Menu

Hekker támadás Joomla és WordPress oldalak ellen

Ma hajnalban sajnos számos nálunk üzemeltetett Joomla és WordPress oldalt feltört egy (vagy több) hekker. Szerencsére túl nagy módosításokat nem végeztek az oldalakon, azonban az aktuális template fájl-t megváltoztatták valamint az adatbázisban felülírták a felhasználók jelszavait.

Az oldalak visszaállításán jelenleg dolgozunk. Egy szkript átnézi a szervereket a feltört oldalak után, és miután megvan az összes, a mentésből visszaállítjuk a tegnapi állapotot. Az adatbázis rendberakása ennél bonyolultabb feladat, így egyelőre kérésre az admin jelszavakat tudjuk egy alapértelmezett jelszóra állítani. Ha ilyet szeretnél, írj nekünk levélben vagy chat-en!

Hogyan törték fel az oldalt?

A feltörés pontos menetét még nem térképeztük fel teljesen, de annyi biztosan látszik, hogy nem szerver feltörés történt. A hekkerek először feltörtek egyetlen Joomla tárhelyet annak hibás témáján keresztül, majd erről a tárhelyről jelentkeztek be HTTP kapcsolattal oda, ahova tudtak.

Friss: Részletes leírást publikáltam az Adminisztrátori Blogon.

Hogyan védheted meg oldalad a jövőben?

Minden esetben amit eddig átnéztünk a hekker (program) bejelentkezett az adminisztrátori felületre az admin felhasználóval és jelszóval, tehát ismerte azt. Ott a Téma szerkesztőt (template editor) használva írta át az aktuális témát.

Javaslatok:

  • Gyakran, havonta legalább egyszer változtasd meg jelszavadat!
  • Rendszeresen frissítsd az oldal motorját (Joomla, WordPress) és a modulokat
  • Helyezz el .htaccess fájlt az admin könyvtárban, hogy csak egy adott IP címről lehessen hozzáférni
  • A konfigurációs fájlok jogosultságát (wp-config.php és configuration.php) állítsd ‘600’-ra, hogy bárki ne tudja őket olvasni

.htaccess

Ebben a fájlban lehetőséged van korlátozni a hozzáférést egy könyvtárhoz például IP cím alapján. Az Ip cím egyedileg azonosítja az Internethez hozzáférő gépet, így a te gépedet is. Ip címed itt tudhatod meg például: http://myip.dk/

Tételezzük fel, hogy Ip címed: 111.111.111.111

Ebben az esetben a .htaccess fájlt az admin könyvtárban így módosítsad:

Ha IP címed gyakran változik, mert mondjuk 3g mobil hálózatot használsz, akkor is észre fogod venni, hogy csak az utolsó egy vagy kettő számjegy módosul. Ekkor a htaccess fájlban tartományt is megadhatsz.

Ha az utolsó kettő változik (jobb oldali két szám):

Ha csak az utolsó változik (jobb oldali szám):

Több IP cím megadása:

Konfigurációs fájl jogosultság

Nem elképzelhetetlen, de annak ellenére, hogy ügyfeleink egymás tárhelyeit nem látják illetéktelenek mégis olvasni tudják a fájlokat a tárhelyen egy szkripttel. Ekkor azonban a szkript nem a tárhely tulajdonosának jogosultságaival fut. Abban az esetben ha a konfigurációs fájl jogosultsága például ‘666’ az azt jelenti mindenki számára olvasható, így az illetéktelen behatoló is hozzáfér az adatbázis jelszavakhoz.

Az FTP programmal módosítsd a konfigurációs fájlt! A helyes beállítás: 600

WordPress konfigurációs fájl: wp-config.php
Joomla konfiguráció: configuration.php

13 hozzászólás a Hekker támadás Joomla és WordPress oldalak ellen bejegyzéshez

  1. Gábor hozzászolt:

    Üdv,

    Nekünk is hasonló gonddal kellett megküzdenünk, csak nekünk lepucolták az egész gépet 🙂 Azonban a CSF feltelepítése óta, nincs semmilyen gond.
    Ajánlom figyelmetekbe: http://configserver.com/cp/csf.html

  2. Péter hozzászolt:

    A CSF természetesen fent van minden szerveren, okosabb volt a hekker. Hamarosan megvan a cikk az Adminblogon: http://adminblog.tarhelypark.hu

  3. Gábor hozzászolt:

    Oké, csak ötlet gyanánt adtam. Volna feléd egy kérdésem, azonban ez nem éppen publikus, esetleg telefonszámot tudsz nekem küldeni emailben ?
    Köszönöm!

  4. Péter hozzászolt:

    Az ügyfélszolgálatos számon keress:
    http://tarhelypark.hu/elerhetoseg/

  5. Székely Róbert hozzászolt:

    Sziasztok! Egy nagyon fontos oldalunkat törték fel a hackerek a mostanában történt Joomla támadások során. Akinek a “Hacked by hacker” felirat jelenik meg nagyon szívesen adok a megoldáshoz információt, ha a szekelyrobert kukac szekelyrobert pont eu email címre ír, mert nekünk sikerült rövid időn belül elhárítani a problémát kis ftp és mysql dolgokkal.

  6. tomi hozzászolt:

    Sziasztok!
    Bár látom, hogy nem épp friss ez a bejegyzés, azért kérdeznék ha szabad:
    Sajnos több Joomla oldalt kell üzemeltetnünk, nagy részük 1.5 alatt fut.
    Oké oké, tudjuk, hogy gyakran törik, frissíteni kellene, azonban a rengeteg komponens, sablon, modul és egyéb frissítése nemcsak nem kis meló, hanem gyakran lehetetlen is.
    Legutóbb az egyik szerveren, ahol több domain és aldomain alatt futnak az oldalak rengeteg helyre betettek egy htaccess és egy index_backup fájlt.
    A hogyan lehetne megakadályozni, hogy a könyvtárakba fel tudjanak tölteni fájlokat??
    A fenti IP korlátozó htaccesst elég lenne az aldomainek gyökereibe elhelyezni vagy minden könyvtárba kellene, ahol php fájlok vannak?

    Köszi előre is, tomi

    • Péter hozzászolt:

      Szia Tomi!

      A bejegyzés igen aktuális annak ellenére, hogy régi. A korlátozást tartalmazó .htaccess fájlt a fő könyvtárba ne tedd, mert akkor az egész oldal elérhetetlen lesz! Mi a /administrator könyvtár korlátozását javasoljuk, és a többiét ahol PHP fájl van, de jól le kell tesztelni, mert lehet olyan könyvtár, ahonnan a fő oldal is be akar tölteni valami.

      Ha megnézed Developer Tools-al vagy Firebug-al az oldalt, akkor ott látszik, hogy mik töltődnek be. Na azokat nem szabad korlátozni! De korlátozhatsz olyan könyvtárat, amire például az index.php hivatkozik, mert azt nem a böngésző tölti be, hanem a php program. Például ha van egy include “modules/valami.php” benne az index.php-ben, de az oldal betöltődésénél a Developer Tools azt mutatja, hogy a /modules könyvtárból nem töltődik be semmi, akkor a /modules-ba simán lehet ilyen korlátozást rakni.

      A lényeg, hogy el kell tudnod választani mit tölt be a php szkript a szerveren “belül” és mi az amit a böngésző keres a szerveren “kívülről”.

      A legnagyobb gond, ha a feltörhető dolgok olyan könyvtárakban vannak, amiket a fő oldal is a böngészőbe, mert akkor azokat nem lehet korlátozni. Gyakran vannak olyan widgetek, amik valami kis dolgot megjelenítenek a fő oldalon, és feltörhetők. Ekkor nem tudod sajnos megakadályozni, hogy oda másoljanak fájlokat, mert általában bármilyen parancs futtatható a feltört modulból.

      A megoldás: Frissítés! Azt szoktam mondani, hogy az aki a weboldalától bevételt remél, ne sajnálja az upgrade-re a pénzt, mert többet veszt egy-egy hekker támadáson.

      Remélem tudtam segíteni!

  7. tomi hozzászolt:

    Szia Péter!

    Először is köszi a gyors választ, rámegyek a megvalósításra.
    Sajnos az esetleges bevétel és az az upgrade-ek nem feltétlenül állnak arányban egymással…
    És itt nem is feltétlenül a pénzre gondolok, hanem a borzasztó sok maceráról..

    Sok a nonprofit oldal, amit az ember csak “maga szórakoztatására” fejleszt…de ez csak addig igaz, amíg nem jönnek az ilyen problémák ezerrel. Na, akkor határozza el az ember, hogy soha többet…

  8. Kovács Tamás hozzászolt:

    Szia Péter!

    1. Joomlánál a .htaccess fájl jogosultságát is át kell állítani 600-ra, vagy elég a configuration.php-t?

    Előre is köszönöm a választ!

    • Péter hozzászolt:

      Szia!

      A .htaccess-t nem kell átállítani, csak azokat a fájlokat, amik kényes információkat tartalmaznak, és nem szeretnéd, hogy a weboldal látogatói vagy bárki más elolvassa. Szerintem minden ilyen fájl ilyen amiben valamilyen hozzáférési információ van.

      • Bálint hozzászolt:

        Bár ez egy régi blog, csak most olvastam, és azt nem értem, hogy a .htaccess -t miért nem kell védeni 600-zal? Ha írható, akkor a hekker is átírjhatja pl. az IP korlátozást…
        üdv, B

  9. zipi hozzászolt:

    111.111.111.0/8 ez hibás
    Helyette 111.111.111.0/24 ha csak az utolsó szám változik

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.