- Viestejä: 45
- Vastaanotettu kiitos 2
Sivusto hakkeroitu taas - vaikka se on päivitetty 2.5.8 versioon!
- Pietari
- Aiheen kirjoittaja
- Poissa
- Jäsen
Palvelin tulee heidän omasta turvakopiostaan palauttamaan sivuston päivämäärään ennen hakkerointia. Että ei sen puolesta hätää.
Hakkeroinnit ovat tulleet login ip-numeron mukaan Ukrainasta ja Brasiliasta. Estin .htaccess-tiedostossa ip-numeroiden pääsyn sivustolle, mutta vaihtoivat aina. Viimeisin Brasiliasta onnistui. Se oli neljän minuutin ajan joka sekuntti pommittanut sivustoamme, kunnis onnistui. Ilmeisesti on kyse "brute force"-hakkeroinnista. Tietokantaan oli luotu uusi käyttäjä, jbug ja käyttäjänimi SYSADMIN.
Päätin muuttaa tietokanna pefiksin, kun sivusto on ylhäällä taas.
Mutta miten muutetaan adminin id numero? Yritin tietokannasta vaihtaa sen, mutta sitten i adminiin pysty kirjautumaan sisään.
Tässä logi (lopussa kun lukee "Joomla CANCELED" niin olivat onnistuneet):
#
#<?php die('Forbidden.'); ?>
#Date: 2012-12-31 09:55:37 UTC
#Software: Joomla Platform 11.4.0 Stable [ Brian Kernighan ] 03-Jan-2012 00:00 GMT
#Fields: date time priority clientip category message
2012-12-31 09:55:37 INFO 91.207.7.238 Joomla FAILURE: Username and password do not match or you do not have an account yet.
2012-12-31 10:06:45 INFO 46.19.143.109 Joomla FAILURE: Username and password do not match or you do not have an account yet.
2012-12-31 10:16:43 INFO 91.207.7.238 Joomla FAILURE: Username and password do not match or you do not have an account yet.
2012-12-31 10:29:51 INFO 80.216.108.213 Joomla FAILURE: Empty password not
EDIT: Mortti muokkasi viestiä...
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- jkwebdesign
- Poissa
- Valvoja
Asiakaslähtöisesti suunniteltuja internet- sekä graafisia palveluita: www.sutjakka.fi
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- Pietari
- Aiheen kirjoittaja
- Poissa
- Jäsen
- Viestejä: 45
- Vastaanotettu kiitos 2
/storage/content/59/159659/minunsivu.fi/public_html/libraries/joomla/log/loggers/formattedtext.php on line 254
[31-Dec-2012 06:01:34] PHP Warning: fopen(/public_html/logs/error.php) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: No such file or directory in /storage/content/59/159659/minunsivu.fi/public_html/libraries/joomla/log/loggers/formattedtext.php on line 248
[31-Dec-2012 06:01:34] PHP Warning: fputs(): supplied argument is not a valid stream resource in /storage/content/59/159659/minunsivu.fi/public_html/libraries/joomla/log/loggers/formattedtext.php on line 254
[31-Dec-2012 06:03:59] PHP Warning: fopen(/public_html/logs/error.php) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: No such file or directory in /storage/content/59/159659/minunsivu.fi/public_html/libraries/joomla/log/loggers/formattedtext.php on line 248
[31-Dec-2012 06:03:59] PHP Warning: fputs(): supplied argument is not a valid stream resource in /storage/content/59/159659/minunsivu.fi/public_html/libraries/joomla/log/loggers/formattedtext.php on line 254
[31-Dec-2012 06:22:30] PHP Warning: fopen(/public_html/logs/error.php) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: No such file or directory in /storage/content/59/159659/minunsivu.fi/public_html/libraries/joomla/log/loggers/formattedtext.php on line 248
[31-Dec-2012 06:22:30] PHP Warning: fputs(): supplied argument is not a valid stream resource in /storage/content/59/159659/minunsivu.fi/public_html
EDIT: Mortti muokkasi viestiä
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- Pietari
- Aiheen kirjoittaja
- Poissa
- Jäsen
- Viestejä: 45
- Vastaanotettu kiitos 2
Eikö sitä mitenkään saa muutettua täysin, vaikka esim. 49 tai jotain muuta?
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- jkwebdesign
- Poissa
- Valvoja
Kannattaa myös harkita muita security lisäosia.
Asiakaslähtöisesti suunniteltuja internet- sekä graafisia palveluita: www.sutjakka.fi
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- Pietari
- Aiheen kirjoittaja
- Poissa
- Jäsen
- Viestejä: 45
- Vastaanotettu kiitos 2
JUser: :_load: Unable to load user with ID: 42
Congratulations! You are already using a secure Super Administrator ID. Click on the Back button to return to the Control Panel page.
Siis täh! Minulla on vielä se vanha id 62!
Mikä tuo id 42 on oikein?
Muutin käsin prefix_users talussa id:n (muuksi kuin 62, 1-100 välille) sekä samaksi myös talussa prefix_user_usergroup_map. Ja homma tuntuu toimivan, pääsen ainakin kirjautumaan sisään adminpuolelle vanhalla Super Administrator käyttäjänimellä ja salasanalla, ja Super Administratorin id näyttää samaa kuin minkä laitoin tauluihin.
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- naghris
- Vieras
Esim munomaadmin3433-JeeKo343
Näin ollaan vaikeutettu jo huomattavasti hommaa.
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- quietFinn
- Poissa
- Valvoja
naghris kirjoitti: Tähän pieni tietoturvavinkki, käyttäjänimi, varsinkin adminien voi olla mitä vaan.
Esim munomaadmin3433-JeeKo343
Näin ollaan vaikeutettu jo huomattavasti hommaa.
Joo, ja sitten salasanaksi vaikka UDTAyUGFk3asvJAFJ3vr niin kyllä sopii yrittää brute-forcella sisään
netFinn - Taatusti Joomla!-yhteensopiva webhosting: www.netfinn.fi
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- TeroKankaanpera
- Poissa
- Valvoja
- JEvents, J2Store 3 ja AdsManager kääntäjä
Jatkan quietFinnin teemasta: nykyään tarvitset vähintään 15-16 merkkiä pitkän salasanan jotta se kestää brute force -hyökkäyksen. quietFinnin esimerkistä puuttuvat vielä välimerkit joista ainakin viiva ja piste ovat useimmiten käytettävissä ja turvallisia. Mikään määrä merkkejä ei kuitenkaan kestä hyökkäystä jos sanat löytyvät sellaisinaan sanakirjasta.quietFinn kirjoitti: Joo, ja sitten salasanaksi vaikka UDTAyUGFk3asvJAFJ3vr niin kyllä sopii yrittää brute-forcella sisään
Jos on pakko käyttää ymmärrettävää salasanaa on kaksi reittiä: suomenkielen sanojen taivutus ja passphrase. Jälkimmäinen on helpompi muistaa mutta passphraseksi ei kannata ottaa mitään loppuun kulutettua lentävää lausetta (kuten "Veni, vidi, vici") tai pop-kulttuurin tuoreimpia hokemia vaan vaikkapa mieleesi jäänyt iskevä lause kirjasta - tällainen on myös helppo tarkastaa mutta lähes mahdoton arvata.
Valitettavasti meillä on vieläkin lukemattomia verkkojärjestelmiä jotka eivät hyväksy välilyöntiä tai välimerkkejä salasanaan ja rajoittavat sen pituuden johonkin 10 ja 20 merkin väliin. Joomlassakin tätä ongelmaa on. Järjestelmät jotka hyväksyvät kielikohtaiset merkit (kuten skandit) ovat erityisen mukavia ja turvallisempia.
Suosittelen myös jkwebdesignin mainitsemaa Admin Toolsia. Kannattaa uhrata ne muutama kymppi pro-versioon (mieluiten vielä siihen pakettiin jossa saa myös Akeeba Backupin Pro version) niin pääsee herkkuihin käsiksi: helppo varmuuskopioiden ajastus ja hyökkäysten torjuntaa automaattisella ip-sululla. Ota käyttöön Admin Toolsin rakentama htaccess ja http:BL. Nosta automaattisen ip-sulun kesto vähintään viikkoon ja tee myös epäonnistuneesta kirjautumisyrityksestä peruste sululle. Seuraa kehittäjän web-sivuilta löytyvää käsikirjaa asetusten tekemisessä ja parannat sivujesi kykyä torjua hyökkäykset moninkertaiseksi.
Vinkkejä hyökkäyksestä voi löytyä yllättäen myös Joomla 2.5:n Redirect/Uudelleenohjaus -komponentista. Se kun kerään 404-virheet talteen se rekisteröi myös epäonnistuneita hyökkäyksiä.
---
Tero Kankaanperä
terokankaanpera.fi
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.
- Pietari
- Aiheen kirjoittaja
- Poissa
- Jäsen
- Viestejä: 45
- Vastaanotettu kiitos 2
Teinköhän ihan oikein, kun phpMyadminissa muutin sen käsin ihan summassa vaan joksikin numeroksi (1-100)? Tuntuu kuitenkin toimivan, pääsen kirjautumaan sisään vanhalla Super User käyttäjänimellä ja salasanalla.
Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.