file Kérdés Az oldalamat elárasztásot támadáshoz használják

Több
2018 jún. 30 21:46 #1 Írta: Masooo
Sziasztok

A történet:
A szolgáltató jelzett, hogy túlterheléses támadás volt náluk, elvileg tőlem, erről mutattak egy logot is, ebből sok dolog nem derült ki számomra a log persze nem teljes, mert elvileg napokon át több száz levél ment ki az oldalon keresztül.

TÖBB dolog sem tiszta.
Elvileg ez akkor egy ddos támadás lett volna?
Ezt hogyan vitelezhették ki?
Mi az értelme és mit lehet tenni ez ellen?

A dolgaim:
A weboldal már a készültekor, 2017.jan-ban kapott:
egyedi belépési nevet (nem admin ect.) és ehhez 27 karakteres jelszót is (kis/nagy/extra/szám)
adminexile rejtést is még akkor, bonyolultat.
regisztráció nem volt, ez letiltásra került már akkor.
hírlevél küldés és feliratkozás volt ehhez gmail címet használtunk.
fölös sablonok és kiegészítők törölve lettek, csak a szűk lényeg maradt meg.

Azóta 4. hóban kellett állítani a weblapon, ennek keretében történt egy frissítés is a joomlában és a komponensek is frissítve lettek, amit lehetett.
Itt annyi érdekesség volt, hogy a frissítés közben a lap összerogyott, az admin felület viszont működésben maradt. Olyan volt, mintha a frissítés nem ment volna le rendesen, sok állítgatás sem oldotta meg a dolgot, akartam egy visszaállítást csinálni, közben a weboldal "elindult" és működik azóta is.
Ekkor más furcsa esemény nem volt.

4. hó végén pedig annyi történt még, hogy az adatvédelmi módosítások miatt részint pontosítva lett a sütik kezelése és erre való felhívás is felkerült, valamint a hírlevél kikapcsolásra került és az ajánlatkérő űrlap is, valamint felkerült egy új adatkezelési tájékoztató.

Azóta ment minden, a támadás pedig most 06. 25-28 között volt.

Amit tettem:
elolvastam a hogyn védjük oldalunkat.
mivel a zöme megvolt csak a hiányt akartam hozzátenni.
.htaccess már rég volt, de most észrevettem hogy e mellé volt egy htaccess.txt is. abban joomla szöveg van public license ect....
a .ht-ben csak annyi volt, hogy RewriteEngine On és semmi más, ez alá bemásoltam a leírásban lévő pár sort és mentetm.
a kettő lépcsős hitelestést akartam, de a link már nem jó, így a leírást nem leltem. :((((((
Marco-t felttem, de nem állítottam semmit rajta, csak engedélyeztem.
777 jogosultságot a total ftp-n keresztül nem találtam, 644 / 755 a jellemző
rákerestem arra, hogy 4.hó vége és 06.30 köztött volt e olyan fájl v mappa ami létrejött a tárhelyen, 3 ilyen volt, ebből 2 ssl hitelesítéshez köthető (well-known) egy pedig a log mappának az error.php.

Így nem értem, hogy akkor mi történt, hol a nyoma, v hol keressem.
Annyit tettem még, hogy amúgy a weblap email küldését kikapcsoltam időlegesen.
volt egy leírás, hogy log-ban meg lehet nézni, mikor mit hívtak meg a behatolók, erről lehetne részletesebben olvasni? mit hol mikor miért?

más ötlet / tanács / segítség?

köszönöm!

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2018 júl. 01 19:15 #2 Írta: Motoros
Motoros válaszolt a következő témában: Az oldalamat elárasztásot támadáshoz használják
Lerövidítve:

Az oldalon van ezek szerint valahol/valamilyen levél küldésért felelős script. Aminek védtelenségét vagy sebezhetőségét kihasználva, egy vagy több robot leveleket küldött!

A szolgáltató által adott log -> szöveges állomány, tartalmazza hogy miket (mely fájlokat) kellene megnézetned és javíttatnod...

Off. Személy szerint táblázatkezelőben szoktam importálni. Számomra abban könnyebb elemezni...

Ha nem történt nagyobb kár, valószínűleg nem hajtják be a költségeket. (Gondolok itt pl. a szerver különböző Spam listákról való levételére. Lásd.: spam lista ellenőrzés)

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2018 júl. 01 19:15 #3 Írta: Balázs
Balázs válaszolt a következő témában: Az oldalamat elárasztásot támadáshoz használják
A terheléses támadás az teljesen más: hu.wikipedia.org/wiki/Szolgáltatásmegtagadással_járó_támadás
Itt magát a log fájlt kellene átnézni, hogy milyen fájlok kerültek fel a tárhelyre.
A PHP mail() függvényt tanácsos tiltani és SMTP-t használni pontosan ilyen problémák miatt.
Gyári Joomla! htacces fájl használata javasolt, mert az nem csak egy "RewriteEngine On" sort tartalmaz.

Ha bizalmas információt szeretnél közölni az adminokkal, akkor tedd az üzeneted tartalmát a [ confidential ][ /confidential ] címkék közé (szóközök nélkül).

Joomla! tanácsadás, oktatás, fejlesztés - joomlabs.hu

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2018 júl. 01 20:27 - 2018 júl. 01 22:27 #4 Írta: Masooo
Masooo válaszolt a következő témában: Az oldalamat elárasztásot támadáshoz használják
A dolog annyival egészült ki, hogy a szolgáltatón csak keresztül halad a levelezés, mert átirányításra van álltva ott a levél részleg.
gmail cím van a levelezésre használva, azt is használták a küldözgetésre, és a szolgáltató azt írta, inkább ideillesztem:

"Úgy látjuk, hogy a leveleket a mi szerverünkön keresztül a weboldal küldi.
Az e-mail címről nagy mennyiségű levélküldés történt, amit megállított a rendszerünk és a nem kézbesített levelekről érkezett a visszapattanó levél.
Idemásolom a logban található adatokat: "

/var/log/exim_mainlog:2018-06-28 00:16:22 1fYIje-00572r-Do <= <> R=1fYHZ9-004Vsl-Sr U=mailnull P=local S=2690 T="Mail delivery failed: returning message to sender" for Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. (a saját címünk)
/var/log/exim_mainlog:2018-06-28 00:16:23 1fYIje-00572r-Do => Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. R=lookuphost T=remote_smtp H=gmail-smtp-in.l.google.com [108.127.14.57] X=TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128 CV=yes C="250 2.0.0 OK 1534137683 x1-v6si1046407wmf.202 - gsmtp"
/var/log/exim_mainlog:2018-06-28 03:49:16 cwd=/home/sajat oldal/public_html 4 args: /usr/sbin/sendmail -t -i -fxxxxxxxxxxx@gmail.com (a saját mail cím elé itt került egy "F" betű)
/var/log/exim_mainlog:2018-06-28 03:49:16 1fYM3g-006juD-MK <= Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. U=xxxxxxxx P=local S=34965 id=Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. T="Joomla! friss\365t\356s \356rhet\335\241 el a(z) cég neve.-http://cegneve.hu/ weboldalhoz." for Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.
/var/log/exim_mainlog:2018-06-28 16:56:42 cwd=/home/sajat oldal/public_html 4 args: /usr/sbin/sendmail -t -i -fxxxxxxxxxxx@gmail.com (itt is a plusz F)
/var/log/exim_mainlog:2018-06-28 16:56:42 1fYYLi-004hBr-IN <= Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. U=xxxxxxxxxx P=local S=33578 id=42acebfd9v151acc23ee3terza605527a58@ceg neve.hu T="Joomla! friss\365t\361s \361rhet\335\221 el a(z) ceg neve.-http://ceg neve.hu/ weboldalhoz." for Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.
/var/log/exim_mainlog:2018-06-29 02:18:58 cwd=/home/sajat oldal/public_html 4 args: /usr/sbin/sendmail -t -i -fxxxxxxxxxxxx@gmail.com
/var/log/exim_mainlog:2018-06-29 02:18:58 1fYh7q-00Gsbd-KL <= Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. U=xxxxxxxxxxx P=local S=3468 id=7ebc3396efa459056b42556213cb45504e@sajat oldal.hu T="Joomla! friss\365t\361s \361rhet\365\621 el a(z) sajat ceg.-http://sajat ceg.hu/ weboldalhoz." for admin email címe@citromail.hu
/var/log/exim_mainlog:2018-06-29 10:33:06 cwd=/home/sajat ceg/public_html 4 args: /usr/sbin/sendmail -t -i -fxxxxxxxxxxx@gmail.com
/var/log/exim_mainlog:2018-06-29 10:33:06 1fYoq2-042s4R-IK <= Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. U=xxxxxxxxxxxxxx P=local S=3459 id=f76caa3ed0f4ad48b0a53e8c88ef6fc26@www.sajat ceg.hu T="Joomla! friss\365t\361s \361rhet\365\621 el a(z) sajat ceg.-https://www.sajat ceg.hu/ weboldalhoz." for Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.

Ennyit küldtek át.

Ezt pedig közölték még hozzá.
Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. emailről jöttek a levelek (napi több száz, 3 napon keresztül)

Eddig mivel nem válaszoltak még, nem tudok mondani többet sokkal ennél :(

friss: találtam nyomát a spammelésnek, mégpedig az ftp szerver mail mappájában a dovecot.index majd 1,8mb cache fájlban. látni milyen címre és azt is, milyen témában mentek emailek. A tárolt leveleket is megleltem persze nem teljesben itt a mail mappában 409 megányit, ezeket töröltem az ftpről, de lementettem magamhoz, az avast 5 vrust jelzett.

még annyi amit most láttam:

tegnap kikapcsoltam a joomla levelezést a beállításokban, töröltem a cimet is az aktuális mezőből, most beléptem és látom, hogy engedélyezve van a levélküldés és a tömeges levelek sincsenek tiltva, php mail-re állítva.
Erről van leírás, hogy ezt a függvényt hogyan lehet tiltani?

töröltem a .htaccess 1 soros fájlt
a htaccess.txt-t átneveztem .htaccessre, az eredmény annyi lett, hogy 500 internal server error lapra is és admin felületre is.
visszaneveztem txt-re és megy minden. Ez is támadás miatt lenne? vagy mi a gond?

ezt cpanelben leltem
[Sun Jul 01 21:05:06.6400 2018] [core:alert] [pid 2264:tid 14046002480] [client 145.251.163.16:590] /home/sajat oldal/public_html/.htaccess: Invalid command 'Begin', perhaps misspelled or defined by a module not included in the server configuration, referer: http://sajat oldal.hu/
Utolsó szerkesztés: 2018 júl. 01 22:27 Masooo által.

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2018 júl. 02 21:38 #5 Írta: Motoros
Motoros válaszolt a következő témában: Az oldalamat elárasztásot támadáshoz használják
Hiába ísmételgeted a problémádat, illeszted be a levelezést. Hozzáértőknek elsőre is érthető volt!

Tekintve hogy a korábbi írásokból szemmel láthatóan csekély rész, vagy semmi nem ment át:

Mi az a log fájl?
A log fájl, olyan naplófájl, ami a szerveren futó folyamatokat, az azok által generált hibaüzeneteket, a hálózaton bejövő és kimenő adatokat naplózza, tehát egy nyomkövetésére szolgáló szöveges állomány.

A naplófájlok segítenek nyomon követni a látogatottságot. Nagy terhelés, gyanús folyamatok esetén a naplófájl segít azonosítani
  • a kártékony látogató IP címét (Ami általában már megtört, bitorolt honlapot. Vagy elite proxyt takar)
  • A weboldal fejlesztőnek fertőzés, hackelés esetén ezekben a logokban kell nézelődni, honnan jött a támadás, és milyen biztonsági rést használtak ki
  • ...
.

Hol, hogyan tudom megnézni, megnyitni?

Amennyiben a cégnek van stratégiája és célja a weboldallal. Úgy 7.000 Forintos konzultációs óradíjjal Skypen keresztül folytassuk a csevegést 18:00-21:00 között...

Tovább is van, mondjam még?!

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2018 júl. 03 11:25 - 2018 júl. 03 17:48 #6 Írta: Masooo
Masooo válaszolt a következő témában: Az oldalamat elárasztásot támadáshoz használják
:)

Tudod nem ismételgettem a problémát, pontosítottam, körülírtam, és felvetettem egy újat is.
Tekintve, hogy ez elkerülte figyelmedet, csak pontosítottam, most is, épp mint akkor.

MI ENNEK AZ OKA?

Tudod itt nem mindenki dolgozik webfejlesztőként / rendszergazdaként/ it szakemberként, de sokan láttak már, elég sok dolgot, és a tapasztalataik alapján sokszor el lehet indulni a megfelelő irányba. Valahol ez a lényege a fórumnak is, tapasztalatok megosztása, segítségek adása, ilyesmik. Ehhez pedig nem árt körülírni a problémát részletesen és a sok részletből kialakuló megoldás végül tanulságos lehet másoknak is.

A naplót pedig kiértem már a hétvégén, de sajnos emeddig még nem kaptam meg, átlagosan 3-4 nap szokott lenni az ügyintézési idő, így ismételten kérni, csak holnap fogok.

Amúgy a probléma megoldásra került időközben.

up: a naplókat megkaptam, 2017 közepéig :)

Azért köszi
Utolsó szerkesztés: 2018 júl. 03 17:48 Masooo által.

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2018 júl. 03 11:54 #7 Írta: Balázs
Balázs válaszolt a következő témában: Az oldalamat elárasztásot támadáshoz használják
A lényeg, hogy nincs feltörhetetlen oldal. Az ok nagyon sokféle dologból származhat, mint például: későn frissített alaprendszer, nem frissíthető bővítmények, kiszivárgott, gyenge FTP jelszó, vírustámadás, rosszul konfigurált osztott tárhely (valaki más webhelyét törték fel és hozzád is átjutottak) stb, stb.
Az SMTP-n kívüli levelezést érdemes tiltani alapesetben a szolgáltató hoszting paneljéből és vmilyen titkosított protokollt használni a levelezéshez. Ha vmi gyanus tevékenységet észlelsz érdemes átnézni a log fájlokat, hogy milyen fájlok kerültek fel a tárhelyre.

Ha bizalmas információt szeretnél közölni az adminokkal, akkor tedd az üzeneted tartalmát a [ confidential ][ /confidential ] címkék közé (szóközök nélkül).

Joomla! tanácsadás, oktatás, fejlesztés - joomlabs.hu
A következő felhasználók mondtak köszönetet: Masooo

Jelentkezz be, hogy te is részt vehess beszélgetésben!