Päivittämättömät PHP-härpäkkeet kuten WordPress ja PHPbb ovat kuin kutsukortti haavoittuvuuksia testaaville boteille. Toki on paljon muitakin potentiaalisia aukkoja, mutta nuo PHP-skriptit ovat helpoin tapa saada kone korkattua.
Riippuen palvelusta (shared/dedicated) noissa on tietysti palveluntarjoajallakin huolehtimista. Jos ja kun tunnus aukeaa, suosittelen poistamaan tunnukselta ihan kaiken ja asentamaan kamat uudelleen käyttäen ei-saastunutta tietokantaa (jos on varmuuskopio jossain muualla olemassa) ja vaihtamaan kaikki salasanat uusiin.
Ikävintä näissä on monesti se, että parin päivän jälkeen korjauksesta homma tapahtuu uudelleen kun hyökkääjä ehti tehdä jonkun backportin itselleen näennäisesti harmittomiin tiedostoihin. Tämän takia palvelimella olleisiin tiedostoihin ei pidä luottaa enää lainkaan. (Jos palvelu on dedicated-tyyppinen, silloin on tietysti n+1 muuta tietoturva-asiaa joista pitää huolehtia konetta uudelleen pystytettäessä.)
@menijo: Joo. Äässistä on. Tätä on nyt liikkeellä... striimi.net oli haxattu tässä muutama päivä sitten. Oli vain tyssännyt touhu kesken ja asia saatiin korjattua.
@uninen: Toi on totta. Mä oon siksi yrittänyt pitää wordpressit ja phpbb:t ajantasalla. Kantalokien mukaan (jotka palveluntarjoaja mulle toimitti) näyttäs siltä, että attack on tullut yhden "unohtuneen" servicen kautta. Kokeilin joskus Wordpressin MU (multi user) systeemiä. Se on joku aatamin aikuinen WP -säätö...Unohdin sen olemassa olon testin jälkeen. Sinne ei viitannut edes mikään domain. Haksori pääs sieltä kuitenkin pommittaan MySQL -kantaa niin, että Eestinpoikien palvelin meinas kaatua. Vetivät sitten automaattisesti "töpselit" seinästä.
Tältä siis näyttäisi näin alustavasti. Noh..siinä meni sitten @pez13 mainitsemat muutkin domainit pimeeks samalla. Eli kaikki hessu -johdannaiset ovat samassa laarissa ja siksi tuo yksi vanha rousku sai kaikki pimeeks...shit happens.
Avaisivat nyt vaan mun accountin, niin pääsisin korjaamaan tuhoja ja hävittään seulat, josta pääsee sisään. :-)
@uninen: Niin ja vielä...arvaa vaan onko backuppia missään... Mutta pitää varmaan ottaa se kanta talteen ja heivata kaikki serverin tiedostot veks ja asentaa uusiks. Oisko se kantaan mitään saanu pistettyä sellasta, että haittais...voihan se tietty olla...
Shared toi mun service kaiketi on..ei oo dedicated server ainakaan.
@joni10: Enpäs osaa sanoo, kauanko menis. Riippuu serverimaailmasta. En näe syytä laittaa sivuja striimin palvelimelle...tää toimii ihan hyvin, kun vaan muistaa ettei jätä kaiken maailman kokeiluitaan roikkumaan nettiin...
@hessuj: palveluntarjoaja yleensä pitää kopioita useamman päivän ajalta. Kannattaa kysyä josko löytyisi tuhopäivää edeltävä versio, ja jos, niin saako sellaisen paikalleen maksamatta maltaita.
Ellei tuo onnistu syystä tai toisesta, kaikkien kannassa olevien ohjelmien salasanat ja niihin liittyneiden käyttäjien salasanat on syytä resetoida. Lisäksi, jos kannan käyttäjätunnus/salasana on käytössä jossain muualla (mikä on erittäin huono tapa ylipäätään), kaikki muutkin esiintymät kannattaa vaihtaa ASAP.
Kantaan voi periaatteessa kirjoitella sinnekin kaikkea ilkeää, mutta fiksujen ohjelmien pitäisi ehkäistä tällaiset ongelmat lukuvaiheessa.
Jos tarvitset konkreettista apua niin meilaile -- näistä on työn puolesta kokemusta jonkin verran.
(Ja ihan empatiamielessä kerrottakoon, että tätä on tapahtunut kyllä itsellekin: kun Unessa.net siirrettiin aikoinaan dedikoidulle koneelle, kone korkattiin lyhyen ajan sisällä kahdesti ennenkuin sain sinne tietoturva-asiat ajan tasalle.)
Pistän postia kunhan eka saan tunnarin auki ja pääsen tsekkaan tilanteen tarkemmin. Tässä on se hyvä puoli kyllä, että ko. tietokanta oli erillään muista. Sillä oli myös oma käyttäjätunnus ja salasana. Näin muiden kantojen tunnarit ja salasanat on turvassa. Tosin nekin kannattaa nyt resetoida...
15 comments so far
Kätevää..nyt account tosiaan on suljettu. En pääse edes korjaamaan mitään...puuh.
10 months, 4 weeks ago by hessuj
No huh ompas hurja meininki. plääh, höh toivottavasti saat pian kuntoon, ikäviä tuollaiset. :/
10 months, 4 weeks ago by menijo
Pahus! :(
Päivittämättömät PHP-härpäkkeet kuten WordPress ja PHPbb ovat kuin kutsukortti haavoittuvuuksia testaaville boteille. Toki on paljon muitakin potentiaalisia aukkoja, mutta nuo PHP-skriptit ovat helpoin tapa saada kone korkattua.
Riippuen palvelusta (shared/dedicated) noissa on tietysti palveluntarjoajallakin huolehtimista. Jos ja kun tunnus aukeaa, suosittelen poistamaan tunnukselta ihan kaiken ja asentamaan kamat uudelleen käyttäen ei-saastunutta tietokantaa (jos on varmuuskopio jossain muualla olemassa) ja vaihtamaan kaikki salasanat uusiin.
Ikävintä näissä on monesti se, että parin päivän jälkeen korjauksesta homma tapahtuu uudelleen kun hyökkääjä ehti tehdä jonkun backportin itselleen näennäisesti harmittomiin tiedostoihin. Tämän takia palvelimella olleisiin tiedostoihin ei pidä luottaa enää lainkaan. (Jos palvelu on dedicated-tyyppinen, silloin on tietysti n+1 muuta tietoturva-asiaa joista pitää huolehtia konetta uudelleen pystytettäessä.)
10 months, 4 weeks ago by Uninen
Hessun kahvilaankaan ei pääse. >__<
10 months, 4 weeks ago by Pez13
http://www.hessujarvinen.com/ "Tämä sivusto on väliaikaisesti suljettu."
10 months, 4 weeks ago by Pez13
@Pez13 http://blog.hessujarvinen.com ja http://podcast.hessunkahvila.com eli http://hessunkahvila.com ovat samassa domainissa , tai jotain vastaavan laista.
10 months, 4 weeks ago by joni10
@menijo: Joo. Äässistä on. Tätä on nyt liikkeellä... striimi.net oli haxattu tässä muutama päivä sitten. Oli vain tyssännyt touhu kesken ja asia saatiin korjattua.
@uninen: Toi on totta. Mä oon siksi yrittänyt pitää wordpressit ja phpbb:t ajantasalla. Kantalokien mukaan (jotka palveluntarjoaja mulle toimitti) näyttäs siltä, että attack on tullut yhden "unohtuneen" servicen kautta. Kokeilin joskus Wordpressin MU (multi user) systeemiä. Se on joku aatamin aikuinen WP -säätö...Unohdin sen olemassa olon testin jälkeen. Sinne ei viitannut edes mikään domain. Haksori pääs sieltä kuitenkin pommittaan MySQL -kantaa niin, että Eestinpoikien palvelin meinas kaatua. Vetivät sitten automaattisesti "töpselit" seinästä.
Tältä siis näyttäisi näin alustavasti. Noh..siinä meni sitten @pez13 mainitsemat muutkin domainit pimeeks samalla. Eli kaikki hessu -johdannaiset ovat samassa laarissa ja siksi tuo yksi vanha rousku sai kaikki pimeeks...shit happens.
Avaisivat nyt vaan mun accountin, niin pääsisin korjaamaan tuhoja ja hävittään seulat, josta pääsee sisään. :-)
10 months, 4 weeks ago by hessuj
@uninen: Niin ja vielä...arvaa vaan onko backuppia missään... Mutta pitää varmaan ottaa se kanta talteen ja heivata kaikki serverin tiedostot veks ja asentaa uusiks. Oisko se kantaan mitään saanu pistettyä sellasta, että haittais...voihan se tietty olla...
Shared toi mun service kaiketi on..ei oo dedicated server ainakaan.
10 months, 4 weeks ago by hessuj
...kanta=kannat...niitä on useampia... Sen kannan, mihin pommi oli iskenyt tuhoan kokonaan. Sekun oli se testi juttu.
10 months, 4 weeks ago by hessuj
Mjaa, kauonko menee, että sivustot taas pystyssä?
10 months, 4 weeks ago by joni10
@hessuj Olisiko järkevää laittaa sivut striimin palvelimelle ja sinne sitten domain?
10 months, 4 weeks ago by joni10
@joni10: Enpäs osaa sanoo, kauanko menis. Riippuu serverimaailmasta. En näe syytä laittaa sivuja striimin palvelimelle...tää toimii ihan hyvin, kun vaan muistaa ettei jätä kaiken maailman kokeiluitaan roikkumaan nettiin...
10 months, 4 weeks ago by hessuj
@hessuj: palveluntarjoaja yleensä pitää kopioita useamman päivän ajalta. Kannattaa kysyä josko löytyisi tuhopäivää edeltävä versio, ja jos, niin saako sellaisen paikalleen maksamatta maltaita.
Ellei tuo onnistu syystä tai toisesta, kaikkien kannassa olevien ohjelmien salasanat ja niihin liittyneiden käyttäjien salasanat on syytä resetoida. Lisäksi, jos kannan käyttäjätunnus/salasana on käytössä jossain muualla (mikä on erittäin huono tapa ylipäätään), kaikki muutkin esiintymät kannattaa vaihtaa ASAP.
Kantaan voi periaatteessa kirjoitella sinnekin kaikkea ilkeää, mutta fiksujen ohjelmien pitäisi ehkäistä tällaiset ongelmat lukuvaiheessa.
Jos tarvitset konkreettista apua niin meilaile -- näistä on työn puolesta kokemusta jonkin verran.
(Ja ihan empatiamielessä kerrottakoon, että tätä on tapahtunut kyllä itsellekin: kun Unessa.net siirrettiin aikoinaan dedikoidulle koneelle, kone korkattiin lyhyen ajan sisällä kahdesti ennenkuin sain sinne tietoturva-asiat ajan tasalle.)
10 months, 4 weeks ago by Uninen
@uninen: Kiitos vinkeistä... ja empatiasta :-)
Pistän postia kunhan eka saan tunnarin auki ja pääsen tsekkaan tilanteen tarkemmin. Tässä on se hyvä puoli kyllä, että ko. tietokanta oli erillään muista. Sillä oli myös oma käyttäjätunnus ja salasana. Näin muiden kantojen tunnarit ja salasanat on turvassa. Tosin nekin kannattaa nyt resetoida...
10 months, 4 weeks ago by hessuj
Onko tuota hyökkääjää jäljitetty yhtään?
10 months, 3 weeks ago by Pez13