Welcome, Guest
Username: Password: Remember me
  • דף:
  • 1
  • 2

TOPIC: אזהרה: גל פריצות לאתרי JOOMLA

אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 10 ם ago #1

שלום חברים,

לצערי, אני יכול לעדכן שאני חווה גל התקפות על אתרי הג'ומלה שיש לי קשר איתם - על ידי האקרים סורים. תוצאות הפריצה הן השחתה מוחלטת של השרת עד רמת בסיסי הנתונים, קבצים וכו'.

הפריצה, כנראה, מבוססת SQL INJECT ועדין לא הצלחתי לברר לעומק אם ההגנות של ג'ומלה כשלו או שאני לא הגדרתי את הדברים נכון.

אנא הערכו, גבו ושפרו אבטחה באופן מיידי.

מי שמעוניין ויודע להתמודד - אשמח להעביר לו את קובץ ה-PHP המקודד שנשתל בשרת אחרי החורבן.
  • AhoyIT
  • AhoyIT's Avatar
  • מנותקים
  • דייר ותיק
  • Posts: 141
  • Thank you received: 4
  • קארמה: -1
AhoyIT ייעוץ לאסטרטגיית אינטרנט לעסקים
ייעוץ טכנולוגי, שיווקי ומיתוגי לנוכחות אינטרנט מוכללת
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 10 ם ago #2

דבר ראשון - עדכנו את ג'ומלה לגירסה האחרונה!! ג'ומלה 1.5.23 או ג'ומלה 1.6.3.
דבר שני - עדכנו את הרכיבים שלכם.

תוכל לשלוח אלי בפרטי את הקובץ המשחית כדי לחקור אותו?
  • oc666
  • oc666's Avatar
  • מנותקים
  • מנהל
  • Posts: 1027
  • Thank you received: 108
  • קארמה: 23
embAD-new way to insert ads to your website
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 10 ם ago #3

oc666 wrote:
דבר ראשון - עדכנו את ג'ומלה לגירסה האחרונה!! ג'ומלה 1.5.23 או ג'ומלה 1.6.3.
דבר שני - עדכנו את הרכיבים שלכם.

תוכל לשלוח אלי בפרטי את הקובץ המשחית כדי לחקור אותו?

בשמחה - שלך לי מייל לכתובת contact [AT] ahoy.co.il
  • AhoyIT
  • AhoyIT's Avatar
  • מנותקים
  • דייר ותיק
  • Posts: 141
  • Thank you received: 4
  • קארמה: -1
AhoyIT ייעוץ לאסטרטגיית אינטרנט לעסקים
ייעוץ טכנולוגי, שיווקי ומיתוגי לנוכחות אינטרנט מוכללת
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 10 ם ago #4

היי,

שלחתי לך גם מייל.
פחות מעניין אותי הקובץ המשחית, זה בד"כ כלל SHELL SCRIPTS שחוזרים על עצמם.
מעניין אותי יותר ההודעה שהם משאירים באתר שהם פרצו.
אני מגדיר את השרתים שלנו שיתריאו לצוות סיסטם שלנו בכל פעם שמשאירים הודעות כאלו ואחרות באתרים.

ככה תפסתי פריצות "על חם".

אלי.
  • elialum
  • elialum's Avatar
  • מנותקים
  • דייר טרי
  • Posts: 40
  • Thank you received: 7
  • קארמה: 0
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 10 ם ago #5

אגב עוד משהו,

ברוב הפריצות שחקרתי, הם הצליחו להשיג \ לשנות את ססמת מנהל האתר באמצעות SQL INJECITON כאלו ואחרים.

ברגע שאתה חוסם את תיקיית ה-administrator ברמת השרת (עם htpasswd), הם נשארים בחוץ. אמנם יש להם יוזר אדמין, אבל אין להם איך להכנס.

קיבלתי לא פעם תלונות מגולשים שפתאום לא מצליחים להכנס לניהול האתר ולא מבינים למה (האתר המשיך לתפקד כרגיל).

לכן המלצות לגבי SQL INJECTION -

1. אל תעבדו עם משתמש ADMIN שה-ID שלו הוא 62
2. שם המשתמש שלא יהיה admin אלא שם שאתם ממציאים
3. קידום הטבלאות (JOS) לשנות למשהו שאתם ממציאים.
4. סגירת תיקיית ה-administrator.
5. ברמת השרת אחסון - mod_security שמוגדר כמו שצריך למנוע דברים כאלו.

אגב, במידה ויש פרצה אחרת באתר - כמו יכולת להעלות קבצים, זה כבר סיפור אחר, והמצב הרבה יותר גרוע. אם אבטחת השרת לקויה, אפשר לבצע פריצות רוחביות לאתרים אחרים והשמיים הם הגבול.

הנה דוגמא לאתר לא מאובטח של "חובבי ציון" -

www.mim-omid.com/home/administrator/comp...expose/uploadimg.php

למה יש לי גישה ישירה לטופס שמעלה קבצים ?
בג'ומלה הכל צריך לעבור דרך המערכת שלהם, אין מצב של גישה ישירה לקבצים.

(לא עשיתי עם זה כלום, רק מציג דוגמא)

אלי.
  • elialum
  • elialum's Avatar
  • מנותקים
  • דייר טרי
  • Posts: 40
  • Thank you received: 7
  • קארמה: 0
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 10 ם ago #6

תודה!

שלחתי לך את החומרים - שים לב שב-1.6 המשתמש הראשי הוא 42 ...
  • AhoyIT
  • AhoyIT's Avatar
  • מנותקים
  • דייר ותיק
  • Posts: 141
  • Thank you received: 4
  • קארמה: -1
AhoyIT ייעוץ לאסטרטגיית אינטרנט לעסקים
ייעוץ טכנולוגי, שיווקי ומיתוגי לנוכחות אינטרנט מוכללת
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 10 ם ago #7

היי,

אני מודה לך, אך לא קיבלתי כלום.
תוכל לשלוח שוב ?

admin (at) jetserver.co.il

תודה

אלי
  • elialum
  • elialum's Avatar
  • מנותקים
  • דייר טרי
  • Posts: 40
  • Thank you received: 7
  • קארמה: 0
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 10 ם ago #8

כשאני מתקין ג'ומלה, אני מעביר את כל ההרשאות לקבצים ל 777 ואני יודע שצריך להחזיר הרשאות לקבצים, אבל לא יודע לאיזה קבצים.
אם אני חוסם את כולם, האתר לא עולה או שהתוספים לא עובדים וכו' כו'...
האם תוכלו לעשות סדר, להגדיר מה חשוב להשאיר 777 ומה חשוב "לנעול" לאחר ההתקנה?

תודה
  • Mistral
  • Mistral's Avatar
  • מנותקים
  • דייר ותיק
  • Posts: 108
  • Thank you received: 7
  • קארמה: 0
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 10 ם ago #9

Mistral wrote:
כשאני מתקין ג'ומלה, אני מעביר את כל ההרשאות לקבצים ל 777 ואני יודע שצריך להחזיר הרשאות לקבצים, אבל לא יודע לאיזה קבצים.
אם אני חוסם את כולם, האתר לא עולה או שהתוספים לא עובדים וכו' כו'...
האם תוכלו לעשות סדר, להגדיר מה חשוב להשאיר 777 ומה חשוב "לנעול" לאחר ההתקנה?

תודה

התשובה ארוכה מדי - בגדול, פשוט תבצע רישום מסודר ואחרי-כן תחזיר למצב המקור.

בגדול, כל הספריות אמורות להיות בלתי-כתיבות לעולם החיצון.
  • AhoyIT
  • AhoyIT's Avatar
  • מנותקים
  • דייר ותיק
  • Posts: 141
  • Thank you received: 4
  • קארמה: -1
AhoyIT ייעוץ לאסטרטגיית אינטרנט לעסקים
ייעוץ טכנולוגי, שיווקי ומיתוגי לנוכחות אינטרנט מוכללת
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 10 ם ago #10

איך אפשר עוד להגן על המערכת בנוסף לגרסה הכי עדכנית שיש?..יש מאמרים מומלצים?....תודה =)
  • vika_b
  • vika_b's Avatar
  • מנותקים
  • דייר ותיק
  • Posts: 342
  • Thank you received: 15
  • קארמה: 1
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 10 ם ago #11

באופן אישי, אני משתמש בהמלצות שבאתר JOOMLA העולמי - אבל שימו לב שהן עלולות לחסום שירותים שונים כמו PARKED DOMAINS, טעינת תמונות במנהל המדיה וכו' ולעיתים נדרש להתאים פרטנית לשרת שבו אתם עובדים (ולפעמים הכול עובד חלק).

המלצה שלי - העתיקו והריצו פעם אחת ואז תזרקו החוצה את חתיכות הקוד שזיהתם שעושים לכם את הבעיה ... בנוסף, חפשו את המילה EXAMPLE בקוד והחליפו אותה בשם הדומיין (כולל הסיומת).

גם ההמלצות שהוזכור למעלה בנוגע לשם משתמש ADMIN, סיסמא לספריית ADMINISTRATOR וכו' הן קריטיות.
  • AhoyIT
  • AhoyIT's Avatar
  • מנותקים
  • דייר ותיק
  • Posts: 141
  • Thank you received: 4
  • קארמה: -1
AhoyIT ייעוץ לאסטרטגיית אינטרנט לעסקים
ייעוץ טכנולוגי, שיווקי ומיתוגי לנוכחות אינטרנט מוכללת
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 10 ם ago #12

עדכון (אולי חשוב),

נכון לאתמול, השרת שעליו התבצעו הפריצות קרס חומרתית (עד כי חוסר יכולת לשחזר ממנו מידע) - כעת, אין לי שום הוכחה שיש קשר ... אבל לטעמי האישי ההסתברות ששני דברים כלו יקרו בהפרש של יומיים-שלושה, כמעט זניח ... אז הייתי ממליץ לשים לב היטב שלא מזריקים לכם איזה יישום קטן שטוחן לכם את השרת וגורם לקריסתו!
  • AhoyIT
  • AhoyIT's Avatar
  • מנותקים
  • דייר ותיק
  • Posts: 141
  • Thank you received: 4
  • קארמה: -1
AhoyIT ייעוץ לאסטרטגיית אינטרנט לעסקים
ייעוץ טכנולוגי, שיווקי ומיתוגי לנוכחות אינטרנט מוכללת
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 10 ם ago #13

נפל בגלל תקלת חומרה, או פשוט נפל?
זה לא סיפור כזה גדול להפיל שרת ברגע שאתה בפנים, כמה לולאות אין סופיות ב-php וה-CPU מזנק לשמיים ( ואז הכל לא זמין). ברוב המקרים הדרך היחידה לצאת מזה היא פשוט ריסט לשרת..

בכל מקרה, אם הייתה תקלת חומרה אמיתית (לוח אם תקול נניח), אין שום סיבה שיימחק מיידע.
  • elialum
  • elialum's Avatar
  • מנותקים
  • דייר טרי
  • Posts: 40
  • Thank you received: 7
  • קארמה: 0
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 10 ם ago #14

זה לא שרת פיזי שלי, אלא של החברה בה אני מתארח - אז הכל בערבון מוגבל.

אבל הוא פשוט הלך לגמרי וזה הגיע למצב שהם הזמינו שרת חדש והתקינו אותו וכעת משחזרים את החשבונות מהגיבויים ולא מה-RAID ... אז באמת שאני רק מנחש, אבל יש השערה.
  • AhoyIT
  • AhoyIT's Avatar
  • מנותקים
  • דייר ותיק
  • Posts: 141
  • Thank you received: 4
  • קארמה: -1
AhoyIT ייעוץ לאסטרטגיית אינטרנט לעסקים
ייעוץ טכנולוגי, שיווקי ומיתוגי לנוכחות אינטרנט מוכללת
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 10 ם ago #15

וואו, אני לא מקנא בהם. אני מניח שזה גם downtime ארוך.
שיהיה בהצלחה 
  • elialum
  • elialum's Avatar
  • מנותקים
  • דייר טרי
  • Posts: 40
  • Thank you received: 7
  • קארמה: 0
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 10 ם ago #16

AhoyIT wrote:
באופן אישי, אני משתמש בהמלצות שבאתר JOOMLA העולמי - אבל שימו לב שהן עלולות לחסום שירותים שונים כמו PARKED DOMAINS, טעינת תמונות במנהל המדיה וכו' ולעיתים נדרש להתאים פרטנית לשרת שבו אתם עובדים (ולפעמים הכול עובד חלק).

המלצה שלי - העתיקו והריצו פעם אחת ואז תזרקו החוצה את חתיכות הקוד שזיהתם שעושים לכם את הבעיה ... בנוסף, חפשו את המילה EXAMPLE בקוד והחליפו אותה בשם הדומיין (כולל הסיומת).

גם ההמלצות שהוזכור למעלה בנוגע לשם משתמש ADMIN, סיסמא לספריית ADMINISTRATOR וכו' הן קריטיות.
שלום שוב,
אנחנו עדיין חוקרים את הסקריפט ששלחת לי לבדיקה. הפריצה עושה שימוש בזה שרוב האנשים משאירים את ספריית images כתיבה ולא מונעים הרצה של קבצי סקריפט מתוך ספריית images. בנוסף, יש שימוש בפונקצית eval ומומלץ לחסום פונקציה זו (לא סתם אומרים eval is evil).
אני אישית לא כ"כ אוהב את החסימות של ה-htaccess שציינת כי רוב האנשים לא יודעים מה הם עושים ואז מתפלאים למה דברים מפסיקים לעבוד כמצופה.
בקרוב אפרסם דו"ח ומסקנות לגבי הפריצה הנ"ל באתר.
  • oc666
  • oc666's Avatar
  • מנותקים
  • מנהל
  • Posts: 1027
  • Thank you received: 108
  • קארמה: 23
embAD-new way to insert ads to your website
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 10 ם ago #17

oc666 wrote:
AhoyIT wrote:
באופן אישי, אני משתמש בהמלצות שבאתר JOOMLA העולמי - אבל שימו לב שהן עלולות לחסום שירותים שונים כמו PARKED DOMAINS, טעינת תמונות במנהל המדיה וכו' ולעיתים נדרש להתאים פרטנית לשרת שבו אתם עובדים (ולפעמים הכול עובד חלק).

המלצה שלי - העתיקו והריצו פעם אחת ואז תזרקו החוצה את חתיכות הקוד שזיהתם שעושים לכם את הבעיה ... בנוסף, חפשו את המילה EXAMPLE בקוד והחליפו אותה בשם הדומיין (כולל הסיומת).

גם ההמלצות שהוזכור למעלה בנוגע לשם משתמש ADMIN, סיסמא לספריית ADMINISTRATOR וכו' הן קריטיות.
שלום שוב,
אנחנו עדיין חוקרים את הסקריפט ששלחת לי לבדיקה. הפריצה עושה שימוש בזה שרוב האנשים משאירים את ספריית images כתיבה ולא מונעים הרצה של קבצי סקריפט מתוך ספריית images. בנוסף, יש שימוש בפונקצית eval ומומלץ לחסום פונקציה זו (לא סתם אומרים eval is evil).
אני אישית לא כ"כ אוהב את החסימות של ה-htaccess שציינת כי רוב האנשים לא יודעים מה הם עושים ואז מתפלאים למה דברים מפסיקים לעבוד כמצופה.
בקרוב אפרסם דו"ח ומסקנות לגבי הפריצה הנ"ל באתר.

מסכים לגבי ה-HTACCESS - אבל כמו שהדגמתי שיטה סבירה גם להדיוטות ... פשוט עוברים מקטע - מקטע ועד שמנקים את אלו שיוצרים בעיות ... עדיף מעט הגנה, מאשר בכלל לא.

אשר לחסימת ספריית IMAGES - איך אתה ממליץ לבצע את זה? הרי זו ספרייה דינאמית למשתמש. האם לאפשר אותה בכל פעם שאני ניגש ל-ADMIN או שיש פה משהו שאני מחמיץ?
  • AhoyIT
  • AhoyIT's Avatar
  • מנותקים
  • דייר ותיק
  • Posts: 141
  • Thank you received: 4
  • קארמה: -1
AhoyIT ייעוץ לאסטרטגיית אינטרנט לעסקים
ייעוץ טכנולוגי, שיווקי ומיתוגי לנוכחות אינטרנט מוכללת
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 10 ם ago #18

AhoyIT wrote:
מסכים לגבי ה-HTACCESS - אבל כמו שהדגמתי שיטה סבירה גם להדיוטות ... פשוט עוברים מקטע - מקטע ועד שמנקים את אלו שיוצרים בעיות ... עדיף מעט הגנה, מאשר בכלל לא.

אשר לחסימת ספריית IMAGES - איך אתה ממליץ לבצע את זה? הרי זו ספרייה דינאמית למשתמש. האם לאפשר אותה בכל פעם שאני ניגש ל-ADMIN או שיש פה משהו שאני מחמיץ?
הניקוי שציינת זו הסיבה למה עדיף שלא להשתמש בזה. רוב המשתמשים יראו שמשהו לא עובד ויתחילו לקצץ את הקובץ וגם מה שמונע פריצות על הדרך. בגלל זה עדיף להסביר מה כל דבר עושה כמו שאכתוב במאמר האבטחה שאני מכין.

ולנושא שלנו - ניתן לאפשר כתיבה לתיקייה, אך לא לאפשר בה הרצה של סקריפטים (php, cgi וכו'). במילים אחרות, מה שפורצים בד"כ עושים זה - מעלים קובץ php עם פקודות זדוניות לשרת לתיקייה שמאפשרת כתיבה ולאחר מכן גולשים אליה כדי להריץ את הקובץ. כאשר אתה מונע הרצה של סקריפטים לתיקייה כתיבה אתה מונע מפורצים את אופן הפעולה הנ"ל.
  • oc666
  • oc666's Avatar
  • מנותקים
  • מנהל
  • Posts: 1027
  • Thank you received: 108
  • קארמה: 23
embAD-new way to insert ads to your website
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 10 ם ago #19

oc666 wrote:

ניתן לאפשר כתיבה לתיקייה, אך לא לאפשר בה הרצה של סקריפטים (php, cgi וכו').

תחכים אותי לגבי זה, בבקשה.
  • AhoyIT
  • AhoyIT's Avatar
  • מנותקים
  • דייר ותיק
  • Posts: 141
  • Thank you received: 4
  • קארמה: -1
AhoyIT ייעוץ לאסטרטגיית אינטרנט לעסקים
ייעוץ טכנולוגי, שיווקי ומיתוגי לנוכחות אינטרנט מוכללת
המנהל ביטל גישת כתיבה ציבורית.

תשובה: אזהרה: גל פריצות לאתרי JOOMLA 7 שנים 10 ם ago #20

AhoyIT wrote:
oc666 wrote:

ניתן לאפשר כתיבה לתיקייה, אך לא לאפשר בה הרצה של סקריפטים (php, cgi וכו').

תחכים אותי לגבי זה, בבקשה.

תחכה בסבלנות לסוף המחקר ... :pinch:
  • oc666
  • oc666's Avatar
  • מנותקים
  • מנהל
  • Posts: 1027
  • Thank you received: 108
  • קארמה: 23
embAD-new way to insert ads to your website
המנהל ביטל גישת כתיבה ציבורית.
  • דף:
  • 1
  • 2
Time to create page: 3.070 seconds
Powered by Kunena