Ma hajnalban sajnos számos nálunk üzemeltetett Joomla és WordPress oldalt feltört egy (vagy több) hekker. Szerencsére túl nagy módosításokat nem végeztek az oldalakon, azonban az aktuális template fájl-t megváltoztatták valamint az adatbázisban felülírták a felhasználók jelszavait.
Az oldalak visszaállításán jelenleg dolgozunk. Egy szkript átnézi a szervereket a feltört oldalak után, és miután megvan az összes, a mentésből visszaállítjuk a tegnapi állapotot. Az adatbázis rendberakása ennél bonyolultabb feladat, így egyelőre kérésre az admin jelszavakat tudjuk egy alapértelmezett jelszóra állítani. Ha ilyet szeretnél, írj nekünk levélben vagy chat-en!
Hogyan törték fel az oldalt?
A feltörés pontos menetét még nem térképeztük fel teljesen, de annyi biztosan látszik, hogy nem szerver feltörés történt. A hekkerek először feltörtek egyetlen Joomla tárhelyet annak hibás témáján keresztül, majd erről a tárhelyről jelentkeztek be HTTP kapcsolattal oda, ahova tudtak.
Friss: Részletes leírást publikáltam az Adminisztrátori Blogon.
Hogyan védheted meg oldalad a jövőben?
Minden esetben amit eddig átnéztünk a hekker (program) bejelentkezett az adminisztrátori felületre az admin felhasználóval és jelszóval, tehát ismerte azt. Ott a Téma szerkesztőt (template editor) használva írta át az aktuális témát.
Javaslatok:
- Gyakran, havonta legalább egyszer változtasd meg jelszavadat!
- Rendszeresen frissítsd az oldal motorját (Joomla, WordPress) és a modulokat
- Helyezz el .htaccess fájlt az admin könyvtárban, hogy csak egy adott IP címről lehessen hozzáférni
- A konfigurációs fájlok jogosultságát (wp-config.php és configuration.php) állítsd ‘600’-ra, hogy bárki ne tudja őket olvasni
.htaccess
Ebben a fájlban lehetőséged van korlátozni a hozzáférést egy könyvtárhoz például IP cím alapján. Az Ip cím egyedileg azonosítja az Internethez hozzáférő gépet, így a te gépedet is. Ip címed itt tudhatod meg például: http://myip.dk/
Tételezzük fel, hogy Ip címed: 111.111.111.111
Ebben az esetben a .htaccess fájlt az admin könyvtárban így módosítsad:
1 2 3 |
Order Deny,Allow deny from all allow from 111.111.111.111 |
Ha IP címed gyakran változik, mert mondjuk 3g mobil hálózatot használsz, akkor is észre fogod venni, hogy csak az utolsó egy vagy kettő számjegy módosul. Ekkor a htaccess fájlban tartományt is megadhatsz.
Ha az utolsó kettő változik (jobb oldali két szám):
1 2 3 |
Order Deny,Allow deny from all allow from 111.111.0.0/16 |
Ha csak az utolsó változik (jobb oldali szám):
1 2 3 |
Order Deny,Allow deny from all allow from 111.111.111.0/24 |
Több IP cím megadása:
1 2 3 4 5 |
Order Deny,Allow deny from all allow from 111.111.111.0/24 allow from 222.222.222.222 allow from 333.333.0.0/16 |
Konfigurációs fájl jogosultság
Nem elképzelhetetlen, de annak ellenére, hogy ügyfeleink egymás tárhelyeit nem látják illetéktelenek mégis olvasni tudják a fájlokat a tárhelyen egy szkripttel. Ekkor azonban a szkript nem a tárhely tulajdonosának jogosultságaival fut. Abban az esetben ha a konfigurációs fájl jogosultsága például ‘666’ az azt jelenti mindenki számára olvasható, így az illetéktelen behatoló is hozzáfér az adatbázis jelszavakhoz.
Az FTP programmal módosítsd a konfigurációs fájlt! A helyes beállítás: 600
WordPress konfigurációs fájl: wp-config.php
Joomla konfiguráció: configuration.php