Hackerji nadaljujejo svoj pohod

Tweet

Hackerji nadaljujejo svoje delo in neusmiljeno napadajo odprtokodne sisteme predvsem wordpresse in joomle. Prva in najbolj zanesljiva obramba je sicer zavest uporabnikov, da je potrebno te sisteme nenehno posodabljati in slediti skupnosti razvijalcev. Tudi mi ponudniki spletnega gostovanja moramo prevzeti svoj delež pred obrambo. Naše delo je sicer precej težje kot bi bilo sicer, če bi se uporabniki bolje zavedali, da brezplačana skripta je tudi nevarna, če uporabnik ni previden pri njeni uporabi. Kot ponudnik gostovanj se srečujem z težavo najti pravo ranvovesje med uporabnostjo gostovanja za stranke in varnostjo. Najlažje je narediti "air tight" strežniški sistem, ki pa žal potem ni uporaben za mase ljudi. Vedno nekako najdemo kompromis in se trudimo imeti varne strežnike in še vedno precej funkcionalne in prijazne do uporabnikov. Tokratni članek govori o obrambi pred hackerji za uporabnike worpdress in joomla sistemov. Kot prvo preverite, če imate posodobljen sistem, če ni ga nemudoma posodobite. Vedno bodite pozorni na vse dodatke, ki jih boste vključevali (vtičnike oz. plugine). Napadi hackerjev v zadnjem času temeljijo na sistemu vdora na vsaj eno slabo skripto, torej najdejo uporabnika, ki ima porazno zastarelo ali luknjasto skripto, ponavadi wordpress ni pa nujno lahko je tudi oscommerce ali kaj podobnega. Napadalec preko takšne skripte naloži svoja orodja in s pravicami tega uporabnika poganja komande. Je sicer precej omejen saj uporabnik gostovanja nima veliko pravic. Da pa uporabnik gostovanja lahko svojo spletno stran uporablja funkcionalno strežnik omogoča uporabo symlinko-v, ki pa v tem primeru postanejo nevarni. Namreč symlnik pomeni, povezovanje na datoteke izven svoje uporabniške skupne in pravic. Poveže se lahko na vse mape in datoteke drugih uporabnikov na strežniku. Načeloma enako kot se to da normalno preko spleta torej nič nenavadnega le, da pri .php datotekah lahko na ta način vidi kodo oz. vrednosti zapisane v tej datoteki, če niso kriptirane, kar pa v večini primerov seveda niso. Ne more videti root datotek torej datotek, do katerih lahko dostopa le administrator strežnika sicer bi imel nadzor nad celim strežnikom. To, da lahko vidi wp-config.php ali pa config.php, ki sta konfiguracijski datoteki wordpressa in joomle pa je več kot dovolj. Tu notri so shranjena gesla do mysql podatkovne baze wordpressa ali joomle in ker so vpisana v plain text formatu ima sedaj na dlani dostop do baze. Izvede mysql injection in vam tako lahko spremeni vrednosti v mysql bazi.

Rešitev za tovrstne napade je sledeča. Vsi uporabniki sistemov wordpress in joomle pa tudi drugih skript, ki temeljijo na php/mysql spremenite pravice konfiguracijskim datotekam na 600. Z naše strani že pripravljamo skripto s katero bodo naši strežniki to samodejno preverjali in spreminjali vsako noč saj je bolj malo za pričakovati, da bodo to uporabniki sami naredili saj jih večina takih člankov kot je ta niti ne bere (se jim zdi potratno in neumno ... žal) zato vse pohvale tistim, ki ga berete:). Ker je tkšno početje obremenjujoče za strežnik bomo po potrebi te spremembe iz naše strani počeli redkeje recimo dvakrat ali enkrat na teden. Še vedno je torej pomembna vaša vloga, da kot uporabnik to naredite sami kolikor se le da hitro. Dodali bomo "apache patch", ki bo prisilno nastavil vse SymLinksIfOwnerMatch na On, kar pomeni, da izven svoje uporabniške skupine symlnikanje ne bo delovalo. To načeloma ne bi smel biti problem za nobenega uporabnika, če pa je kdo uporabljal symlnikanje izven soje uporabniške skupine zato, ker je imel več paketov gostovanj na istems trežniku in je na ta način povezoval datoteke in/ali mape bo to žal moral spremeniti saj bo to v korist vseh.
Nasvet za v bodoče pa je, da spremenite pravice datotekam .php na 600, predvsem wp-config.php pri wordpress straneh in config.php pri joomla straneh, skratka spremenite vsem konfiguracisjkim datotekma php formata pravice na 600 to so predvsem datoteke, ki vsebujejo prijavne podatke vaše strani do vaše baze.

Pa srečno, Erik Dimitrijevič