Skocz do zawartości
Zaloguj się, aby obserwować  
berix

Włamanie się na stronę

Polecane posty

Witam prowadzę stronę opartą na skrypcie wordpress, dzisiaj ujrzałem o taka stronę http://www.kreedz.pl/hack.html ewidentnie włamał mi się na stronę jakiś antyfan podmieniając plik index.php ponieważ żadne hasła nie zostały zmienione, nie było to także robione przez FTP ponieważ w logach nic nie ma tak napisali mi w BOK hostingu.

Także w BOK tylko napisali żebym zrobił reinstalacje WP chociaż bardzo pilnowałem aktualizacji i posiadałem najnowszą wersje (3.0.5), i już więcej z tym nie da się zrobić.

Czy naprawdę nie da się z tym nic zrobić? Jak się ustrzec przed następnymi atakami, czy wordpress jest takie dziurawe?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Prarwdz czy masz poprawne chmody, czy czasem nie zostal ci plik instalacyjny :).

 

Koniecznie zmien wszystkie hasła(przypadkowy ciąg znaków np. gsHf2Gh215G ), najlepiej nowego użytkownika bazy też zrób a starego skasuj. Niech BOK ci wysle ostatnie logowania(sprawdz które twoje IP) i jesli w WP jest historia logowań do panelu to również sprawdz kto i kiedy.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Prarwdz czy masz poprawne chmody, czy czasem nie zostal ci plik instalacyjny :).

 

Koniecznie zmien wszystkie hasła(przypadkowy ciąg znaków np. gsHf2Gh215G ), najlepiej nowego użytkownika bazy też zrób a starego skasuj. Niech BOK ci wysle ostatnie logowania(sprawdz które twoje IP) i jesli w WP jest historia logowań do panelu to również sprawdz kto i kiedy.

 

pliki instalacyjne nie istniały, chmody były takie jakie były standardowo. zmiana hasła by nic nie przy takim ataku, BOK nie był w stanie mi podać logi ponieważ nic w nich nie było tylko moje IP widniało...

Cały problem opisałem na hack.pl http://hack.pl/forum/hacking/8572-wlamali-mi-sie-na-strone.html

 

Podałem plik zainfekowany został wysłany na konto. ALe nie wiem jak się przed tym uchronić w przyszłości...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość GrandBB

1. Co do WordPressa.

http://wordpress.org/extend/plugins/wp-htaccess-control/

http://wordpress.org/extend/plugins/bulletproof-security/

 

Dwa z najlepszych pluginów pod WordPressa, szczególnie polecam ten ostatni.

 

2. Serwer:

W zależności od firmy i serwera na jakim utrzymujesz swoją witrynę możesz domyślać się WIELU rzeczy a tak naprawdę nie muszą Ci mówić wszystkiego nawet jeśli wina tkwi w źle zabezpieczonym dedyku. Wiele razy się spotkałem jeszcze jako osoba fizyczna że sporo firm nie chciało się przyznawać do swoich błędów gdy z niewyjaśnionych przyczyn znikała mi strona. Były tłumaczenia typu: błędy instalacji skryptu, błąd konfiguracji skryptu, nieprawidłowe zawartości i tego typu podobne teksty.

 

Rada ode mnie, jeżeli firma, w której masz hosting nie zechce Ci pomóc przenieś się do innego hostingodawcy. Jednak to nie gwarantuje 100% pewności że będziesz miał wszystko okej. Poczytaj opinie na temat firm na WHT i wybierz jakąś.

 

Pozdrawiam :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Rada ode mnie, jeżeli firma, w której masz hosting nie zechce Ci pomóc przenieś się do innego hostingodawcy.

Tak, najlepiej do GrantHost.

Zastanów się co piszesz, nie widziałeś logów, nie patrzałes w kod strony i odrazu twierdzisz że to wina firmy hostingowej.

Kiedyś Ty może będziesz miał klienta któremu się ktoś włamie i wtedy zmienisz zdanie.

 

Berix@ złamanie łatwego hasła na konto dla dobrego hackera to kwestia kilkunastu minut, skoro podmienili Ci tylko jeden plik nie chciał wyrządzić żadnych szkód a tylko ostrzec. Raczej nie stawiaj winy na firmę hostingową, ale zrób najnaszybciej zmiany.

Poszukaj kogoś kto ma ogromne pojęcie o skrypcie WP, zapłacisz ale taka osoba zabezpieczy Ci skrypt i poinstaluje wymagane łatki no i co najwazniejsze doradzi. Firma hostingowa ma pojęcie o zabezpieczeniu serwera, ale nie koniecznie musi znać dokładnie WP i być na bieżąco z nowościami w tym temacie, więc raczej niewiele mogą Ci dodradzić

Zmień klienta FTP, w szczególności jeśli używasz Total Commandera i przede wszystkim zmień wszystkie hasła.

 

Pamiętraj aby wszystkie hasła były trudne, zawierały cyfry, małe literki i duże literki. Nie stosuj haseł typu imie mojej mamy, psa, kota filemona itp., nie zapisuj haseł nigdzie na widoku, trzymaj je w pamięci.

Bardzo ważne sprawdź IP logowania i logi httpd czy ktoś nie zagląda Ci na konto w nocy bez Twojej wiedzy. Być może kiedyś kumpel Ci coś robił na koncie i nie zmieniłeś hasła, cudów ale może być skleroza.

 

I poczytaj o tym: http://www.securelis...tions/old188613

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość N3T5kY
złamanie łatwego hasła na konto dla dobrego hackera to kwestia kilkunastu minut

Jeśli się zezwala na zgadywanie, to można mieć pretensje do samego siebie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Irek, akurat w tym momencie Andrzej ma częściowo racje. Bo dobra firma (czyt. nie traktują klienta jak kolejny numerek w whmcs) powinna pomóc klientowi. Oczywiście nie mowie tu o łataniu skryptu bo to nie ich zadanie, ale powinni podesłać klientowi co się działu w tym dniu na jego koncie. Firma pisząca że nic nie ma i kończąca rozmowe to nie firma. Ja to mówią "Prawdziwych przyjaciół poznaje się w biedzie".

 

Sam miałem raz włam na konto i firma ( Mzone) mi pomogła - dostałem całą historie co gdzie kiedy i dlaczego z ostatnich 3 miechów. Czyli widocznie jak się chce to można pomóc.

 

P.s. Co jest takiego złego w TC?? Słyszałem ze w ostatniej wersji (9.0) załatali luki.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

od razu do BOK pisałem po incydencie (vipower) a tam napisali że w logach NIC nie ma tylko moje IP widniało.

A do klienta ftp używam filezilla

Edytowano przez berix (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jeśli włam nie był poprzez FTP to co mieli Ci napisać? Szukaj w logach swoich serwisów na koncie - a tu nie sposób wyłuskać czegokolwiek, jeśli support nie jest BIEGŁY z danego skryptu (inaczej nie odnajdą anormalnych logów).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

od razu do BOK pisałem po incydencie (vipower) a tam napisali że w logach NIC nie ma tylko moje IP widniało.

A do klienta ftp używam filezilla

 

Tak się składa, że to ja odebrałem ticket na livechacie. I mogę powiedzieć tylko tyle, że rozmawialiśmy paręnaście minut. Przy czym dostałeś log z proftpd, gdzie okazało się, że logowanie było tylko z Twojego IP. Zaproponowałem, że problemem może być dziura w wordpressie, tudzież jakiś doklejony skrawek brzydkiego kodu.

 

Jeżeli uważasz, że pomoc była nie wystarczająca to wydaje mi się to co najmniej dziwnie, bo ja nie wiem co ja mogłem wiecej napisać Ci w tej sprawie. Co było do zrobienia na poziomie serwera to zrobiłem, sprawdziłem. Jeżeli Twoim zdaniem nie dopełniłem obowiązków to przepraszam -.-'

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość GrandBB

Dla mnie liczy się obsługa klienta i Support na wysokim poziomie, pomoc dla klienta w każdej sprawie nawet pomimo nieznajomości jakiegoś skryptu ze strony zespołu supportu.

 

 

 

Tak, najlepiej do GrantHost.

Firma GrandHost nie istnieje, teraz są częścią Future Communication ;)

Edytowano przez GrandBB (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tak się składa, że to ja odebrałem ticket na livechacie. I mogę powiedzieć tylko tyle, że rozmawialiśmy paręnaście minut. Przy czym dostałeś log z proftpd, gdzie okazało się, że logowanie było tylko z Twojego IP. Zaproponowałem, że problemem może być dziura w wordpressie, tudzież jakiś doklejony skrawek brzydkiego kodu.

 

Jeżeli uważasz, że pomoc była nie wystarczająca to wydaje mi się to co najmniej dziwnie, bo ja nie wiem co ja mogłem wiecej napisać Ci w tej sprawie. Co było do zrobienia na poziomie serwera to zrobiłem, sprawdziłem. Jeżeli Twoim zdaniem nie dopełniłem obowiązków to przepraszam -.-'

ja tylko odpowiedziałem innemu użytkownikowi tego forum, sam wspominasz ze w logach nic nie było. A ja sam nie odróżniam tych logów jeden mówi jakieś proftpd drugi httpd, a ja tylko miałem w panelu DA i sąd mogę wiedzieć ile jest tych rodzaji

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Sprawdź czy nie masz keylogera na komputerze. Zainstaluj od nowa Filezilla z oficjalnej strony tak na wszelki wypadek. Jeżeli można zmienić nazwę pliku administracyjnego WP to zrób podobnie do tej modyfikacji to zrób wg. http://www.4dle.net.pl/haki/181-ochrona-panelu-admina-datalife-engine.html . Taka sztuczka zablokuje potencjalnemu hackerowi dostęp do PA. Oczywiście można innymi sposobami, ja znam tylko ten. Nie przejmuj się, że ten mod jest dla DLE, sztuczka polega na tym samym tylko inaczej się modyfikuje pliczki. Posprawdzaj na ftp czy nie ma podejrzanego pliku w jakimś katalogu. Sprawdzaj czy pliki są w tym samym miejscu co w oryginalnej wersji. Być może hacker zostawił pewien pliczkek, który pozwoli mu się znowu włamać.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kopaczka

Mzone: nie da się łamać haseł.

 

Dlaczego zakładacie, że to są włamy przez ftp a nie przez inne konto z serwera?

Zauważyłem na wht dziwną modę - ktoś ma problem z włamaniem, prosi o opinie a administratorzy hostingów tylko rzucają hasłami "to pewnie przez złośliwe oprogramowanie na Twoim komputerze" itp.

 

Śmieszą mnie te opinie już z keyloggerami. Zainteresujcie się w końcu bezpieczeństwem serwerów zamiast snuć jakieś opinie o keylogerach, trojanach, rootkitach i innym syfie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Zauważyłem na wht dziwną modę - ktoś ma problem z włamaniem, prosi o opinie a administratorzy hostingów tylko rzucają hasłami "to pewnie przez złośliwe oprogramowanie na Twoim komputerze" itp.
Bo najłatwiej jest nie szuka winnego. ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Kopaczka - znowu będziesz przeprowadzał krucjatę dot. potocznego "złamać hasło"...

Równie dobrze zacznij krucjatować dziwności takie jak "limit transferu", samo ogólne transfer, brak różnicy międzzy milibitami, megabitami i megabajtami, i pewnie wiele innych utartych potocznie wyrażeń nie do końca zgodnych z rzeczywistością się znajdzie.

 

Poza tym, skoro większość administratorów coś tam bąka o tym, żeby posprawdzać własny komputer, to może jednak coś w tym jest?

Znaczna większość podmianek stron, z którymi ja miałem doczynienia, to schemat był w miarę podobny - w logach FTP wyrażenie USER blabla: Login successful.

Dziwnym trafem daty modyfikacji plików się pokrywają z datą tego logowania.

 

Drugą sprawą jest faktycznie czytanie kogoś przez coś, ale jeśli user na to zezwala (aka rekursywny chmod 777 na wszystko, co się rusza), to chyba sam do siebie powinien mieć pretensje?

Edytowano przez kafi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Mzone: nie da się łamać haseł.

 

Wydaje mi się, że mało wiesz na ten temat. Raczej nie wchodziłbym w dyskusje na forum na ten temat, pomyśl dlaczego.NIe wiem czy wiesz, ale ostatni raport o zabezpieczeniach informował o tym, że 90% haseł na kontach to imię dziewczyny, data urodzin itp., po to generuje się hasła typu: Hgs*9546)(85^ aby tego nie złamać.

 

Dlaczego zakładacie, że to są włamy przez ftp a nie przez inne konto z serwera?

A dlaczego zakładasz że serwer jest źle zabezpieczony skoro włamanie było tylko na jedno konto?.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość hdmagc

Mzone pewnie masz racje z tym zabezpieczeniem i czepianiem się do zabezpieczeń serwerów, jednak muszę przyznać, że nie jest to reguła wśród firm hostingowych.

Pewnie zaraz posypią się na mnie bicze i gromy, ale akurat firma vi.... nie należy do tych, które dbają o tą stronę w sposób należyty.

Owego czasu hostowała stronę zaczynającą sie od dvd.......pl która pewnego dnia zniknęła razem z bazą i zawartością. Support oczywiście zrzucał na dziury itp (vbulletin ;) ) rzucajac ipkami z logów, co nie miało żadnego pokrycia w rzeczywistości.

Strona zniknęła poprzez działanie z innego hosta na tym serwie i wiem co pisze.

Owego czasu pisałem do Pana P.J. ale nie był zainteresowany ukazaniem luk w swoim systemie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Hdmagc, ale nikt tu nie neguje, że czasami to i serwery są słabo zabezpieczone.

Tylko, że wtedy, to jest tyci głośniej, bo widać wiele stron które atakowi podległy - dotyczy on wielu kont na serwerze.

 

Jednak większość owych ataków to niestety jednak wina użytkownika.

Albo właśnie schemat z jakimś mikrobem wykradającym hasła, albo używanie tego samego hasła wszędzie i wyciek bazy zawierającej plaintextowe hasła z jakiejś strony, albo nawet wirus na komputerze, zostawiający w logach adnotację, że "ktoś"/"coś" to hasło FTP jednak posiadł do wiadomości, bo jak inaczej zinterpretować pojedyncze wpisy Login successful?

 

Druga sprawa to słynne chmody. W większości badziewiastych skryptów jest info - nadaj chmod 777 na wszystko, co się rusza. W przypadku mod_php, to faktycznie, taka była wyższa konieczność.

Ale jednak większość odpala teraz procesy w przestrzeni poszczególnych użytkowników (czy to suexec+cgi, suphp, FastCGI), więc konieczności takiej nie ma. Ale jest dużo kont, gdzie po wejściu przez MC do homedira wszystko jest zielone z gwiazdką.

 

Można powiedzieć - no ale to poza homedirem innych, więc "dziurą" jest wyjście poza własny cwd.

Ale z drugiej strony, to jeśli ktoś po swoich zasobach pozwala pisać WszystkimInnym, to czemu tym innym na to zabraniać?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kopaczka

Wydaje mi się, że mało wiesz na ten temat. Raczej nie wchodziłbym w dyskusje na forum na ten temat, pomyśl dlaczego.NIe wiem czy wiesz, ale ostatni raport o zabezpieczeniach informował o tym, że 90% haseł na kontach to imię dziewczyny, data urodzin itp., po to generuje się hasła typu: Hgs*9546)(85^ aby tego nie złamać.

 

 

A dlaczego zakładasz że serwer jest źle zabezpieczony skoro włamanie było tylko na jedno konto?.

 

Mi się wydaje za to, ze to Ty mało wiesz na ten temat. Raporty z statystykami może przeczytać byle kto.

I nie pisz o łamaniu haseł bo nie istnieje takie coś. Jest odzyskiwanie albo łamanie hashy.

Jak już pisałem na forum, nie da się łamać jawnego tekstu.

 

Śmieszna jest ta wasza dyskusja. Gdy tylko gdzieś zaczyna się temat o bezpieczeństwie to zaczynacie z chmodami.

Jakby nie było nic innego..

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Śmieszna jest ta wasza dyskusja. Gdy tylko gdzieś zaczyna się temat o bezpieczeństwie to zaczynacie z chmodami.

To może oświeć nas innymi aspektami.

Bo jak narazie, to tylko wyśmiewasz wszystko od śmieszności, ale sam jakichś konkretów nie poruszysz, tylko działasz na zasadzie "wiem-ale-nie-powiem".

 

Poza tym - w języku polskim utarło się już (może i niepoprawne merytorycznie) określenie złamania hasła jako właśnie jego odgadnięcia/odtworzenia/wybrutusowania/etc.

Edytowano przez kafi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość hdmagc

kafi masz całkowitą rację.

 

Nie można ganić tych co wchodzą przez drzwi z napisem "klucz jest pod wycieraczką lub w kwiatku na parapecie".

 

Niepodważalnym jest bardzo niski stopień świadomości użytkowników dotyczący zabezpieczenia własnego kompa i używania elementarnych zasad bezpieczeństwa. Mentalność i poczucie własnego ego leży u podstaw szukania winnych w przypadku "wpadki" wszędzie, poza własnymi działaniami.

Niemniej jednak, mój przykład dotyczy zaistniałej sytuacji właśnie w tej samej firmie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Nie można ganić tych co wchodzą przez drzwi z napisem "klucz jest pod wycieraczką lub w kwiatku na parapecie".

I do tego dopiskiem - jeśli chcesz, to rozgość się i poczuj jak u siebie w domu (bo chmod xx7 to mniej więcej takie działanie) ;).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kopaczka

I do tego dopiskiem - jeśli chcesz, to rozgość się i poczuj jak u siebie w domu (bo chmod xx7 to mniej więcej takie działanie) ;).

 

Może u Ciebie na serwerze jest tak, że jak ktoś ma chmod 777 na coś to inni użytkownicy serwera mogą przeglądać pliki.

Nie wiem jak reszta ale ja tak u siebie nie miałem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×