Pokaż wyniki 1 do 8 z 8

Temat: Zabezpieczenie zaplecza

  1. #1
    Zarejestrowany
    Oct 2012
    Postów
    2

    Domyślnie Zabezpieczenie zaplecza

    Witam,

    pracuję na pewnym zapleczu stron składającym się z ok. 100 stron na Wordpress i kilkudziesięciu na Joomla! oraz GetSimple. Od jakiegoś czasu na losowych witrynach(najczęściej WP) w katalogach includes, wp-content, wp-admin, wp-themes/*, (rzadziej innych) pojawia się plik Redirect.php z plikiem nagłówkowym i znacznikiem meta.

    Przykładowa zawartość:

    Kod:
    <html
    <head>
    <META HTTP-EQUIV="refresh" CONTENT="2;URL=http://www.a**[link do phishingu]]**an.eu/templates/index.htm">
    </head>
    </html>
    Oczywiście, nie muszę mówić jakie skutki ma taki plik. Problem w tym, że nie wiem w jaki sposób można zdiagnozować przyczynę. Oczywiście, nagromadzenie tylu CMSów, aż prosi się o takie sytuacje. Opracowałem sposób zabezpieczenia wordpressów poprzez instalowanie odpowiednich wtyczek i modyfikowanie plików, ale przy tylu witrynach ciężko sprawdzić czy przynosi ono rezultaty. Dlatego zwracam się do was o pomoc. Jak mógłbym szybko sprawdzić gdzie jest dziura? Dodam, że czas mnie trochę nagli bo właściciel serwera siedzi na karku(całkiem słusznie). Zaplecze nie jest stworzone przeze mnie. Ja je zastałem w takim stanie jakie jest i muszę szybko to naprawić Nie oczekuję gotowych rozwiązań tylko nakierowań i podpowiedzi.

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Logi... podstawa to logi z tego co sie dzialo. Dostep do panelu sterujacego tez powinien byc sprawdzany.
    W logach szukasz glownie dziwnych URLi ktore maja inny URL w parametrach gdzies, szukasz zapytan typu POST i sprawdzasz co zawieraja. Mozesz odpalic jakis sniffer i logowac 100% ruchu HTTP i zobaczyc gdzie sa odwolania typu POST aby zaladowac pliki itp...

    O utrzymywaniu softu takiego jak WP (szczegolnie WP i Joomla) w najnowszej wersji nie wspomne, bo to jest oczywiste - jesli masz stary soft to masz dziury... jak masz najnowsze wersje to tez masz dziury (w obu WP i Joomli) ale mozesz miec nadzieje ze nie sa one jeszcze publicnzie znane i eksploitowan na masowa skale. GetSimple nie znam wiec nie komentuje
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie

    Jeżeli masz możliwość to może jakiś firewall L7,żeby zapobiec sytuacji w ogóle,
    resztę powiedział TQM.
    ***********
    * markossx *
    ***********

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    mod_security zalatwia sprawe :-)
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Zarejestrowany
    Oct 2012
    Postów
    2

    Domyślnie

    Witam,

    dziękuję za szybkie odpowiedzi i cenne porady. Serwer jest utrzymywany przez OVH. Za waszą poradą zajrzałem do logów i jest tam multum zapytań odnośnie tego pliku Redirect.php jednak są to metody GET. Pliku nie ma, ale są kierowane zapytania w poszukiwaniu go. W Direct Admin w zakladce Ataki Bruteforce jest ok 200k różnych zapytań. W tym ponad 100k z jednego IP. Logi sięgają tylko dwa dni wstecz. Dziękuje za radę odnośnie mod_security - zainteresuję się tym i sprobuję zaimplementować. Czy ktoś z was mógłby rzucić okiem na przykładowy log, który zamieszczę? Część WP jest już w najnowszej wersji, jednak wiele nadal nie jest zaktualizowanych. Czy założony na poziomie root firewall rozwiązałby sprawę? Muszę działać szybko i drastycznie.

    Mój poziom wiedzy jest bardzo niski na ten temat, a do tego nigdy się z tym nie spotkałem dlatego szybko muszę się doedukować z tej dziedziny. W zwiazku z tym dziękuje za wyrozumiałość
    Ostatnio edytowane przez webstour : 10-19-2012 - 08:44

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Firewall nic nie zalatwi bo i tak musisz wpuscic WWW a tam odbywa sie atak.
    1. Aktualizacja wszystkich WP aby wyeliminowac dziury
    2. grep logow w poszukiwaniu POST i PUT oraz linii zawierajacych 2x 'http' w adresie strony na wypadek jesli zrobili download za pomoca jakiegos syfa w WP
    3. Nadzorowac co sie dzieje - mozliwe ze nic nie znajdziesz. 2 dni logow to bardzo malo...
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Zarejestrowany
    Jan 2009
    Postów
    836

    Domyślnie

    Moim zdaniem powinieneś sobie spokojnie zainstalować na drugim dysku to samo - czyli konfigurujesz od nowa a jak coś nie działa to masz cały czas stary dysk.

    Tymczasowo wydana kasa na dysk jest opłacalna w stosunku do potencjalnie spowodowanych strat z racji używania Twojego serwera.

    Myśle, że trzeba być expertem w dziedzinie penetracji aby szybko zdiagnozować źródło Twojego problemu. Myślę, że dla bezpieczeństwa najlepszym rozwiązaniem będzie reinstalka na nowym dysku całego softu od nowa uwazględniając najnowsze patche z KAŻDEJ aplikacji. M$ nie przypadkowo wybrał środę na dzień zbawczy w dziedzinie exploitów - stąd też wiele mądrych firm jak np: Blizzard ma "prace konserwacyjne" na serverach World of Warcraft właśnie w środy aby uprzedzić skrypterów. To o czym pisze to zabezpieczenia na najwyższym poziomie w którym o procesie bezpieczenstwa decyduje nawet ustalony czas i dzień.

    Kiedy wykonasz reinstalkę (stary dysk zawsze możesz włożyć jak coś pójdzie nie tak) to pozbędziesz się potencjalnych zagrożeń typu: backdoor czy nawet rootkit. Zasada jest jedna. Jak masz obcy plik na swoim kompie = straciłeś kontrolę nad tym komputerem.

    Moja rada jest również taka, żebyś powymieniał wszystkie sterowniki drukarek i skanerów również na najnowsze. To bardzo ważne z pk utrzymania wysokiego bezpieczeństwa eksplowatowanych systemów.

    Rozwiązanie dość drastyczne, ale w 100% eliminuje Twoj problem a o to Ci chodzi (CZAS)
    Ostatnio edytowane przez Elitegroup : 11-07-2012 - 23:46

  8. #8
    Zarejestrowany
    Nov 2012
    Postów
    13

    Domyślnie

    stary ten post, ale odpowiem, moze komus sie przyda:
    1. metody jakimi zaatakowano serwer autora postu to nic innego jak:
    - js/php/html include - ktore w wyniku ataku dodaly do /www _tresc_ (ew. "do pliku"), ktora generuje redirecty
    2. konto ftp/scp/ssh, przez ktore zly-user mogl wgrac plik (ktory majac w srodku JS, rozpowszechnil do katalogow wp/joomla/innycms kod javascript tworzacy redirecty...

    często znajduje takie luki podczas pentestow (czy to dla firm, czy to dla siebie samego szukajac bugow w cmsach).

    metody obrony:
    zainstaluj i _dobrze_ skonfiguruj mod_security.
    najmniej zabawy zajmie ci instalacja, najwiecej zrozumienie czytelnosci regul firewalla webowego. polecam handbook jesli jukenspikinglisz.

    dodatkowo dograj regulki mozliwe do wgrania z owasp'u.
    usunie to w cien 90% atakow via web/cmsy.

    w razie pytan, pisz na pw.

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj