierowuje do instalatora, który, rzecz jasna, jest usunięty. Sprawdź to :)
widzę, że wrzuciłaś configuration.php, ale w wersji po ataku. Jeśli nie posiadasz prawidłowego configuration.php, to możesz skorzystać ze wzoru tego pliku – configuration.php-dist – jest to taki awaryjny szablon, w którym zmienne musisz wypełnić danymi. Jeżeli chcesz, to podeślij mi na pocztę (szuman[małpa]wudeka.net) Twój plik configuration.php, to poprawię go.
Niestety nie mam tego pliku, chyba go usunęłam ,jest configuration.php-dist.
damy radę. Sprawdź pocztę