Általában a kezdők (és ez most nem megbántás volt!) esnek áldozatául az általam leírt eseteknek, nem pedig a haladó felhasználók. A most leírt esetbe én is belefutottam, pedig nem ma kezdtem a szakmát...jó, nem is vagyok profi. De miről is van szó?
Az egyik fórumon egy tag beírta a következőt: feltörték az oldalam, segítsetek! Gondoltam ez pont nekem való, mert 3 oldalam is feltörték a török gyerekek (nem volt elég nekik a 150 év? :) ). Joomla 1.5.4 verzióról volt szó. Nem lepett meg a dolog, mivel sokunk oldalát megbütykölték egy fontos biztonsági rés miatt, amit már az 1.5.6-os verzióban kiküszöböltek. A technikát, amivel csinálták nem írom le, nehogy valaki vérszemet kapjon, és nagy hévvel törje az oldalakat :). A lényege, hogy ha feltörték az oldalt, és bejutnak az admin felületre, akkor már simán látják az adatbázis adatokat. És ha már ott vannak, akkor kezdik az alappal: admin jelszóváltoztatás. Ettől kezdve az oldal tulajdonosa nem tud bejutni a backend oldalra, tehát nem tud semmit sem tenni. De ekkor még a frontend üzemel. Igen ám, de a török delikvens gondol egyet: tegyük az oldalt offlineba. A tulaj (főleg ha kezdő) ilyenkor már pánikol. Még mindig lehet fokozni a dolgot! Ha már ott vagyunk és feltörtük az oldalt, írjunk is át egy pár dolgot. Mondjuk a főkönyvtárban (root) lévő index.php-t, vagy maga a sablon index-be. Ekkor már szépen fog kinézni az oldalunk, mivel vagy át van irányítva egy teljesen más oldalra, vagy csak egy szép üdvözlés fogad minket, a támadó adataival. És még fokozhatnánk.
Ilyenkor mit is lehet tenni? Több dolgot is, sőt kell is! Elsőnek a phpmyadminban kell visszaszereznünk az oldalunk feletti irányítást, vagyis nekünk is át kell írni az admin jelszót (ha valaki nem tudja, ezt hogyan is kell, szóljon). Legjobb esetben ennyi és be tudunk jutni az adminba, ott visszaállítani, amit kell. Ha már az valamelyik index.php-ba is belenyúltak, akkor a legegyszerűbb, ha egy mentésből visszamásoljuk a tárhelyre. Mert hát mentésnek lennie kell...ugye van? Ha még sincs, akkor valamelyest már érteni kell egy kicsit a dolgokhoz. Nevezetesen megkeresni azt az adott sort, ami felesleges, vagy éppen át van írva, és azt javítani. A javítás után föltétlen mentsünk minden adatot és az adatbázist is!
Netalántán, "véletlen" az adatbázisunkat is tönkre vágták, akkor vagy nagyon érteni kell hozzá (én annyira nem), hogy kijavítsuk, vagy egy régebbi (de jó) adatbázist kell vissza-exportálni. Ha e két eset nem megvalósítható, akkor kezdhetjük a munkát előröl, azaz újra fel kell építeni az oldalunkat, kvázi, az eddigi munkánk kárba veszett. A hibák kiküszöbölése, megsemmisítése után le kell ellenőrizni oldalunkat részletesen, és ha mindent rendben találunk, akkor menteni kell mindent (könyvtárakat, fájlokat, adatbázist). Több esetben előfordult már, hogy a könyvtárak/fájlok nem voltak írhatóak, ezért a mentett adat nem frissítette a tárhelyen lévőket. Ilyenkor én azt szoktam tanácsolni, hogy mindennek adjunk 777 jogot. A hibaelhárítás után persze ezeket a jogokat vissza kell állítani. Ja és a lényeg! Javítás után azonnal frissítsünk minimum 1.5.6-os verzióra! Bár már van 1.5.8 is, úgyhogy az is ajánlott. Remélem minél kevesebben futnak bele a "török gyerek megvágta" dologba!
Feliratkozás a hozzászólás hírcsatornájára
Joomlafan
said:
 |
... Amit leírtál, sajnos ez így van. Az ember többször el mondja, hogy már ne használják, főleg új oldalak létrehozásánál az 1.0.x verziót vagy az 1.5 esetében az 1.5.8-nál régebbi verziókat. Több ember van, aki nem hallgat a szép szóra és amikor jön a baj, akkor keresi azt az embert, akinek a tanácsát nem fogadta meg. Hasznos olvasmány.  |
Szalai Péter
said:
 |
... Épp akartam írni, hogy szívesen venném egy részletes biztonsági beállítási cikket, a joomla wiki alapján. Én a feltörés után többszintű jelszó rendszert csináltam. Külön az ftp, az adatbázis, és a joomla admin-ba. Joolma adminba pedig két super admin van, külön felhasználó névvel és jelszóval. Természetesen kis és nagy betűkkel és számokkal. A jogosultság is megfelelően van állítva. Engem igazából a tárhely beállítások érdekelnének, hogy mit érdemes kikapcsolni, ill. bekapcsolni, és hogy milyen a hatással lehetnek a rendszerre ezek. Sajna a wampot nem sikerült felvarázsolni a vista-ra  Gondolom az 1.5.5 esetén is sql mérgezéssel törték fel az oldalt. Engem most a kekesteto. com figyelmeztetett újra, hogy végig kellene mennem a wikis biztonsági cikken. Az alatt is mambo cms van, és azt is törökök törték fel. A törökökkel már igazán kellene kezdeni valamit. Néhány magyar hekker összefoghatna, és oda csaphatnának nekik. Az lenne jó, ha az egész török ip tartományt lehetne tiltani, de ez csak részben lehetséges. Én a támadás után néhány török ip-t tiltottam ahonnan a támadások jöttek. Egyelőre ennyit  |
speci
said:
 |
... a MediaCenternél van rá mód, hogy fix IP-re korlátozz. az már elég jó biztonsági érzetet nyújt.  |
bmd
said:
|
... Én úgy csináltam, hogy van a gatekeeper komponens, és aztán megnéztem, török látogató ip cimét és azt tiltottam a gatekeeperrel. A török ip tartományokat is meg lehet találni neten, csak gatekeepernél, nem jöttem rá,hogy lehet tartományokat tíltani. Még ah jól tudom .htaccess során is lehet tiltani az ip-k. Én intrex-s tárhelyen dolgozok. Ott nincs külön ip tiltási lehetőség nincs, de viszont már php5-t használnak. |
Joomlafan
said:
|
... Véleményem az, hogy hiába tiltod a török IP címeket, mert én is egy másik proxy szerverről próbálnálak feltörni, ami nem mutatja meg az utat hazáig, így nem tudsz kitiltani. A másik, lehet nem is török csak a török IP tartományt használja, ezért mint látogató mindig elér téged. Egyenlőre úgy néz ki, hogy a 1.5.8 verzió, minél kevesebb bővítménnyel már elég stabil a honlapokhoz. Jövő évben meg már úgy is itt az 1.6 verzió. |
bmd
said:
|
... Igen ezért is írtam, hogy részben lehet csak tiltani. Egy valamirevaló hacker, azért jól tudja magát álcázni. Gondolom ,hogy ezek egy ismert sebezhetőség esetén, robotokat használnak feltöréshez, és azt se tudják, hogy mit törnek fel. És persze egy ilyen oldalt is a googleval keresnek meg  Én még arra is gondoltam,hogy a joomla admin könyvtárat jelszóval titkosítom,vagy az url-t módosítom. Pl administrator.php helyett belepes.php-re, ezzel is nehezítve a megtalálását. Ugye ha valaki sql mérgezéssel próbálkozik, joomla esetén tudja, hogy hol kell keresni az admin felületet. Mondjuk a joomla 1.5.8 már azért már egy komolyabb tudás kell, hogy sql mérgezéssel törjék fel. Az 1.1.x-nek a telepítése, pedig azért hülyeség, mert miért raknának fel egy régebbit, ha van egy biztonságosabb újabb is. |
Joomlafan
said:
|
... Ezek mind jó megoldások, ha tuti használatra szeretnéd. A lényege az, hogy az új admin felület elérését csak te tudd elérni. Legegyszerűbb a htaccess titkosítás, de ne a szervert törjék fel, majd onnan az oldalt, mert akkor ez ellen nem véd ez sem. A lényeg az egésznek, hogy a phpmyadmin-t ne érjék el, ill. az admin jelszó csuda bonyolult legyen. |
bmd
said:
|
... Ahhoz hogy a joomla admin felületet megváltoztassam a administrator/index.php-ról mondjuk enter.php-ra elég csak a fájl átírni, vagy kell még valahol valamit átírni? A szerverrel kapcsolatban majd összegyülytöm a kérdéseim. A htaccess-l való tikosítás az jelenti, hogy az admin felülethez, csak egy adott ip címről lehet hozzá férni? |
bmd
said:
|
... Több helyen olvastam, hogy nem biztos , hogy érdemes váltani a 1.5.7-ról 5.8-ra. Én felvagyok iratkozva hírlevére, így amikor megjelent rögtön fel is tette.Csak a modosítás dátummal volt, gond ,amit nyelvi csomag megjavított, és néhány oda nem illő html kód részlettel,amit meg a delelte gomb javított meg. Erre is olvastam, hogy a cikkek szűrőjénél kell állítgatni, és azzal sincs gond. Most csinálok egy új oldalt, amire már később fel lett telepítve az 5.7-s, akkor nem fontos frissíteni? A 5.9, vagy 6.0 verzió megjelenéséről lehet valamit tudni? |
