Sziasztok, komoly támadás érte az oldalunkat, gyakorlatilag meg hackelték. Most ilyenkor mi tudok tenni? Újra kell telepítenem az egész wordpresst? Az adatbázis is sérül ilyenkor? És egyáltalán, hogyan tudok védekezni a jövőben az ilyen támadások ellen?
Hmm… wordpress admin elérhető, ftp is elérhető, csak a főoldalunk nem.
Létezik olyan, hogy meg hackelnek egy oldalt nem lehet elérni a főoldalt és utána hirtelen eltűnik, és úgy néz ki, hogy minden rendben? Mert nálunk most ez történt. Nem értem, hogy ez mi volt, szeretnék valami biztonságos megoldást az ilyen esetek elkerülésére. Most valahogy nem érzem biztonságban az oldalunkat.
1 és legfontosabb lépés: ftp jelszó változtatás
2 minden fájl újra felmásolása
3 adatbázis visszaállítása a legutóbbi mentésből.
4 admin jelszó módosítás.
hát a 2 pont kivételével mindent meg csináltam, vagy is pontosan,az adat bázist a szolgáltató állította vissza egy korábbira. Jelszavakat módosítottam. A fájlok felmásolása még nem történt meg. Ez egyébként mindenre vonatkozik? Az uploads mappában lévő képekre is? Mert akkor az nagy meló lesz. :S Ja és azt hogyan lehetne kideríteni, hogy milyen módon törték fel az oldalt? Hol találtak réseket?
Mivel semmi konkrétumot nem mondtál (még WP verzió számot sem),
így mi is csak általános dolgokat tudunk.
'DjZoNe' wrote on '2010-12-21:
Mivel semmi konkrétumot nem mondtál (még WP verzió számot sem),
így mi is csak általános dolgokat tudunk.
Nos a konkrétumok: WordPress 3.0.3 van telepítve, a támadást követően az admin oldal és az ftp is sértetlennek tűnt. Elérhető volt minden, kivéve a honlapot, amin egy török nemzetiségű zászló és annak a neve volt, aki feltörte az oldalt. Itt egy kép, ehhez hasonló képernyő fogadott. Majd írtam a szolgáltatónak, hogy mi történt, ők elvégeztek egy adatbázis visszaállítást, azóta megy az oldal. Nem tudom, hogy ez az infó elég e.
Itt ragadnám meg az alkalmat, hogy egy nagy köszönetet mondjak hgrg-nek, aki azonnal felajánlotta a segítségét. KÖSZÖNÖM hgrg! 
Valószínűleg az ftp jelszavad szerezték meg és a kezdőoldalt megváltoztatták. Ha az adatbázis ép akkor jó, de minden jelszót megváltoztatnék amiket ugyan azzal az ftp programmal értél el.
Meg nem ártana egy elég mély vírus és kémprogi keresést is végigfuttatni az összes gépen, ahonnan csatlakoztok az ftp-hez, vagy bármilyen módon az oldalhoz…
nem hiszem h így csinálta volna a srác:
http://www.google.hu/search?hl=hu&client=firefox-a&hs=WHE&rls=org.mozilla%3Ahu-HU%3Aofficial&q=iskorpitx&aq=f&aqi=&aql=&oq=&gs_rfai=
olvassatok el pár cikket róla… elég pro…nak tűnik
'hgrg' wrote on '2010-12-23:
nem hiszem h így csinálta volna a srác:
http://www.google.hu/search?hl=hu&client=firefox-a&hs=WHE&rls=org.mozilla%3Ahu-HU%3Aofficial&q=iskorpitx&aq=f&aqi=&aql=&oq=&gs_rfai=
olvassatok el pár cikket róla.. elég pro...nak tűnik
Van Facebook oldala is. :D http://www.facebook.com/pages/iSKORPiTX/126153034064836?v=info
Egy hír azt írja, hogy 404.907 oldalt tört fel.
Azért ez egyesével, pro munkával igencsak időigényes lenne... Egy ftp adathalász és scriptelt index.php cserélővel lehet csak megoldani szerintem...
érdemes olvasgatni ezt is http://exploit-db.com/ topicnyítónak javaslom a a Security Scan nevű wordpress plugin felrakását sok fejfájástól kiméli meg az embert.
egy érdekes lista a a wordpress sebezhetőségekről. érdemes a kiterjesztések(plugin) és a témák biztonsági listáját is olvasgatni.
http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=wordpress&filter_exploit_text=&filter_author=&filter_platform=0&filter_type=0&filter_lang_id=0&filter_port=&filter_osvdb=&filter_cve=
ne legyünk már majmok
persze h scannereket használ stb…
de elég a metasploit framework-el meg pár hasonlóval végigszátani a szerencsétlen “felrakom azt mukoggy” usereken és bedől minden
'hgrg' wrote on '2010-12-23:
ne legyünk már majmok
persze h scannereket használ stb..
de elég a metasploit framework-el meg pár hasonlóval végigszátani a szerencsétlen "felrakom azt mukoggy" usereken és bedől minden :)
jó de azért nem mindenki ért a metasploithoz meg ezekhez igaz van graf felülete is az msfgui parancs beírása után. :)
w3af,metasploit, nikto,nmap meg ezek amik boztos szóbajöhetnek hackelésnél:) metasploit van mandriva tárolóiban meg a backtrackban is. :)
'hgrg' wrote on '2010-12-23:
ne legyünk már majmok
persze h scannereket használ stb..
de elég a metasploit framework-el meg pár hasonlóval végigszátani a szerencsétlen "felrakom azt mukoggy" usereken és bedől minden :)
Szerencsétlennek azért nem mondanám magam,:)) csak éppen nem ástam bele magam eléggé ebbe a védelmi témába. Nem gondoltam, hogy egyáltalán ez meg történhet. Nem vagyunk se a NASA, se a Pentagon, nem őrzünk titkokat, és semmiféle létfontosságú adatot.:)
Egyébként találtam egy hibát, a szerkesztőben nem tudunk feltölteni képet, mindig azt írja ki, hogy hiányzó munkakönyvtár. Két gépről is próbáltuk, több loginnal, mind a két módszerrel, flash és böngésző módban is megvan a hiba. De ami az érdekes, hogy ez hiba csak nálunk, nálam van jelen, a szerkesztőimnél gond nélkül működik a képfeltöltés. Tudtok erre valami okosat mondani? Ez a hackelést követően jöhetett létre? Vagy csak valami lokális, vagy IP hiba lenne?
[attachment=283:névtelen.JPG]
nem te vagy szerencsétlen csak kissé erősen fejeztem ki magam srry. A hiba szerintem azért van mert -gondolom- hiányzik neki az uploads mappa amibe a feltöltéseket végeznie kéne -vagy nem jók a jogosultságai-
biztonsághoz pedig a későbbiekben:
igen de azért mert nincsenek nemzetbiztonsági iratok a házban azért még bezárod a kapudat nem?
hasonlóképp a kocsid sem hagyod ott nyitva nagyon sehol… max a semmi közepén, de mostanság még ott is “lába kél” sajnos…
'hgrg' wrote on '2010-12-23:
nem te vagy szerencsétlen csak kissé erősen fejeztem ki magam srry. A hiba szerintem azért van mert -gondolom- hiányzik neki az uploads mappa amibe a feltöltéseket végeznie kéne -vagy nem jók a jogosultságai-
biztonsághoz pedig a későbbiekben:
igen de azért mert nincsenek nemzetbiztonsági iratok a házban azért még bezárod a kapudat nem?:)
hasonlóképp a kocsid sem hagyod ott nyitva nagyon sehol.. max a semmi közepén, de mostanság még ott is "lába kél" sajnos..
Na igen ez igaz.:) Az alap biztonsági protokol azt természetesen meg volt.:) De soha ne gondoltam volna, hogy a hackerek ellen is be kel biztosítani magunkat.:) Köszi a tippet, megnézem, bár csak kettő adminisztrátori jog van az oldalon, az enyém és a páromé, ezekkel sem működik.
Uploads mappa meg van, a jogok, hmm… azok is jónak tűnek.