Sivusto hakkeroitu taas - vaikka se on päivitetty 2.5.8 versioon!

Ja niin on meidän sivusto hakkeroitu taas! vaikka päivitin sivuston 1.5.26:sta 2.5.8:aan!

Palvelin tulee heidän omasta turvakopiostaan palauttamaan sivuston päivämäärään ennen hakkerointia. Että ei sen puolesta hätää.

Hakkeroinnit ovat tulleet login ip-numeron mukaan Ukrainasta ja Brasiliasta. Estin .htaccess-tiedostossa ip-numeroiden pääsyn sivustolle, mutta vaihtoivat aina. Viimeisin Brasiliasta onnistui. Se oli neljän minuutin ajan joka sekuntti pommittanut sivustoamme, kunnis onnistui. Ilmeisesti on kyse "brute force"-hakkeroinnista. Tietokantaan oli luotu uusi käyttäjä, jbug ja käyttäjänimi SYSADMIN.

Päätin muuttaa tietokanna pefiksin, kun sivusto on ylhäällä taas.

Mutta miten muutetaan adminin id numero? Yritin tietokannasta vaihtaa sen, mutta sitten i adminiin pysty kirjautumaan sisään.

Tässä logi (lopussa kun lukee "Joomla CANCELED" niin olivat onnistuneet):

#
#<?php die('Forbidden.'); ?>
#Date: 2012-12-31 09:55:37 UTC
#Software: Joomla Platform 11.4.0 Stable [ Brian Kernighan ] 03-Jan-2012 00:00 GMT

#Fields: date time priority clientip category message
2012-12-31 09:55:37 INFO 91.207.7.238 Joomla FAILURE: Username and password do not match or you do not have an account yet.
2012-12-31 10:06:45 INFO 46.19.143.109 Joomla FAILURE: Username and password do not match or you do not have an account yet.
2012-12-31 10:16:43 INFO 91.207.7.238 Joomla FAILURE: Username and password do not match or you do not have an account yet.
2012-12-31 10:29:51 INFO 80.216.108.213 Joomla FAILURE: Empty password not

EDIT: Mortti muokkasi viestiä...

Kannattaa tutustua Admin Tools lisäosaan, millä myös admin id:n muuttaminen onnistuu helposti. Toki voit tehdä uuden pääkäyttäjän ja ruveta käyttämään sitä, sitten poistat vain oletus pääkäyttäjän käytöstä ja voila..

Yhdessä toisessa logitiedostossa public_html tiedoston yläpuolella oli tälläistä tekstiä (mitäköhän ne on yrittäneet tehdä oikein?):

/storage/content/59/159659/minunsivu.fi/public_html/libraries/joomla/log/loggers/formattedtext.php on line 254
[31-Dec-2012 06:01:34] PHP Warning: fopen(/public_html/logs/error.php) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: No such file or directory in /storage/content/59/159659/minunsivu.fi/public_html/libraries/joomla/log/loggers/formattedtext.php on line 248
[31-Dec-2012 06:01:34] PHP Warning: fputs(): supplied argument is not a valid stream resource in /storage/content/59/159659/minunsivu.fi/public_html/libraries/joomla/log/loggers/formattedtext.php on line 254
[31-Dec-2012 06:03:59] PHP Warning: fopen(/public_html/logs/error.php) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: No such file or directory in /storage/content/59/159659/minunsivu.fi/public_html/libraries/joomla/log/loggers/formattedtext.php on line 248
[31-Dec-2012 06:03:59] PHP Warning: fputs(): supplied argument is not a valid stream resource in /storage/content/59/159659/minunsivu.fi/public_html/libraries/joomla/log/loggers/formattedtext.php on line 254
[31-Dec-2012 06:22:30] PHP Warning: fopen(/public_html/logs/error.php) [<a href='function.fopen'>function.fopen</a>]: failed to open stream: No such file or directory in /storage/content/59/159659/minunsivu.fi/public_html/libraries/joomla/log/loggers/formattedtext.php on line 248
[31-Dec-2012 06:22:30] PHP Warning: fputs(): supplied argument is not a valid stream resource in /storage/content/59/159659/minunsivu.fi/public_html

EDIT: Mortti muokkasi viestiä

Auttaako tuo pitkälle? Jos eivät löydä id 62:ta niin arvaavat, että se on, oliko sen nyt 64 kun luo uuden super adminin.

Eikö sitä mitenkään saa muutettua täysin, vaikka esim. 49 tai jotain muuta?

Minulla tuo id kyllä vaihtelee. kokeile tuota admin toolsia, se on todellä kätevä lisä tietoturvaan.

Kannattaa myös harkita muita security lisäosia.

Asensin Amin Toolsin. Klikkasin Super Administrator ID vaihtaakseni ID:n ja tulee seuraavanlainen ilmoitus:

JUser: :_load: Unable to load user with ID: 42

Congratulations! You are already using a secure Super Administrator ID. Click on the Back button to return to the Control Panel page.

Siis täh! Minulla on vielä se vanha id 62!

Mikä tuo id 42 on oikein?

Muutin käsin prefix_users talussa id:n (muuksi kuin 62, 1-100 välille) sekä samaksi myös talussa prefix_user_usergroup_map. Ja homma tuntuu toimivan, pääsen ainakin kirjautumaan sisään adminpuolelle vanhalla Super Administrator käyttäjänimellä ja salasanalla, ja Super Administratorin id näyttää samaa kuin minkä laitoin tauluihin.

Tähän pieni tietoturvavinkki, käyttäjänimi, varsinkin adminien voi olla mitä vaan.

Esim munomaadmin3433-JeeKo343

Näin ollaan vaikeutettu jo huomattavasti hommaa.

naghris kirjoitti: Tähän pieni tietoturvavinkki, käyttäjänimi, varsinkin adminien voi olla mitä vaan.

Esim munomaadmin3433-JeeKo343

Näin ollaan vaikeutettu jo huomattavasti hommaa.

Joo, ja sitten salasanaksi vaikka UDTAyUGFk3asvJAFJ3vr niin kyllä sopii yrittää brute-forcella sisään

quietFinn kirjoitti: Joo, ja sitten salasanaksi vaikka UDTAyUGFk3asvJAFJ3vr niin kyllä sopii yrittää brute-forcella sisään

Jatkan quietFinnin teemasta: nykyään tarvitset vähintään 15-16 merkkiä pitkän salasanan jotta se kestää brute force -hyökkäyksen. quietFinnin esimerkistä puuttuvat vielä välimerkit joista ainakin viiva ja piste ovat useimmiten käytettävissä ja turvallisia. Mikään määrä merkkejä ei kuitenkaan kestä hyökkäystä jos sanat löytyvät sellaisinaan sanakirjasta.

Jos on pakko käyttää ymmärrettävää salasanaa on kaksi reittiä: suomenkielen sanojen taivutus ja passphrase. Jälkimmäinen on helpompi muistaa mutta passphraseksi ei kannata ottaa mitään loppuun kulutettua lentävää lausetta (kuten "Veni, vidi, vici") tai pop-kulttuurin tuoreimpia hokemia vaan vaikkapa mieleesi jäänyt iskevä lause kirjasta - tällainen on myös helppo tarkastaa mutta lähes mahdoton arvata.

Valitettavasti meillä on vieläkin lukemattomia verkkojärjestelmiä jotka eivät hyväksy välilyöntiä tai välimerkkejä salasanaan ja rajoittavat sen pituuden johonkin 10 ja 20 merkin väliin. Joomlassakin tätä ongelmaa on. Järjestelmät jotka hyväksyvät kielikohtaiset merkit (kuten skandit) ovat erityisen mukavia ja turvallisempia.

Suosittelen myös jkwebdesignin mainitsemaa Admin Toolsia. Kannattaa uhrata ne muutama kymppi pro-versioon (mieluiten vielä siihen pakettiin jossa saa myös Akeeba Backupin Pro version) niin pääsee herkkuihin käsiksi: helppo varmuuskopioiden ajastus ja hyökkäysten torjuntaa automaattisella ip-sululla. Ota käyttöön Admin Toolsin rakentama htaccess ja http:BL. Nosta automaattisen ip-sulun kesto vähintään viikkoon ja tee myös epäonnistuneesta kirjautumisyrityksestä peruste sululle. Seuraa kehittäjän web-sivuilta löytyvää käsikirjaa asetusten tekemisessä ja parannat sivujesi kykyä torjua hyökkäykset moninkertaiseksi.

Vinkkejä hyökkäyksestä voi löytyä yllättäen myös Joomla 2.5:n Redirect/Uudelleenohjaus -komponentista. Se kun kerään 404-virheet talteen se rekisteröi myös epäonnistuneita hyökkäyksiä.

Niin kuin kirjoitin aikaisemmin, asensin Admin Toolsin ja yritin vaihtaa adminin id:tä, mutta ohjelma onnittelee, että minulla on jo turvallinen id-numero - vaikka se on se vanha 62! Se höpisee jotain jostain id 42:ta.

Teinköhän ihan oikein, kun phpMyadminissa muutin sen käsin ihan summassa vaan joksikin numeroksi (1-100)? Tuntuu kuitenkin toimivan, pääsen kirjautumaan sisään vanhalla Super User käyttäjänimellä ja salasanalla.