Hakkeroitu

Samaa itsekin ajattelin... lisäksi ovat poistaneet ja/tai muokanneet edellisiä antamiansa uutisia, joissa aluksi "syytettiin" vanhoja(haavoittuvia) WordPress ja Joomla! versioita tai niiden lisäosia.

Odotan mielenkiinnolla huomista "lopputiedotetta", joka heidän viimeisin uutisensa kertoo tulevan.



Myös viestintäviraston cert.fi ja monet it/tietotekniikkaan erikoistuneet sivustot ovat uutisoineet asiasta tämän asian aikana... lopullinen syy varmaan kiinnostaa kaikkia, jos se oikeasti annetaan julkisuuteen?

Ehkä lopputiedotteen ansiosta me jokainen osaamme sitten varautua paremmin?

Samaa mieltä... Tietokantapalvelin hakkeroitu ja ajettu skripti, joka kirjoittaa uudet tunnukset ja salasanat jos_users ja j25_users tauluihin on minun veikkaukseni. Eli ajan tasalla oleva joomla ei suojaa, jos tietokanta käyttää oletusetuliitteitä.

Ehkä jonkun kannattaisi kirjoittaa ohje tietokannan etuliitteen vaihtamiseen?

EDIT: Ilmeisesti tietokannan etuliite ei vaikuta asiaan. Skripti on kait tarpeeksi fiksu löytääkseen ne _users taulut oli etuliite mikä tahansa.

VNiemi kirjoitti: Samaa mieltä... Tietokantapalvelin hakkeroitu ja ajettu skripti, joka kirjoittaa uudet tunnukset ja salasanat jos_users ja j25_users tauluihin on minun veikkaukseni. Eli ajan tasalla oleva joomla ei suojaa, jos tietokanta käyttää oletusetuliitteitä.

Ehkä jonkun kannattaisi kirjoittaa ohje tietokannan etuliitteen vaihtamiseen?

Ei ollut mikään oletusetuliite käytössä, vaan ihan satunnainen nelimerkkinen merkkijono. Ja jos oikein muistan, arpoo 2.5:n asennustyökalukin oletuksena satunnaisen etuliitteen.

webhotelli.fi tiedottaa:
www.webhotelli.fi/

eli laittoivat wordpressin ja joomlan syyksi.
itellä on 2.5.8 joomla ja lisäosat päivitetty.
tietokannan käyttäjä ja etuliite vaihdettuna.
silti pääsivät vaihtamaan käyttäjätunnukset ja salasanat.

lisäys: ja configuration.php oikeudet on 400 eli "käyttäjä" ja "luku"

Joo, perun puheitani sen verran, että ilmeisesti Joomla versio ja tietokannan etuliite ei vaikuta asiaan. Skripti on kait tarpeeksi fiksu löytääkseen ne _users taulut oli etuliite mikä tahansa.

Configuration.php oikeudet oli 400, eli tuo webhotellin selvitys ei nyt siltä osin toimi. Yritin saada sieltä lisätietoja, mutta eivät voi kuulemma tietoturvasyistä kertoa tarkemmin. Ja heidän ohjeitaan noudattamalla ei vastaavaa pitäisi päästä enää tapahtumaan...

Meni nyt kyllä Webhotellin puolelta ihan perseilyksi tämä. Tuo heidän tiedote asiasta on kyllä niin mitäänsanomaton kuin olla ja voi, eikä tule jatkossa ehkäisemään samanlaisen tapahtumista. Noinhan Joomla sivut / WP sivut on tehty aina.

Olisi kyllä heidän pitänyt nyt otaa hieman parempi tie asian selvittämiseksi, sillä tietoa tapahtumista ei ole annettu ollenkaan, eikä selvitetty mitkä ohjelmistot ovat haavoittuvia. Se, että heidän tiedote sanoo "Hyökkäys kohdistui haavoittuviin Wordpress- ja Joomla-pohjaisiin sivustoihin." EI tarkoita sitä, että nuo ohjelmistot olisivat haavoittuvia vaan reikä voi olla jossain paljon syvemmällä, mutta hyökkäys on sitten kohdistettu nohin ohjelmistoihin.

Kyllä tähän asiaan pitäisi saada jonkinlainen selitys, on liian helppoa mennä "tietoturvaverhon" taakse ja olla kertomatta enempää.

Täytyypä nyt laitaa tuon aikaisemman haukkumisen jälkeen faktaakin, minkä löysin 5sekunttia enterin painamisen jälkeen, eli Cert-fi on julkaissut asiasta tänään tiedoitteen. Komiasti Webhotelli vaikeni omasta osuudestaan..

"Hosting-palveluntarjoajien ympäristöissä esiintyneet haavoittuvat hallintatyökalut ovat myös altistaneet muut samalla www-palvelimella sijaitsevat sivustot tihutöille. "

Lähdelinkki:
www.cert.fi/tietoturvanyt/2012/11/ttn201211301443.html

Eli tuohon on tainnut riittää yksi haavoittuva Joomla sivusto, jonka jälkeen Palveluntarjoajan ongelmat ovat altistaneet kaikki muut sivustot, ymmärsinkö oikein?

Aivan naurettava systeemi jos heidän omat hallintatyökalut ovat niin reikäisiä, että mahdollistavat tuollaisen. Kuten täälläkin oli mainittu, saitit joissa on J+komponentit up-to-date joutuivat tietokantamuutosten uhriksi. Se ei voi tarkoittaa mitään muuta kuin että hyökkäyksessä on onnistuttu saamaan käsiin MySQL-root(tai vastaavat) oikeudet joilla on ajettu kaikkiin J tai WP kantoihin skriptit taulujen nimien perusteella. Vaikka prefix on eri, loppu on kuitenkin sama, eli ei se nyt ihmeitä vaadi hakea ja ajaa komennot sen mukaan.

Tämän perusteella korostan, että mielestäni ajan tasalle päivitetty J tai WP ei ole syynä, vaan palveluntarjoajan huono setuppi tai päivittämättömät hallintatyökalut. Piste. Ellei webhotelli.fi tarjoa tästä täsmällisempää selitystä. Muutoin tämä olisi toistunut saman tien useilla hosteilla.

Mitä me tästä opimme? Halvalla ei saa hyvää...?

Toinen vaihtoehto on se, että on päästy vapaasti levylle, luettu kaikista tileistä configuration.php:sta MySQL-tunnukset ja ajettu sen avulla tuo käyttäjät muuttava skripti. Joka tapauksessa, sama ukaasi pätee kuin yllä.