- Hozzászólások: 5
- Köszönetek: 0
Az oldalamat elárasztásot támadáshoz használják
2018 jún. 30 21:46 #1 Írta: Masooo
Az oldalamat elárasztásot támadáshoz használják téma létrehozva Masooo által
Sziasztok
A történet:
A szolgáltató jelzett, hogy túlterheléses támadás volt náluk, elvileg tőlem, erről mutattak egy logot is, ebből sok dolog nem derült ki számomra a log persze nem teljes, mert elvileg napokon át több száz levél ment ki az oldalon keresztül.
TÖBB dolog sem tiszta.
Elvileg ez akkor egy ddos támadás lett volna?
Ezt hogyan vitelezhették ki?
Mi az értelme és mit lehet tenni ez ellen?
A dolgaim:
A weboldal már a készültekor, 2017.jan-ban kapott:
egyedi belépési nevet (nem admin ect.) és ehhez 27 karakteres jelszót is (kis/nagy/extra/szám)
adminexile rejtést is még akkor, bonyolultat.
regisztráció nem volt, ez letiltásra került már akkor.
hírlevél küldés és feliratkozás volt ehhez gmail címet használtunk.
fölös sablonok és kiegészítők törölve lettek, csak a szűk lényeg maradt meg.
Azóta 4. hóban kellett állítani a weblapon, ennek keretében történt egy frissítés is a joomlában és a komponensek is frissítve lettek, amit lehetett.
Itt annyi érdekesség volt, hogy a frissítés közben a lap összerogyott, az admin felület viszont működésben maradt. Olyan volt, mintha a frissítés nem ment volna le rendesen, sok állítgatás sem oldotta meg a dolgot, akartam egy visszaállítást csinálni, közben a weboldal "elindult" és működik azóta is.
Ekkor más furcsa esemény nem volt.
4. hó végén pedig annyi történt még, hogy az adatvédelmi módosítások miatt részint pontosítva lett a sütik kezelése és erre való felhívás is felkerült, valamint a hírlevél kikapcsolásra került és az ajánlatkérő űrlap is, valamint felkerült egy új adatkezelési tájékoztató.
Azóta ment minden, a támadás pedig most 06. 25-28 között volt.
Amit tettem:
elolvastam a hogyn védjük oldalunkat.
mivel a zöme megvolt csak a hiányt akartam hozzátenni.
.htaccess már rég volt, de most észrevettem hogy e mellé volt egy htaccess.txt is. abban joomla szöveg van public license ect....
a .ht-ben csak annyi volt, hogy RewriteEngine On és semmi más, ez alá bemásoltam a leírásban lévő pár sort és mentetm.
a kettő lépcsős hitelestést akartam, de a link már nem jó, így a leírást nem leltem.
(((((
Marco-t felttem, de nem állítottam semmit rajta, csak engedélyeztem.
777 jogosultságot a total ftp-n keresztül nem találtam, 644 / 755 a jellemző
rákerestem arra, hogy 4.hó vége és 06.30 köztött volt e olyan fájl v mappa ami létrejött a tárhelyen, 3 ilyen volt, ebből 2 ssl hitelesítéshez köthető (well-known) egy pedig a log mappának az error.php.
Így nem értem, hogy akkor mi történt, hol a nyoma, v hol keressem.
Annyit tettem még, hogy amúgy a weblap email küldését kikapcsoltam időlegesen.
volt egy leírás, hogy log-ban meg lehet nézni, mikor mit hívtak meg a behatolók, erről lehetne részletesebben olvasni? mit hol mikor miért?
más ötlet / tanács / segítség?
köszönöm!
A történet:
A szolgáltató jelzett, hogy túlterheléses támadás volt náluk, elvileg tőlem, erről mutattak egy logot is, ebből sok dolog nem derült ki számomra a log persze nem teljes, mert elvileg napokon át több száz levél ment ki az oldalon keresztül.
TÖBB dolog sem tiszta.
Elvileg ez akkor egy ddos támadás lett volna?
Ezt hogyan vitelezhették ki?
Mi az értelme és mit lehet tenni ez ellen?
A dolgaim:
A weboldal már a készültekor, 2017.jan-ban kapott:
egyedi belépési nevet (nem admin ect.) és ehhez 27 karakteres jelszót is (kis/nagy/extra/szám)
adminexile rejtést is még akkor, bonyolultat.
regisztráció nem volt, ez letiltásra került már akkor.
hírlevél küldés és feliratkozás volt ehhez gmail címet használtunk.
fölös sablonok és kiegészítők törölve lettek, csak a szűk lényeg maradt meg.
Azóta 4. hóban kellett állítani a weblapon, ennek keretében történt egy frissítés is a joomlában és a komponensek is frissítve lettek, amit lehetett.
Itt annyi érdekesség volt, hogy a frissítés közben a lap összerogyott, az admin felület viszont működésben maradt. Olyan volt, mintha a frissítés nem ment volna le rendesen, sok állítgatás sem oldotta meg a dolgot, akartam egy visszaállítást csinálni, közben a weboldal "elindult" és működik azóta is.
Ekkor más furcsa esemény nem volt.
4. hó végén pedig annyi történt még, hogy az adatvédelmi módosítások miatt részint pontosítva lett a sütik kezelése és erre való felhívás is felkerült, valamint a hírlevél kikapcsolásra került és az ajánlatkérő űrlap is, valamint felkerült egy új adatkezelési tájékoztató.
Azóta ment minden, a támadás pedig most 06. 25-28 között volt.
Amit tettem:
elolvastam a hogyn védjük oldalunkat.
mivel a zöme megvolt csak a hiányt akartam hozzátenni.
.htaccess már rég volt, de most észrevettem hogy e mellé volt egy htaccess.txt is. abban joomla szöveg van public license ect....
a .ht-ben csak annyi volt, hogy RewriteEngine On és semmi más, ez alá bemásoltam a leírásban lévő pár sort és mentetm.
a kettő lépcsős hitelestést akartam, de a link már nem jó, így a leírást nem leltem.
(((((Marco-t felttem, de nem állítottam semmit rajta, csak engedélyeztem.
777 jogosultságot a total ftp-n keresztül nem találtam, 644 / 755 a jellemző
rákerestem arra, hogy 4.hó vége és 06.30 köztött volt e olyan fájl v mappa ami létrejött a tárhelyen, 3 ilyen volt, ebből 2 ssl hitelesítéshez köthető (well-known) egy pedig a log mappának az error.php.
Így nem értem, hogy akkor mi történt, hol a nyoma, v hol keressem.
Annyit tettem még, hogy amúgy a weblap email küldését kikapcsoltam időlegesen.
volt egy leírás, hogy log-ban meg lehet nézni, mikor mit hívtak meg a behatolók, erről lehetne részletesebben olvasni? mit hol mikor miért?
más ötlet / tanács / segítség?
köszönöm!
Jelentkezz be, hogy te is részt vehess beszélgetésben!
2018 júl. 01 20:27 - 2018 júl. 01 22:27 #4 Írta: Masooo
Masooo válaszolt a következő témában: Az oldalamat elárasztásot támadáshoz használják
A dolog annyival egészült ki, hogy a szolgáltatón csak keresztül halad a levelezés, mert átirányításra van álltva ott a levél részleg.
gmail cím van a levelezésre használva, azt is használták a küldözgetésre, és a szolgáltató azt írta, inkább ideillesztem:
"Úgy látjuk, hogy a leveleket a mi szerverünkön keresztül a weboldal küldi.
Az e-mail címről nagy mennyiségű levélküldés történt, amit megállított a rendszerünk és a nem kézbesített levelekről érkezett a visszapattanó levél.
Idemásolom a logban található adatokat: "
/var/log/exim_mainlog:2018-06-28 00:16:22 1fYIje-00572r-Do <= <> R=1fYHZ9-004Vsl-Sr U=mailnull P=local S=2690 T="Mail delivery failed: returning message to sender" for Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. (a saját címünk)
/var/log/exim_mainlog:2018-06-28 00:16:23 1fYIje-00572r-Do => Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. R=lookuphost T=remote_smtp H=gmail-smtp-in.l.google.com [108.127.14.57] X=TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128 CV=yes C="250 2.0.0 OK 1534137683 x1-v6si1046407wmf.202 - gsmtp"
/var/log/exim_mainlog:2018-06-28 03:49:16 cwd=/home/sajat oldal/public_html 4 args: /usr/sbin/sendmail -t -i -fxxxxxxxxxxx@gmail.com (a saját mail cím elé itt került egy "F" betű)
/var/log/exim_mainlog:2018-06-28 03:49:16 1fYM3g-006juD-MK <= Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. U=xxxxxxxx P=local S=34965 id=Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. T="Joomla! friss\365t\356s \356rhet\335\241 el a(z) cég neve.-http://cegneve.hu/ weboldalhoz." for Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.
/var/log/exim_mainlog:2018-06-28 16:56:42 cwd=/home/sajat oldal/public_html 4 args: /usr/sbin/sendmail -t -i -fxxxxxxxxxxx@gmail.com (itt is a plusz F)
/var/log/exim_mainlog:2018-06-28 16:56:42 1fYYLi-004hBr-IN <= Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. U=xxxxxxxxxx P=local S=33578 id=42acebfd9v151acc23ee3terza605527a58@ceg neve.hu T="Joomla! friss\365t\361s \361rhet\335\221 el a(z) ceg neve.-http://ceg neve.hu/ weboldalhoz." for Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.
/var/log/exim_mainlog:2018-06-29 02:18:58 cwd=/home/sajat oldal/public_html 4 args: /usr/sbin/sendmail -t -i -fxxxxxxxxxxxx@gmail.com
/var/log/exim_mainlog:2018-06-29 02:18:58 1fYh7q-00Gsbd-KL <= Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. U=xxxxxxxxxxx P=local S=3468 id=7ebc3396efa459056b42556213cb45504e@sajat oldal.hu T="Joomla! friss\365t\361s \361rhet\365\621 el a(z) sajat ceg.-http://sajat ceg.hu/ weboldalhoz." for admin email címe@citromail.hu
/var/log/exim_mainlog:2018-06-29 10:33:06 cwd=/home/sajat ceg/public_html 4 args: /usr/sbin/sendmail -t -i -fxxxxxxxxxxx@gmail.com
/var/log/exim_mainlog:2018-06-29 10:33:06 1fYoq2-042s4R-IK <= Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. U=xxxxxxxxxxxxxx P=local S=3459 id=f76caa3ed0f4ad48b0a53e8c88ef6fc26@www.sajat ceg.hu T="Joomla! friss\365t\361s \361rhet\365\621 el a(z) sajat ceg.-https://www.sajat ceg.hu/ weboldalhoz." for Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.
Ennyit küldtek át.
Ezt pedig közölték még hozzá.
Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. emailről jöttek a levelek (napi több száz, 3 napon keresztül)
Eddig mivel nem válaszoltak még, nem tudok mondani többet sokkal ennél
friss: találtam nyomát a spammelésnek, mégpedig az ftp szerver mail mappájában a dovecot.index majd 1,8mb cache fájlban. látni milyen címre és azt is, milyen témában mentek emailek. A tárolt leveleket is megleltem persze nem teljesben itt a mail mappában 409 megányit, ezeket töröltem az ftpről, de lementettem magamhoz, az avast 5 vrust jelzett.
még annyi amit most láttam:
tegnap kikapcsoltam a joomla levelezést a beállításokban, töröltem a cimet is az aktuális mezőből, most beléptem és látom, hogy engedélyezve van a levélküldés és a tömeges levelek sincsenek tiltva, php mail-re állítva.
Erről van leírás, hogy ezt a függvényt hogyan lehet tiltani?
töröltem a .htaccess 1 soros fájlt
a htaccess.txt-t átneveztem .htaccessre, az eredmény annyi lett, hogy 500 internal server error lapra is és admin felületre is.
visszaneveztem txt-re és megy minden. Ez is támadás miatt lenne? vagy mi a gond?
ezt cpanelben leltem
[Sun Jul 01 21:05:06.6400 2018] [core:alert] [pid 2264:tid 14046002480] [client 145.251.163.16:590] /home/sajat oldal/public_html/.htaccess: Invalid command 'Begin', perhaps misspelled or defined by a module not included in the server configuration, referer: http://sajat oldal.hu/
gmail cím van a levelezésre használva, azt is használták a küldözgetésre, és a szolgáltató azt írta, inkább ideillesztem:
"Úgy látjuk, hogy a leveleket a mi szerverünkön keresztül a weboldal küldi.
Az e-mail címről nagy mennyiségű levélküldés történt, amit megállított a rendszerünk és a nem kézbesített levelekről érkezett a visszapattanó levél.
Idemásolom a logban található adatokat: "
/var/log/exim_mainlog:2018-06-28 00:16:22 1fYIje-00572r-Do <= <> R=1fYHZ9-004Vsl-Sr U=mailnull P=local S=2690 T="Mail delivery failed: returning message to sender" for Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. (a saját címünk)
/var/log/exim_mainlog:2018-06-28 00:16:23 1fYIje-00572r-Do => Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. R=lookuphost T=remote_smtp H=gmail-smtp-in.l.google.com [108.127.14.57] X=TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128 CV=yes C="250 2.0.0 OK 1534137683 x1-v6si1046407wmf.202 - gsmtp"
/var/log/exim_mainlog:2018-06-28 03:49:16 cwd=/home/sajat oldal/public_html 4 args: /usr/sbin/sendmail -t -i -fxxxxxxxxxxx@gmail.com (a saját mail cím elé itt került egy "F" betű)
/var/log/exim_mainlog:2018-06-28 03:49:16 1fYM3g-006juD-MK <= Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. U=xxxxxxxx P=local S=34965 id=Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. T="Joomla! friss\365t\356s \356rhet\335\241 el a(z) cég neve.-http://cegneve.hu/ weboldalhoz." for Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.
/var/log/exim_mainlog:2018-06-28 16:56:42 cwd=/home/sajat oldal/public_html 4 args: /usr/sbin/sendmail -t -i -fxxxxxxxxxxx@gmail.com (itt is a plusz F)
/var/log/exim_mainlog:2018-06-28 16:56:42 1fYYLi-004hBr-IN <= Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. U=xxxxxxxxxx P=local S=33578 id=42acebfd9v151acc23ee3terza605527a58@ceg neve.hu T="Joomla! friss\365t\361s \361rhet\335\221 el a(z) ceg neve.-http://ceg neve.hu/ weboldalhoz." for Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.
/var/log/exim_mainlog:2018-06-29 02:18:58 cwd=/home/sajat oldal/public_html 4 args: /usr/sbin/sendmail -t -i -fxxxxxxxxxxxx@gmail.com
/var/log/exim_mainlog:2018-06-29 02:18:58 1fYh7q-00Gsbd-KL <= Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. U=xxxxxxxxxxx P=local S=3468 id=7ebc3396efa459056b42556213cb45504e@sajat oldal.hu T="Joomla! friss\365t\361s \361rhet\365\621 el a(z) sajat ceg.-http://sajat ceg.hu/ weboldalhoz." for admin email címe@citromail.hu
/var/log/exim_mainlog:2018-06-29 10:33:06 cwd=/home/sajat ceg/public_html 4 args: /usr/sbin/sendmail -t -i -fxxxxxxxxxxx@gmail.com
/var/log/exim_mainlog:2018-06-29 10:33:06 1fYoq2-042s4R-IK <= Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. U=xxxxxxxxxxxxxx P=local S=3459 id=f76caa3ed0f4ad48b0a53e8c88ef6fc26@www.sajat ceg.hu T="Joomla! friss\365t\361s \361rhet\365\621 el a(z) sajat ceg.-https://www.sajat ceg.hu/ weboldalhoz." for Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.
Ennyit küldtek át.
Ezt pedig közölték még hozzá.
Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. emailről jöttek a levelek (napi több száz, 3 napon keresztül)
Eddig mivel nem válaszoltak még, nem tudok mondani többet sokkal ennél
friss: találtam nyomát a spammelésnek, mégpedig az ftp szerver mail mappájában a dovecot.index majd 1,8mb cache fájlban. látni milyen címre és azt is, milyen témában mentek emailek. A tárolt leveleket is megleltem persze nem teljesben itt a mail mappában 409 megányit, ezeket töröltem az ftpről, de lementettem magamhoz, az avast 5 vrust jelzett.
még annyi amit most láttam:
tegnap kikapcsoltam a joomla levelezést a beállításokban, töröltem a cimet is az aktuális mezőből, most beléptem és látom, hogy engedélyezve van a levélküldés és a tömeges levelek sincsenek tiltva, php mail-re állítva.
Erről van leírás, hogy ezt a függvényt hogyan lehet tiltani?
töröltem a .htaccess 1 soros fájlt
a htaccess.txt-t átneveztem .htaccessre, az eredmény annyi lett, hogy 500 internal server error lapra is és admin felületre is.
visszaneveztem txt-re és megy minden. Ez is támadás miatt lenne? vagy mi a gond?
ezt cpanelben leltem
[Sun Jul 01 21:05:06.6400 2018] [core:alert] [pid 2264:tid 14046002480] [client 145.251.163.16:590] /home/sajat oldal/public_html/.htaccess: Invalid command 'Begin', perhaps misspelled or defined by a module not included in the server configuration, referer: http://sajat oldal.hu/
Jelentkezz be, hogy te is részt vehess beszélgetésben!
2018 júl. 03 11:25 - 2018 júl. 03 17:48 #6 Írta: Masooo 
Tudod nem ismételgettem a problémát, pontosítottam, körülírtam, és felvetettem egy újat is.
Tekintve, hogy ez elkerülte figyelmedet, csak pontosítottam, most is, épp mint akkor.
MI ENNEK AZ OKA?
Tudod itt nem mindenki dolgozik webfejlesztőként / rendszergazdaként/ it szakemberként, de sokan láttak már, elég sok dolgot, és a tapasztalataik alapján sokszor el lehet indulni a megfelelő irányba. Valahol ez a lényege a fórumnak is, tapasztalatok megosztása, segítségek adása, ilyesmik. Ehhez pedig nem árt körülírni a problémát részletesen és a sok részletből kialakuló megoldás végül tanulságos lehet másoknak is.
A naplót pedig kiértem már a hétvégén, de sajnos emeddig még nem kaptam meg, átlagosan 3-4 nap szokott lenni az ügyintézési idő, így ismételten kérni, csak holnap fogok.
Amúgy a probléma megoldásra került időközben.
up: a naplókat megkaptam, 2017 közepéig
Azért köszi
Masooo válaszolt a következő témában: Az oldalamat elárasztásot támadáshoz használják
Tudod nem ismételgettem a problémát, pontosítottam, körülírtam, és felvetettem egy újat is.
Tekintve, hogy ez elkerülte figyelmedet, csak pontosítottam, most is, épp mint akkor.
MI ENNEK AZ OKA?
Tudod itt nem mindenki dolgozik webfejlesztőként / rendszergazdaként/ it szakemberként, de sokan láttak már, elég sok dolgot, és a tapasztalataik alapján sokszor el lehet indulni a megfelelő irányba. Valahol ez a lényege a fórumnak is, tapasztalatok megosztása, segítségek adása, ilyesmik. Ehhez pedig nem árt körülírni a problémát részletesen és a sok részletből kialakuló megoldás végül tanulságos lehet másoknak is.
A naplót pedig kiértem már a hétvégén, de sajnos emeddig még nem kaptam meg, átlagosan 3-4 nap szokott lenni az ügyintézési idő, így ismételten kérni, csak holnap fogok.
Amúgy a probléma megoldásra került időközben.
up: a naplókat megkaptam, 2017 közepéig
Azért köszi
Jelentkezz be, hogy te is részt vehess beszélgetésben!
