"Sivustosi on murrettu" - Eikä ole!

  • TeroKankaanpera
  • TeroKankaanpera hahmo Aiheen kirjoittaja
  • Poissa
  • Valvoja
  • Valvoja
  • JEvents, J2Store 3 ja AdsManager kääntäjä
Lisää
02.03.2013 09:47 #4710 : TeroKankaanpera
TeroKankaanpera loi aiheen: "Sivustosi on murrettu" - Eikä ole!
Sain eilen Louhelta ilmeisesti automaattisen ilmoituksen että sivustoni on suljettu koska se on murrettu. Olin jossain määrin hämmästynyt koska pidän sivuni ajantasalla ja mielestäni varsin tiukalla tietoturvalla. Puhelu tukeen tuotti tiedon, että heidän skannerinsa on havainnut injektoidun tiedoston 'admintools_breaches.log' logs-kansiossa. Tässä vaiheessa omat hälytyskelloni alkoivat soida ja kävin cPanelista kurkkaamassa tiedostoa. Tuohan on Admin Toolsin (Pron?) loki johon se tallentaa tiedon torjutuista yrityksistä murtautaa sivuston tietoturva. Sen verran taitojani epäilin, että piti guruilta (kiitos naghris) ja Admin Toolsin dokumentaatiosta varmistaa tilanne. Ilmoitin lopulta Louhelle että mikäli heillä ei muuta näyttöä murtautumisesta ole, sivuni on paras avata koska mitään murtoa ei ole tapahtunut. Sivuille on pyritty varsin aktiivisesti jos vaikka millä tekniikalla, mutta toistaiseksi tietoturva pitää.

Tietoturva reseptini sisältää Admin Tools Pron luoman htaccess-tiedoston joka estää pääsyn kaikkialle mihin sitä ei ole erikseen sallittu. Kokemukseni mukaan tämä on perin tehokas ja tuottaa ongelmia useiden etusivulla kuvakarusellia pyörittävän lisäosan kanssa koska ne jostain syystä haluavat tuupata itsensä muuallekin kuin Joomlan tarkoittamiin paikkoihin. Lisäksi käytössä on Admin Toolsin liitännäisen suorittamat automaattiset tmp-kansion siivoukset. Admin Toolsin ohjelmallinen palomuuri on asetettu torjumaan SQLI, MUA, CSRF, RFI, DFI ja upload-hyökkäyksiä. Epäonnistuneet kirjautumisyritykset tulkitaan tunkeutumisyrityksiksi - ja näitä muuten tapahtuu paljon! tmpl-parametri URL-osoitteessa ei ole sallittu ja tulkitaan sekin tunkeutumisyritykseksi. Project Honeypotin HTTP:BL ja BadBehaviour -suodatukset ovat käytössä. Kolme tunkeutumisyritästä 12 tunnissa johtaa IP-osoitteen 50 päivän sulkuun sivustolta.

Viimeisimpiä yrityksiä päästä sivulle ovat yritys syöttää joukkopostituskomponenttiin tmpl-parametrillä SQL-komento, Wordpressin haavoittuvuuksiin tähtäävä RFI ja JCE:n haavoittuvuuksien hyödyntämisyritykset.

Neuroottinen kun olen, rupesin kuitenkin ryömimään sivustoani läpi mikrometrin kanssa ja siitä lisää toisten otsikkojen alla.

---
Tero Kankaanperä
terokankaanpera.fi
Seuraavat käyttäjät sanoivat kiitos: Mortti

Kirjaudu tai Rekisteröidy liittyäksesi keskusteluun.

Valvojat: jkwebdesignGamossJiiKoo
Sivu luotiin ajassa: 0.161 sekuntia