Pokaż wyniki 1 do 8 z 8

Temat: Sukcesywne włamania na strony internetowe - FTP

  1. #1
    Zarejestrowany
    Feb 2012
    Postów
    3

    Domyślnie Sukcesywne włamania na strony internetowe - FTP

    Witam.

    Jestem administratorem kilku witryn.
    Wszystkie witryny są na jednym FTPie w oddzielnych katalogach.
    Provider: 1and1

    Już po raz drugi dokonano włamania do każdej z witryn, podmieniając plik index na plik z inną stroną główną. Włamania dokonała grupa "rEd X 3xp1r3 Cyber Army". Na FTP jest większość stron na joomli oraz 3 strony htmlowe. Strony joomlowe są zaktualizowane do najnowszych wersji 2.5.1 oraz 1.5.25.

    Za pierwszym włamaniem usunięto część plików, ostatnie włamanie skończyło się tylko podmianą plików index.

    Proszę o pomoc. Gdzie tkwi przyczyna? Czy u mnie na komputerze (trojan?), czy jest jakaś dziura w którejś z joomli? Czy może gdzieś na serwerze jest jakiś szkodnik? Jak mogę zapobiec temu w przyszłości?

    Dodam że korzystam z programu Avast Pro Antivirus. Do FTPa łączę się za pomocą Total Commandera. Za każdym razem wpisuję hasło. Na liście FTP mam kilka innych FTPów. Włamania dokonują się tylko na ten jeden. Na innych nic się nie dzieje mimo tego że mam do nich zapisane hasła w programie.

    Po pierwszym włamaniu zainstalowałem Spybot.
    Po drugim Ad-Aware i Trojan Remover.

    Co robić? Wiem że włamania te nie mają na celu wyrządzenia mega szkód, a uwrażliwienie mnie na jakieś luki."Dear Admin - Secure you sites ".

    Tylko gdzie te luki są? Nie mam pojęcia
    proszę o pomoc
    Ostatnio edytowane przez bulion : 02-26-2012 - 18:55

  2. #2
    Zarejestrowany
    Sep 2006
    Postów
    1,227

    Domyślnie

    • Joomla jest niesłychanie dziurawa i praktycznie niemożliwe jest w pełni jej zabezpieczenie. - wybierz inne środowisko, lub napisz własne w Django lub Catalyst.
    • Hosting - upewnij się, że masz tylko i wyłącznie niezbędne moduły załadowane na serwerze http a serwer jest w aktualnej wersji,
    • FTP - zostaw i zacznij korzystać z sftp, scp, rsync, a najlepiej zapoznaj się z profesjonalnymi metodami publikowania kodu produkcyjnego za pośrednictwem gita (gdy ktoś podmieni stronę po prostu robisz rollback do poprzedniego commita i nie musisz się martwić, że gdzieś masz szkodliwego js w kodzie). korzystaj z mocnych haseł i uwierzytelniania kluczem publicznym, często zmieniaj hasła (dotyczy też paneli administracyjnych i mysql'a,
    • Twój host - kup legalny, oryginalny program antywirusowy, sformatuj i przeinstaluj system operacyjny, zainstaluj tylko i wyłącznie legalne i najnowsze wersje oprogramowania, kup licencję total commandera.

  3. #3
    Zarejestrowany
    Feb 2012
    Postów
    3

    Domyślnie

    Dziękuję za odpowiedź.

    1. Co do joomli, zdaję sobie sprawę że jest jak jest, ale na chwilę obecną nie ma możliwości migracji do innej platformy.

    2. Co do hostingu - czy mógłbym prosić o wyjaśnienie tego wątku, bo nie za bardzo rozumiem.

    3. FTP - rozumiem, że powinienem korzystać z bezpiecznego połączenia. Widzę że 1and1 ma możliwość SFTP.

    4. Co do hosta to nie mam żadnych pytań. Wszystko jest jasne.. Pytanie tylko czy total commander jest bezpieczny? Czy może korzystać np. z Filezilla? Jaki możesz polecić pakiet antywirusowy?

    Oto co zamierzam:

    1. Do korzystania z tego FTP wykorzystywać tylko jeden komputer. Na drugim usunąć taką możliwość.
    2. Sformatuję go, kupię oryginalny pakiet anty-vir a także nie będę tam instalować żadnych nielegalnych programów. Po prawdzie to leżeć powinno w gestii mojego pracodawcy, który jak widać chce zaoszczędzić na bezpieczeństwie :/
    3. Zamierzam też zgrać całą zawartość FTP i przeskanować ją pod kątem wirusów i trojanów. Podejrzewam, że coś tam siedzi. Iframe, trojan, itd.
    Ostatnio edytowane przez bulion : 02-26-2012 - 19:51

  4. #4
    Zarejestrowany
    Sep 2006
    Postów
    1,227

    Domyślnie

    Cytat Napisał bulion Zobacz post
    na chwilę obecną nie ma możliwości migracji do innej platformy.
    Ustaw zatem agresywne (debug) logowanie wydarzeń i wysyłaj logi na oddzielną maszynę, co umożliwi ci wykrycie osi ataków.

    Cytat Napisał bulion Zobacz post
    2. Co do hostingu - czy mógłbym prosić o wyjaśnienie tego wątku, bo nie za bardzo rozumiem.
    Hosting to kolejna oś ataku na aplikacje. Stare (dziurawe) wersje serwerów, lub nieprawidłowa konfiguracja umożliwia ataki na strony internetowe. Najlepiej, gdybyś miał VM i zatrudnił sysadmina, który skonfigurowałby serwer dopasowując go do twojej aplikacji.

    Cytat Napisał bulion Zobacz post
    3. FTP - rozumiem, że powinienem korzystać z bezpiecznego połączenia. Czy jest to zależne od providera czy od programu jaki wybiorę? Jeśli od providera to czy jakie kroki powinienem podjąć aby do tego doszło. Podejrzewam, że jest to niestandardowe działanie.
    "Provider" powinien udostępnić ci połączenie ssh. Jeśli masz takowe, zapoznaj się z protokołowi i aplikacjami przeze mnie wymienionymi i dobierz pasujące ci narzędzie. Jeśli nie masz dostępu do ssh, zmień hosting bo gwarantuję ci, że KAŻDY serwer ftp jest podatny na włamanie.

    Cytat Napisał bulion Zobacz post
    4. Co do hosta to nie mam żadnych pytań. Wszystko jest jasne.. Pytanie tylko czy total commander jest bezpieczny? Czy może korzystać np. z Filezilla?
    Żadne z tych programów nie nadaje się do profesjonalnego publikowania aplikacji internetowych.
    Deploying with Git | Heroku Dev Center
    Using Git to manage a web site

    Cytat Napisał bulion Zobacz post
    Jaki możesz polecić pakiet antywirusowy?
    Linux,
    Ewentualnie produkty Symanteca lub Esset.

  5. #5
    Zarejestrowany
    Feb 2012
    Postów
    9

    Domyślnie

    Świat schodzi na psy, że komuś chce się takie proste strony hackować .

    Chyba że dla zabawy, dobra wracając do tematu. Ten delikwent jeśli mieszka w Polsce i jest szansa że naczytał się tutoriali, i jest łatwy do namierzenia poprostu się nie baw i zgłoś to na policje czy gdzie tam chcesz Bo to jest naruszanie prywatności.

    Kieruj się radami kolegi wyżej, nic tu po mnie.

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    1and1 to raczej dziadowska firma... cholera wie co oni maja na serwerach bo to nie jest typowy hosting tylko masowka. Nie ma wiec znaczenia co masz u sieie wlaczone bo wszyscy inni na tym samym serwerze moga miec najwieksze badziewie wlaczone i nic nie poradzisz.

    To czy uzyjesz TC czy Filezilli nie ma znaczenia bo nadal uzywasz niebezpiecznego protokolu...

    Jesli masz ciagle wlamania na strony pomimo teg ze regularnie aktualizujesz soft i 'teoretycznie' nie powinno byc problemow, to znaczy ze czas zmienic hosting :-)
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Zarejestrowany
    Feb 2012
    Postów
    3

    Domyślnie

    Mądre rzeczy mówicie, wielkie dzięki!

    1and1 został wybrany... z uwagi na niską cenę za relatywnie duże możliwości. Unlimited transfer, duża pojemność, dobre opcje.

    Zrobię co mogę aby to wszystko doprowadzić do porządku.

    Jeśli wszystko co zrobię (sftp, czysty i bezpieczny host, sprawdzenie i wyczyszczenie wszystkich plików na serwerze) nie wystarczy, to będę wiedział że wina jest jednoznacznie w hostingu ALBO w skrypcie joomlowym. Zawężamy

  8. #8
    Zarejestrowany
    Nov 2009
    Postów
    643

    Domyślnie

    Do listy zagrożeń należałoby dopisać, że za takie iframe w indekscie mozna wypaść z indeksu google. Sprawe trudno jest potem odkręcić.
    światło mądrości oświetla drogę z nikąd do nikąd

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj