Вчера ме хакнаха

Ония ден ми звънна председателят на сдружението ни в Darmstadt и ми каза да отворя сайта на сдружението. Адреса е Saedinenie.de. Страницата, която излезе, е това, което виждате горе. Някакви турци са решили да се изгаврят със страницата ми. Разбира се, всички снимки са в imageshack, а следи в логовете няма. В http лога имаше няколко адреса, които са посещавали сайта в периода след хака, но всички са или ботове на Google или Yahoo, или проксита в Холандия. Проверих дали адресите на ботовете наистина водят до сървърите на търсачките и явно не са се маскирали. С две думи не мога да ги проследя.

Проверих какъв е проблемът – индекс файла на Joomla системата беше сменен. В първия момент се паникьосах и смених всички пароли на пощите, админ панелите и ftp акаунтите. После тръгнах да правя пълен backup на системата, което отнема доста време. В крайна сметка писах на Суперхостинг и те го възстановиха от архивите. Впрочем много бързо реагираха. Интересното на всичко е, че файла беше с непроменени дата и час, но с променено съдържание. Всъщност затова и се паникьосах в първия момент. След кратка дискусия стигнахме до извода, че са използвали бъг в Joomla-та, който позволява да се пускат собствени скриптове. Няма хакване на домейни, няма препращане. Странното е, че не са направили по-големи проблеми. Оправих вече бъговете и се надявам да не правят повече проблеми. Така или иначе тези са дребни хакери, а не като тези, които се бяха развихрили из българските министерства.

27 коментара

  1. upgrade-ваш грозната Joomla до 1.5.8 и проблема ти се решава магически (за момента). ако случайно не си на 1.5.*, дигаш до там.

    Joomla трябва да се пази винаги upgraded до latest stable available, щото иначе лошо. ежедневно оправям поне по 3 такива. турчалята са голяма работа =)

  2. И мен ме бяха хакнали тези от АЙЛДЪЗ тийм. Не беше дупка в моя код а отново в Джумла, трябва да им спретнем един DDoS.

  3. И аз съм имал проблеми с Джумлата и този турски байряк… ебем ти и хакерите, само занимавки отварят…

  4. Само дразнят наистина. Затова има хубави неща като backup от страна на хоста ми и cron job за личен допълнителен backup. За DDoS ми хрумна като бяха нападнали министерствата, но за целта първо трябва да знаем къде са, и второ трябва да имаме много компютри. Ако са сериозни хакери няма да се учудя ако си имат няколко резервни места на сайта и собствена мрежа от зомбита. Сега ми хрумна обаче нещо друго – да се направи добавка за joomla-та, която да сваля привидно версията на cms-а и да следи за съобщения, експлоатиращи въпросните бъгове. Като хване нещо такова, може да праща веднага мейл или sms със информация, че става нещо и да следи по-подробно трафика и откъде идва съобщението. Така може и да хванем някой.

  5. Хахаха, да това е идея, те сега още яко се опитват с онзи бъг за сменяне на паролата с кавичката. Не е трудно да се напише един мамбот/плъгин който да следи това, но така ще хванем само някое прокси или зомбирана машина. Най-добре DDoS на сайта със заявки, които отнемат повечко време, примерно с рандом стринг в търсачката и други такива, да не би случайно да кешира заявката 🙂

  6. Е да ама пак трябва доста компютри и доста скорост. Ако някой има vpn достъп до работа или университета през събота и неделя, може.

  7. То за това не позлвам неща като Joomla, защото за момента 2 пъти са ми хаквали нещо. 1вия път беше през phpBB2 форум, а втория беше че един бивш колега беше дал паролата си за ftp на някакъв негов познат, който беше решил да се прави на мъж.

  8. Има един грозен бъг в com_user на джумлата който може да се реши и без да пачваш до 1.5.8. Просто си преименувай админския акаунт да не е админ ми квото си пожелаеш. Иначе мен ме изпердашиха ей тия младежи:

    http://www.google.bg/search?hl=bg&q=hacked+by+vezir&btnG=Google+%D1%82%D1%8A%D1%80%D1%81%D0%B5%D0%BD%D0%B5&meta=&aq=f&oq=

  9. Наистина е ужасно това, което се е случило със сайта ти. Има начин да се предотвратят такива набези.
    Трябва да си много нащрек при използването на подобни системи.
    Ако има възможност се абонирай за да ти изпращат информация при излизане на нова версия.
    Също така е добре да преглеждаш редовно този сайт

  10. Смешко! Защо мърсиш думата хакер. И ти ли си поредния, който не празграничава хакер от кракер.

    Освен това тези, които са ползвали най-вероятно mysql инжекцийка към джумлата ти са със сигурност не повече от аматьори и са ползвали заучени хакове. Мисля че проблемът, че не обновяваш е твой.

  11. Joomla май е от CMS-ите с най-много дупки и експлойти за тях?
    Долу горе поради ей такива неща съм се отказал и от нея, и от phpBB, и от WP, и т.н.

  12. Joomla е с толкова много дупки в модулите че дори е опасно да я пипаш и с 10 метрова пръчка – пак можеш да се заразиш. Има добре написани модули, но болшинството са зле и не правят проверки на параметрите от което възникват проблемите.

  13. Ами плащайте си на кадърни програмисти да ви пишат CMS-ите тогава 🙂 Или поне обнвявайте…

  14. Joomla все пак е доста добър CMS, няма такова нещо като непробиваем CMS, въпроса е, че ако си платиш на някой „кадърен“ програмист, просто ще работиш с „нещо“, което е различно от стандартните системи и това може да те спаси до някъква степен. Истината е в Joomla + чести ъпдейти (по възможност автоматични) + mod_security. Също така е желателно компонентите и модулите да си ги пишете сами (по възможност). Казвам това от позицията на програмист.

    Поздрави!

  15. Защо ли повече ме блазни идеята с WordPress, който се обновява пак редовно и е супер опоскан от стотици излишни екстри.

  16. Не знам за останалите, но аз съм разглеждал кода на WordPress при това доста подробно, мога да Ви уверя, че това е доста товареща система, изключително бъгава, но пък много популярна. Фирмата, за която работя плаща всеки месец 4-5 цифрени суми в лв на авторите на този софтуер, не мога да повярвам колко много пари правят от него. Joomla също не е най-лекия CMS, но за сметка на това е много мощен, след 1-2 години работа с него ще се научиш по какъв начин да направиш така, че да работи адски бързо при положение, че имаш голям трафик.

  17. Вижте, на мен ми е ясно, че си е моя вината, че не съм обновявал. Не знаех, че има толкова много бъгове в joomla-та, защото преди да я сложа на този сайт, не се бях занимавал с нея. krassyo, пределно ясно ми е, че тия са аматьори и просто правят мръсно на хората. Знам какво означава всъщност хакер, но значението, което влагам в статията е общо възприетото, за да ме разберат всички.

    Като цяло joomla-та не я харесвам като cms, защото е прекалено тежка и объркана. WP-то съм го customize-вал за няколко сайта и съм останал доста впечатлен от възможностите му. Не е вярно, че е тежък. Както обаче се случва със всички open-source проекти с публично участие, няма начин да няма бъгове и то особено в plugin-ите.

  18. В крайна сметка за всеки един CMS излизат експлойти, нормално е колкото е по-използван да има повече атаки към него. Използването на други компоненти е рисковано. Joomla е добра основа за изграждане на сайтове, особенно ако си пишете компонентите сами. Използвам я заради прекрасния framework с който разполага, и помага доста.

    Да се надяваме, че скоро няма да станем жертва на някой нов WP или Joomla exploit. Не знам защо хората се занимават с такива глупости, а не седнат да създадът нещо, от което да изкарат пари примерно :).

  19. Има достатъчно хора без въображение, но със достатъчно знания и прекалено много комплекси, за да не могат да измислят както положително да направят. Затова правят мръсно на другите.

    Мен WP ми харесва, защото е проста, има редовни подобрения и факта, че е най-популярната предполага, че повече хора гледат за грешки. За жалост няма голяма част от мощта на другите CMS-и, но и за това си има време. Всъщност ако се замислиш, всичко може да се направи с малко игра с template-а. В събота примерно преработихме един WP за да стане homepage с всичките му екстри. За новинарската секция използвахме постовете, а промяната на всички страници стана за час и нещо. Единствения проблем е, че ако искаш да направиш нещо точно определено, трябва да обвържеш съдържанието на page-овете с промените на page template-а, но това е малко нещо.

  20. А, край! Слагам математически въпрос към коментарите. Писна ми от руски спам. Не го хващат филтрите и по 20 пъти на ден ми се налага да го трия.

  21. Е не – това вече е тъпо – като сложа математически въпрос, полетата към коментарите стават твърде много. Най-лошото обаче е, че все още ми иска и име, и мейл, и анти-спам като слагам openid. Отметнал съм да не ги иска, ама ето!

  22. Ами… поне като напишеш един коментар и ти ги помни после като влезеш пак :). Не е чак такава болка за умиране едно поленце повече, поне ще поспре спама.

  23. ВИЖТЕ КВО БЛОГЪРИ ТАКИВА СЪГЛАСЕН СЪМ С BBH OK С BBH СЪМ ТОЛКОВА СЪЛАСЕН 4Е СЪМ ГОТОВ И ДА УМРА

Вашият коментар

Вашият имейл адрес няма да бъде публикуван.

Този сайт използва Akismet за намаляване на спама. Научете как се обработват данните ви за коментари.