Hekker támadás Joomla és WordPress oldalak ellen

Ma hajnalban sajnos számos nálunk üzemeltetett Joomla és WordPress oldalt feltört egy (vagy több) hekker. Szerencsére túl nagy módosításokat nem végeztek az oldalakon, azonban az aktuális template fájl-t megváltoztatták valamint az adatbázisban felülírták a felhasználók jelszavait.

Az oldalak visszaállításán jelenleg dolgozunk. Egy szkript átnézi a szervereket a feltört oldalak után, és miután megvan az összes, a mentésből visszaállítjuk a tegnapi állapotot. Az adatbázis rendberakása ennél bonyolultabb feladat, így egyelőre kérésre az admin jelszavakat tudjuk egy alapértelmezett jelszóra állítani. Ha ilyet szeretnél, írj nekünk levélben vagy chat-en!

Hogyan törték fel az oldalt?

A feltörés pontos menetét még nem térképeztük fel teljesen, de annyi biztosan látszik, hogy nem szerver feltörés történt. A hekkerek először feltörtek egyetlen Joomla tárhelyet annak hibás témáján keresztül, majd erről a tárhelyről jelentkeztek be HTTP kapcsolattal oda, ahova tudtak.

Friss: Részletes leírást publikáltam az Adminisztrátori Blogon.

Hogyan védheted meg oldalad a jövőben?

Minden esetben amit eddig átnéztünk a hekker (program) bejelentkezett az adminisztrátori felületre az admin felhasználóval és jelszóval, tehát ismerte azt. Ott a Téma szerkesztőt (template editor) használva írta át az aktuális témát.

Javaslatok:

  • Gyakran, havonta legalább egyszer változtasd meg jelszavadat!
  • Rendszeresen frissítsd az oldal motorját (Joomla, WordPress) és a modulokat
  • Helyezz el .htaccess fájlt az admin könyvtárban, hogy csak egy adott IP címről lehessen hozzáférni
  • A konfigurációs fájlok jogosultságát (wp-config.php és configuration.php) állítsd ‘600’-ra, hogy bárki ne tudja őket olvasni

.htaccess

Ebben a fájlban lehetőséged van korlátozni a hozzáférést egy könyvtárhoz például IP cím alapján. Az Ip cím egyedileg azonosítja az Internethez hozzáférő gépet, így a te gépedet is. Ip címed itt tudhatod meg például: http://myip.dk/

Tételezzük fel, hogy Ip címed: 111.111.111.111

Ebben az esetben a .htaccess fájlt az admin könyvtárban így módosítsad:

Order Deny,Allow
deny from all
allow from 111.111.111.111

Ha IP címed gyakran változik, mert mondjuk 3g mobil hálózatot használsz, akkor is észre fogod venni, hogy csak az utolsó egy vagy kettő számjegy módosul. Ekkor a htaccess fájlban tartományt is megadhatsz.

Ha az utolsó kettő változik (jobb oldali két szám):

Order Deny,Allow
deny from all
allow from 111.111.0.0/16

Ha csak az utolsó változik (jobb oldali szám):

Order Deny,Allow
deny from all
allow from 111.111.111.0/24

Több IP cím megadása:

Order Deny,Allow
deny from all
allow from 111.111.111.0/24
allow from 222.222.222.222
allow from 333.333.0.0/16

Konfigurációs fájl jogosultság

Nem elképzelhetetlen, de annak ellenére, hogy ügyfeleink egymás tárhelyeit nem látják illetéktelenek mégis olvasni tudják a fájlokat a tárhelyen egy szkripttel. Ekkor azonban a szkript nem a tárhely tulajdonosának jogosultságaival fut. Abban az esetben ha a konfigurációs fájl jogosultsága például ‘666’ az azt jelenti mindenki számára olvasható, így az illetéktelen behatoló is hozzáfér az adatbázis jelszavakhoz.

Az FTP programmal módosítsd a konfigurációs fájlt! A helyes beállítás: 600

WordPress konfigurációs fájl: wp-config.php
Joomla konfiguráció: configuration.php

15 Hozzászólás

  • Gábor
    Posted 2012. szeptember 6. 16:34 0Likes

    Üdv,

    Nekünk is hasonló gonddal kellett megküzdenünk, csak nekünk lepucolták az egész gépet 🙂 Azonban a CSF feltelepítése óta, nincs semmilyen gond.
    Ajánlom figyelmetekbe: http://configserver.com/cp/csf.html

  • Péter
    Posted 2012. szeptember 7. 09:58 0Likes

    A CSF természetesen fent van minden szerveren, okosabb volt a hekker. Hamarosan megvan a cikk az Adminblogon: http://adminblog.tarhelypark.hu

  • Gábor
    Posted 2012. szeptember 7. 10:34 0Likes

    Oké, csak ötlet gyanánt adtam. Volna feléd egy kérdésem, azonban ez nem éppen publikus, esetleg telefonszámot tudsz nekem küldeni emailben ?
    Köszönöm!

  • Trackback: Apache symlink hack Wordpress és Joomla ellen | Adminisztrátori Blog
  • Péter
    Posted 2012. szeptember 17. 12:16 0Likes

    Az ügyfélszolgálatos számon keress:
    http://tarhelypark.hu/elerhetoseg/

  • Székely Róbert
    Posted 2012. november 24. 23:51 0Likes

    Sziasztok! Egy nagyon fontos oldalunkat törték fel a hackerek a mostanában történt Joomla támadások során. Akinek a „Hacked by hacker” felirat jelenik meg nagyon szívesen adok a megoldáshoz információt, ha a szekelyrobert kukac szekelyrobert pont eu email címre ír, mert nekünk sikerült rövid időn belül elhárítani a problémát kis ftp és mysql dolgokkal.

  • Trackback: Szigorítottunk szerver beállításainkon | Tárhelypark Blog
  • tomi
    Posted 2013. június 27. 13:21 0Likes

    Sziasztok!
    Bár látom, hogy nem épp friss ez a bejegyzés, azért kérdeznék ha szabad:
    Sajnos több Joomla oldalt kell üzemeltetnünk, nagy részük 1.5 alatt fut.
    Oké oké, tudjuk, hogy gyakran törik, frissíteni kellene, azonban a rengeteg komponens, sablon, modul és egyéb frissítése nemcsak nem kis meló, hanem gyakran lehetetlen is.
    Legutóbb az egyik szerveren, ahol több domain és aldomain alatt futnak az oldalak rengeteg helyre betettek egy htaccess és egy index_backup fájlt.
    A hogyan lehetne megakadályozni, hogy a könyvtárakba fel tudjanak tölteni fájlokat??
    A fenti IP korlátozó htaccesst elég lenne az aldomainek gyökereibe elhelyezni vagy minden könyvtárba kellene, ahol php fájlok vannak?

    Köszi előre is, tomi

    • Péter
      Posted 2013. június 27. 14:36 0Likes

      Szia Tomi!

      A bejegyzés igen aktuális annak ellenére, hogy régi. A korlátozást tartalmazó .htaccess fájlt a fő könyvtárba ne tedd, mert akkor az egész oldal elérhetetlen lesz! Mi a /administrator könyvtár korlátozását javasoljuk, és a többiét ahol PHP fájl van, de jól le kell tesztelni, mert lehet olyan könyvtár, ahonnan a fő oldal is be akar tölteni valami.

      Ha megnézed Developer Tools-al vagy Firebug-al az oldalt, akkor ott látszik, hogy mik töltődnek be. Na azokat nem szabad korlátozni! De korlátozhatsz olyan könyvtárat, amire például az index.php hivatkozik, mert azt nem a böngésző tölti be, hanem a php program. Például ha van egy include „modules/valami.php” benne az index.php-ben, de az oldal betöltődésénél a Developer Tools azt mutatja, hogy a /modules könyvtárból nem töltődik be semmi, akkor a /modules-ba simán lehet ilyen korlátozást rakni.

      A lényeg, hogy el kell tudnod választani mit tölt be a php szkript a szerveren „belül” és mi az amit a böngésző keres a szerveren „kívülről”.

      A legnagyobb gond, ha a feltörhető dolgok olyan könyvtárakban vannak, amiket a fő oldal is a böngészőbe, mert akkor azokat nem lehet korlátozni. Gyakran vannak olyan widgetek, amik valami kis dolgot megjelenítenek a fő oldalon, és feltörhetők. Ekkor nem tudod sajnos megakadályozni, hogy oda másoljanak fájlokat, mert általában bármilyen parancs futtatható a feltört modulból.

      A megoldás: Frissítés! Azt szoktam mondani, hogy az aki a weboldalától bevételt remél, ne sajnálja az upgrade-re a pénzt, mert többet veszt egy-egy hekker támadáson.

      Remélem tudtam segíteni!

  • tomi
    Posted 2013. június 27. 18:21 0Likes

    Szia Péter!

    Először is köszi a gyors választ, rámegyek a megvalósításra.
    Sajnos az esetleges bevétel és az az upgrade-ek nem feltétlenül állnak arányban egymással…
    És itt nem is feltétlenül a pénzre gondolok, hanem a borzasztó sok maceráról..

    Sok a nonprofit oldal, amit az ember csak „maga szórakoztatására” fejleszt…de ez csak addig igaz, amíg nem jönnek az ilyen problémák ezerrel. Na, akkor határozza el az ember, hogy soha többet…

  • Kovács Tamás
    Posted 2013. szeptember 29. 08:45 0Likes

    Szia Péter!

    1. Joomlánál a .htaccess fájl jogosultságát is át kell állítani 600-ra, vagy elég a configuration.php-t?

    Előre is köszönöm a választ!

    • Péter
      Posted 2013. november 14. 09:46 0Likes

      Szia!

      A .htaccess-t nem kell átállítani, csak azokat a fájlokat, amik kényes információkat tartalmaznak, és nem szeretnéd, hogy a weboldal látogatói vagy bárki más elolvassa. Szerintem minden ilyen fájl ilyen amiben valamilyen hozzáférési információ van.

      • Bálint
        Posted 2016. március 10. 19:38 0Likes

        Bár ez egy régi blog, csak most olvastam, és azt nem értem, hogy a .htaccess -t miért nem kell védeni 600-zal? Ha írható, akkor a hekker is átírjhatja pl. az IP korlátozást…
        üdv, B

  • zipi
    Posted 2014. március 20. 09:01 0Likes

    111.111.111.0/8 ez hibás
    Helyette 111.111.111.0/24 ha csak az utolsó szám változik

    • Péter
      Posted 2014. március 20. 09:52 0Likes

      Jogos, köszi! Javítottam.

Hozzászólás küldése

Kövess minket!