Вчера ме хакнаха
Публикувана е на събота 13th декември 2008 01:28 в категориите: Аз и Боян, Събития, Технологии и Интернет
Ония ден ми звънна председателят на сдружението ни в Darmstadt и ми каза да отворя сайта на сдружението. Адреса е Saedinenie.de. Страницата, която излезе, е това, което виждате горе. Някакви турци са решили да се изгаврят със страницата ми. Разбира се, всички снимки са в imageshack, а следи в логовете няма. В http лога имаше няколко адреса, които са посещавали сайта в периода след хака, но всички са или ботове на Google или Yahoo, или проксита в Холандия. Проверих дали адресите на ботовете наистина водят до сървърите на търсачките и явно не са се маскирали. С две думи не мога да ги проследя.
Проверих какъв е проблемът – индекс файла на Joomla системата беше сменен. В първия момент се паникьосах и смених всички пароли на пощите, админ панелите и ftp акаунтите. После тръгнах да правя пълен backup на системата, което отнема доста време. В крайна сметка писах на Суперхостинг и те го възстановиха от архивите. Впрочем много бързо реагираха. Интересното на всичко е, че файла беше с непроменени дата и час, но с променено съдържание. Всъщност затова и се паникьосах в първия момент. След кратка дискусия стигнахме до извода, че са използвали бъг в Joomla-та, който позволява да се пускат собствени скриптове. Няма хакване на домейни, няма препращане. Странното е, че не са направили по-големи проблеми. Оправих вече бъговете и се надявам да не правят повече проблеми. Така или иначе тези са дребни хакери, а не като тези, които се бяха развихрили из българските министерства.
|
|
30 коментара за “Вчера ме хакнаха”
Оставете отговор
13 декември 2008 в 02:55:41
upgrade-ваш грозната Joomla до 1.5.8 и проблема ти се решава магически (за момента). ако случайно не си на 1.5.*, дигаш до там.
Joomla трябва да се пази винаги upgraded до latest stable available, щото иначе лошо. ежедневно оправям поне по 3 такива. турчалята са голяма работа =)
13 декември 2008 в 03:12:31
И мен ме бяха хакнали тези от АЙЛДЪЗ тийм. Не беше дупка в моя код а отново в Джумла, трябва да им спретнем един DDoS.
13 декември 2008 в 11:52:18
И аз съм имал проблеми с Джумлата и този турски байряк… ебем ти и хакерите, само занимавки отварят…
13 декември 2008 в 12:44:36
Само дразнят наистина. Затова има хубави неща като backup от страна на хоста ми и cron job за личен допълнителен backup. За DDoS ми хрумна като бяха нападнали министерствата, но за целта първо трябва да знаем къде са, и второ трябва да имаме много компютри. Ако са сериозни хакери няма да се учудя ако си имат няколко резервни места на сайта и собствена мрежа от зомбита. Сега ми хрумна обаче нещо друго – да се направи добавка за joomla-та, която да сваля привидно версията на cms-а и да следи за съобщения, експлоатиращи въпросните бъгове. Като хване нещо такова, може да праща веднага мейл или sms със информация, че става нещо и да следи по-подробно трафика и откъде идва съобщението. Така може и да хванем някой.
13 декември 2008 в 13:19:47
Хахаха, да това е идея, те сега още яко се опитват с онзи бъг за сменяне на паролата с кавичката. Не е трудно да се напише един мамбот/плъгин който да следи това, но така ще хванем само някое прокси или зомбирана машина. Най-добре DDoS на сайта със заявки, които отнемат повечко време, примерно с рандом стринг в търсачката и други такива, да не би случайно да кешира заявката
13 декември 2008 в 13:32:52
Е да ама пак трябва доста компютри и доста скорост. Ако някой има vpn достъп до работа или университета през събота и неделя, може.
13 декември 2008 в 14:15:25
То за това не позлвам неща като Joomla, защото за момента 2 пъти са ми хаквали нещо. 1вия път беше през phpBB2 форум, а втория беше че един бивш колега беше дал паролата си за ftp на някакъв негов познат, който беше решил да се прави на мъж.
13 декември 2008 в 19:13:18
[Свежо] Затова винаги следете сайтовете на производителя/разработчика и винаги обновявайте инсталацията си към най-новата/най-сигурната версия… Въведете и допълнителни защити.
13 декември 2008 в 19:44:56
Има един грозен бъг в com_user на джумлата който може да се реши и без да пачваш до 1.5.8. Просто си преименувай админския акаунт да не е админ ми квото си пожелаеш. Иначе мен ме изпердашиха ей тия младежи:
http://www.google.bg/search?hl=bg&q=hacked+by+vezir&btnG=Google+%D1%82%D1%8A%D1%80%D1%81%D0%B5%D0%BD%D0%B5&meta=&aq=f&oq=
13 декември 2008 в 21:42:25
ами незнаещ как става хак и обращат резбата
13 декември 2008 в 21:58:16
malu4ki, коментара ти е много странен.
13 декември 2008 в 22:47:30
Наистина е ужасно това, което се е случило със сайта ти. Има начин да се предотвратят такива набези.
Трябва да си много нащрек при използването на подобни системи.
Ако има възможност се абонирай за да ти изпращат информация при излизане на нова версия.
Също така е добре да преглеждаш редовно този сайт
http://secunia.com/advisories/search/?search=joomla
13 декември 2008 в 23:01:41
[Свежо] Или просто не ползвайте готови решения
13 декември 2008 в 23:07:31
Смешко! Защо мърсиш думата хакер. И ти ли си поредния, който не празграничава хакер от кракер.
Освен това тези, които са ползвали най-вероятно mysql инжекцийка към джумлата ти са със сигурност не повече от аматьори и са ползвали заучени хакове. Мисля че проблемът, че не обновяваш е твой.
13 декември 2008 в 23:07:38
Joomla май е от CMS-ите с най-много дупки и експлойти за тях?
Долу горе поради ей такива неща съм се отказал и от нея, и от phpBB, и от WP, и т.н.
13 декември 2008 в 23:13:01
Joomla е с толкова много дупки в модулите че дори е опасно да я пипаш и с 10 метрова пръчка – пак можеш да се заразиш. Има добре написани модули, но болшинството са зле и не правят проверки на параметрите от което възникват проблемите.
14 декември 2008 в 00:00:27
[Свежо] е… всяко едно решение е готово рано или късно..
14 декември 2008 в 00:15:55
Ами плащайте си на кадърни програмисти да ви пишат CMS-ите тогава
Или поне обнвявайте…
14 декември 2008 в 00:32:07
Joomla все пак е доста добър CMS, няма такова нещо като непробиваем CMS, въпроса е, че ако си платиш на някой „кадърен“ програмист, просто ще работиш с „нещо“, което е различно от стандартните системи и това може да те спаси до някъква степен. Истината е в Joomla + чести ъпдейти (по възможност автоматични) + mod_security. Също така е желателно компонентите и модулите да си ги пишете сами (по възможност). Казвам това от позицията на програмист.
Поздрави!
14 декември 2008 в 00:44:05
Защо ли повече ме блазни идеята с WordPress, който се обновява пак редовно и е супер опоскан от стотици излишни екстри.
14 декември 2008 в 00:50:35
Не знам за останалите, но аз съм разглеждал кода на WordPress при това доста подробно, мога да Ви уверя, че това е доста товареща система, изключително бъгава, но пък много популярна. Фирмата, за която работя плаща всеки месец 4-5 цифрени суми в лв на авторите на този софтуер, не мога да повярвам колко много пари правят от него. Joomla също не е най-лекия CMS, но за сметка на това е много мощен, след 1-2 години работа с него ще се научиш по какъв начин да направиш така, че да работи адски бързо при положение, че имаш голям трафик.
14 декември 2008 в 03:58:17
[Свежо] @Ham – е сега, искаш да седна да пиша целия сайт ли? Лично аз бих използвал WP, но другите дето админват сайта предпочитат Joomla. Ако трябва да седна да правя cms на ръка ще е мн кофти.
14 декември 2008 в 16:07:07
Вижте, на мен ми е ясно, че си е моя вината, че не съм обновявал. Не знаех, че има толкова много бъгове в joomla-та, защото преди да я сложа на този сайт, не се бях занимавал с нея. krassyo, пределно ясно ми е, че тия са аматьори и просто правят мръсно на хората. Знам какво означава всъщност хакер, но значението, което влагам в статията е общо възприетото, за да ме разберат всички.
Като цяло joomla-та не я харесвам като cms, защото е прекалено тежка и объркана. WP-то съм го customize-вал за няколко сайта и съм останал доста впечатлен от възможностите му. Не е вярно, че е тежък. Както обаче се случва със всички open-source проекти с публично участие, няма начин да няма бъгове и то особено в plugin-ите.
14 декември 2008 в 16:20:36
В крайна сметка за всеки един CMS излизат експлойти, нормално е колкото е по-използван да има повече атаки към него. Използването на други компоненти е рисковано. Joomla е добра основа за изграждане на сайтове, особенно ако си пишете компонентите сами. Използвам я заради прекрасния framework с който разполага, и помага доста.
Да се надяваме, че скоро няма да станем жертва на някой нов WP или Joomla exploit. Не знам защо хората се занимават с такива глупости, а не седнат да създадът нещо, от което да изкарат пари примерно
.
15 декември 2008 в 10:31:40
Има достатъчно хора без въображение, но със достатъчно знания и прекалено много комплекси, за да не могат да измислят както положително да направят. Затова правят мръсно на другите.
Мен WP ми харесва, защото е проста, има редовни подобрения и факта, че е най-популярната предполага, че повече хора гледат за грешки. За жалост няма голяма част от мощта на другите CMS-и, но и за това си има време. Всъщност ако се замислиш, всичко може да се направи с малко игра с template-а. В събота примерно преработихме един WP за да стане homepage с всичките му екстри. За новинарската секция използвахме постовете, а промяната на всички страници стана за час и нещо. Единствения проблем е, че ако искаш да направиш нещо точно определено, трябва да обвържеш съдържанието на page-овете с промените на page template-а, но това е малко нещо.
15 декември 2008 в 10:41:56
А, край! Слагам математически въпрос към коментарите. Писна ми от руски спам. Не го хващат филтрите и по 20 пъти на ден ми се налага да го трия.
15 декември 2008 в 11:14:35
Е не – това вече е тъпо – като сложа математически въпрос, полетата към коментарите стават твърде много. Най-лошото обаче е, че все още ми иска и име, и мейл, и анти-спам като слагам openid. Отметнал съм да не ги иска, ама ето!
15 декември 2008 в 11:20:50
Ами… поне като напишеш един коментар и ти ги помни после като влезеш пак
. Не е чак такава болка за умиране едно поленце повече, поне ще поспре спама.
15 декември 2008 в 11:22:04
Не, тук един от twitter ми даде идея просто да блокирам руснаците нацяло. .ru в черния списък и готово.
15 декември 2008 в 16:06:50
Промених plugin-a на Николай за кирилицата и добавих филтриране на на руските сайтове и мейли. Ето новия plugin.