Hekker támadás Joomla és WordPress oldalak ellen

Ma hajnalban sajnos számos nálunk üzemeltetett Joomla és WordPress oldalt feltört egy (vagy több) hekker. Szerencsére túl nagy módosításokat nem végeztek az oldalakon, azonban az aktuális template fájl-t megváltoztatták valamint az adatbázisban felülírták a felhasználók jelszavait.

Az oldalak visszaállításán jelenleg dolgozunk. Egy szkript átnézi a szervereket a feltört oldalak után, és miután megvan az összes, a mentésből visszaállítjuk a tegnapi állapotot. Az adatbázis rendberakása ennél bonyolultabb feladat, így egyelőre kérésre az admin jelszavakat tudjuk egy alapértelmezett jelszóra állítani. Ha ilyet szeretnél, írj nekünk levélben vagy chat-en!

Hogyan törték fel az oldalt?

A feltörés pontos menetét még nem térképeztük fel teljesen, de annyi biztosan látszik, hogy nem szerver feltörés történt. A hekkerek először feltörtek egyetlen Joomla tárhelyet annak hibás témáján keresztül, majd erről a tárhelyről jelentkeztek be HTTP kapcsolattal oda, ahova tudtak.

Friss: Részletes leírást publikáltam az Adminisztrátori Blogon.

Hogyan védheted meg oldalad a jövőben?

Minden esetben amit eddig átnéztünk a hekker (program) bejelentkezett az adminisztrátori felületre az admin felhasználóval és jelszóval, tehát ismerte azt. Ott a Téma szerkesztőt (template editor) használva írta át az aktuális témát.

Javaslatok:

  • Gyakran, havonta legalább egyszer változtasd meg jelszavadat!
  • Rendszeresen frissítsd az oldal motorját (Joomla, WordPress) és a modulokat
  • Helyezz el .htaccess fájlt az admin könyvtárban, hogy csak egy adott IP címről lehessen hozzáférni
  • A konfigurációs fájlok jogosultságát (wp-config.php és configuration.php) állítsd ‘600’-ra, hogy bárki ne tudja őket olvasni

.htaccess

Ebben a fájlban lehetőséged van korlátozni a hozzáférést egy könyvtárhoz például IP cím alapján. Az Ip cím egyedileg azonosítja az Internethez hozzáférő gépet, így a te gépedet is. Ip címed itt tudhatod meg például: http://myip.dk/

Tételezzük fel, hogy Ip címed: 111.111.111.111

Ebben az esetben a .htaccess fájlt az admin könyvtárban így módosítsad:

Ha IP címed gyakran változik, mert mondjuk 3g mobil hálózatot használsz, akkor is észre fogod venni, hogy csak az utolsó egy vagy kettő számjegy módosul. Ekkor a htaccess fájlban tartományt is megadhatsz.

Ha az utolsó kettő változik (jobb oldali két szám):

Ha csak az utolsó változik (jobb oldali szám):

Több IP cím megadása:

Konfigurációs fájl jogosultság

Nem elképzelhetetlen, de annak ellenére, hogy ügyfeleink egymás tárhelyeit nem látják illetéktelenek mégis olvasni tudják a fájlokat a tárhelyen egy szkripttel. Ekkor azonban a szkript nem a tárhely tulajdonosának jogosultságaival fut. Abban az esetben ha a konfigurációs fájl jogosultsága például ‘666’ az azt jelenti mindenki számára olvasható, így az illetéktelen behatoló is hozzáfér az adatbázis jelszavakhoz.

Az FTP programmal módosítsd a konfigurációs fájlt! A helyes beállítás: 600

WordPress konfigurációs fájl: wp-config.php
Joomla konfiguráció: configuration.php

Kövess minket!