exclamation-circle Cégünk hivatalos oldalát is támadás érte...

Több
2012 nov. 25 22:50 - 2012 nov. 25 22:51 #11 Írta: Balázs
Balázs válaszolt a következő témában: Cégünk hivatalos oldalát is támadás érte...
Az lenne az elsődleges cél, hogy nehezítsük meg a támadónk dolgát és ne tegyük nyíltá, hogy milyen rendszert is használunk. Ebből következik, hogy ha a támadó már rájött, hogy Joomla a rendszerrel áll szemben, akkor valószínűleg nem fog már Drupal-os módszereket alkalmazni.

Ha bizalmas információt szeretnél közölni az adminokkal, akkor tedd az üzeneted tartalmát a [ confidential ][ /confidential ] címkék közé (szóközök nélkül).

Joomla! tanácsadás, oktatás, fejlesztés - joomlabs.hu
Utolsó szerkesztés: 2012 nov. 25 22:51 Balázs által.

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2012 nov. 25 23:25 #12 Írta: coilevi
coilevi válaszolt a következő témában: Cégünk hivatalos oldalát is támadás érte...
Na ez az, hogy szerintem nem nehezítjük meg a dolgát a generator tag törlésével, mert máshogy is beazonosítható, és egy programnak ez egy ezredmásodperc gondolom.

Ráadásul ha azt mondjuk, hogy a három nagy CMS korábbi verzióinál van mondjuk 1000 módja az alaprendszerek feltörésének, meg néhány tízezer a sebezhető bővítményeknek, akkor gondolom még mindig csak néhány másodpercbe telik lefuttatni egy programot, ami egymás után lecsekkolja az összes lehetőséget egy adott honlapon.

Aki 2.5-öt használ és szokta nézni az Átirányítás komponens által gyűjtött linkeket, az tudja, hogy mennyi mindennel próbálkoznak folyamatosan egyes oldalaknál. Ezek között vannak Joomlás és nem Joomlás próbálgatások is. Szerintem nem nehezítjük meg a dolgukat azzal, ha le kell futtatniuk a nem-Joomlás próbákat. És: a Joomlás próbák is csak akkor lesznek sikeresek (már az ő részükről), ha valami nem stimmel az adott rendszernél...

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2012 nov. 26 13:51 #13 Írta: Balázs
Balázs válaszolt a következő témában: Cégünk hivatalos oldalát is támadás érte...
Én más szemszögből közelíteném meg. Ha én felszeretnék törni egy weblapot, akkor én alapból a joomla meta generator tag-et keresném, mert akinél bent van, az valószínűleg arra se vette a fáradságot, hogy eltüntesse, nem hogy frissítse az oldalát.

Ha bizalmas információt szeretnél közölni az adminokkal, akkor tedd az üzeneted tartalmát a [ confidential ][ /confidential ] címkék közé (szóközök nélkül).

Joomla! tanácsadás, oktatás, fejlesztés - joomlabs.hu

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2012 nov. 26 16:00 #14 Írta: coilevi
coilevi válaszolt a következő témában: Cégünk hivatalos oldalát is támadás érte...
Na ez az, hogy itt, ezen az oldalon pl. - most legalábbis - látszódik a generator tag, gondolom próbálkoznak is rendesen a robotok (lásd pl. Átirányítás komponens), "valamiért" mégsem tudják feltörni... ;)

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2012 nov. 26 18:28 - 2012 nov. 26 19:05 #15 Írta: Zotius
Zotius válaszolt a következő témában: Cégünk hivatalos oldalát is támadás érte...

coilevi írta: Na ez az, hogy szerintem nem nehezítjük meg a dolgát a generator tag törlésével, mert máshogy is beazonosítható, és egy programnak ez egy ezredmásodperc gondolom.
...
Aki 2.5-öt használ és szokta nézni az Átirányítás komponens által gyűjtött linkeket, az tudja, hogy mennyi mindennel próbálkoznak folyamatosan egyes oldalaknál.


Ez a generator-tag eltüntetés valóban nem egy "nagy durranás"...
Most, e hozzászólásaitok nyomán belenéztem az átirányítás kezelő által rögzített adatokba. Kismillió bejegyzés van (egészen pontosan: 2012-11-24-én 200 db!), mely a verticalpigeon.com-tól származik. Ez egy crawler oldal, kifejezetten Joomlás oldalak keresésére. Oldalaim headeréből a generator tag-et eltávolítottam (byebyegenerator), de lássatok csodát: a Vertical Pigeon mégis egyből felismerte, hogy az oldalt a Joomla hajtja...

Akkor meg mire jó ez a ByeByeGenerator?

Különben is: a téma címében szereplő támadás nagyon f*szán belekotort az SQL adatbázisba, átírta a felhasználóneveket és jelszavakat. Szerencse, hogy oldalaink nem estek úgy áldozatul a támadásnak, mint a joomla.org.hu.
Az SQL injekcióhoz valahogy máshogy sikerült eljutnia a támadónak. Ha tudnám hogyan, talán az ellenszerre is tudnék megoldást, de a hekkelés nem az én műfajom.

Ha hasznos volt a hozzászólásom számodra, nyugodtan megnyomhatod lent a „Köszönet” gombot :)
Skype: zotius
Utolsó szerkesztés: 2012 nov. 26 19:05 Zotius által.

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2012 nov. 26 18:46 - 2012 nov. 26 18:49 #16 Írta: Zotius
Zotius válaszolt a következő témában: Cégünk hivatalos oldalát is támadás érte...

Balázs írta: Biztonsági alapok:

1. Rendszeres biztonsági másolat készítése (Akeeba)
2. Legfrissebb Joomla verzió használata. (Az alaprendszer figyelmeztet minket)
3. Legfrissebb Joomla bővítmények használata. (Az alaprendszer figyelmeztet minket)
4. Megbízható bővítmények használata (Felejtsük el az illegális forrásokat)
5. Ne hasznájuk Super User-ként az admin felhasználói nevet.
6. Super User felhasználó kódja minimum 8 karakter legyen kis -és nagybetű, szám kombináció megadásával
7. Rejtsük el CMS rendszerünk típusát.
a, Joomla meta tag tiltása. (ByeByeGenerator)
b, Modulpozíciók megjelenítésének (tp=1) tiltása.(Alapesetben tiltva van)
c, Adminisztrátori oldal elérésének megváltoztatása (AdminExile)


Észrevételeim, szám szerint:
1.) Telepítése hamarosan...
2.) Értelemszerűen működik a frissítés.
3.) Értelemszerűen működik a frissítés.
4.) Naná... Előbb jól megnézem a cuccost a JED-en, mielőtt letölteném és telepíteném. Ha netán valami vacakba botlok (eddig talán 2× volt ilyen - a minőség hamar kiderül), azonnal leszedem és dobom a kukába.
5.) Ennyi eszem van, természetesen nem azt használom.
6.) Ha a jelszóra gondolsz, az bőven jó. Ha username-re, akkor itt esetleg lehetne javítanom a biztonságon.
7.) Megtettem:
a) Megtörtént.
b) Megtörtént, bár nem értem, hogy a modulpozíciókkal milyen fontos információkhoz jut a hackerjelölt
c) Megtörtént, telepítettem. Sőt! az ?adminexile paraméter stzövegét is egyedire változtattam :)

Ahogy coilevi hsz-ére válaszolva jeleztem, itt csak megismétlem: a verticalpigeon.com így is, mindezek ellenére tudja, hogy az oldalam joomlás... :( A hackernek is elég csak néhány url-t bepötyögnie a verticalpigeon.com oldalon az űrlapmezőbe, máris megkapja a hekkelhető helyek adatait...

Ha hasznos volt a hozzászólásom számodra, nyugodtan megnyomhatod lent a „Köszönet” gombot :)
Skype: zotius
Utolsó szerkesztés: 2012 nov. 26 18:49 Zotius által.

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2012 nov. 27 00:20 #17 Írta: Isodius
Isodius válaszolt a következő témában: Cégünk hivatalos oldalát is támadás érte...
Az AdminExil nálam is abszolút egyedi, de ebben az esetben nem sokat ért.

Számomra az a legérdekesebb, hogy 2 oldalam van, de csak az egyiket törték fel, pedig a másik a feltört oldal aldomainjaként működik, ráadásul ugyanazzal a felhasználónév/jelszó párossal, ugyanolyan Joomla verzióval, kiegészítőkkel és beállításokkal, de külön adatbázissal.

Most már én is nagyon kíváncsi lennék, hogy hogyan jutottak be az adatbázisba, és miért csak az egyikbe?

Jelentkezz be, hogy te is részt vehess beszélgetésben!

Több
2012 nov. 27 00:58 #18 Írta: Balázs
Balázs válaszolt a következő témában: Cégünk hivatalos oldalát is támadás érte...
Az AdminExil is csak bizonyos támadási típusoknál segíthet, de csak segíthet. Nincsen 100%-os védelem.

Ha bizalmas információt szeretnél közölni az adminokkal, akkor tedd az üzeneted tartalmát a [ confidential ][ /confidential ] címkék közé (szóközök nélkül).

Joomla! tanácsadás, oktatás, fejlesztés - joomlabs.hu

Jelentkezz be, hogy te is részt vehess beszélgetésben!