Na, ezt is megértük: feltörés a Vírus Kommandón

Reggel csodálatos meglepetés ért, ez fogadott a Vírus Kommandó Blog helyén:

By AYS Federal Attack Team
By AYS Federal Attack Team

Jó érzés volt, mit ne mondjak.

Az első, ami átvillant az agyamon, az az volt, hogy kizárt, hogy az ftp-n keresztül jutottak fel, mert az többszörösen is védve van: a gépemről is, és a tárhely szolgáltató által is.

Ugyanakkor mégis csak megesett: az összes index.php és index.html fájlt lecserélték, egy efféle tartalommal bíróra:

By AYS

FEDERAL ATACK TEAM

NO WAR STOP Ä°SRAEL!

Parola ne ?

Az index.html fájlokban még formázási elemek is voltak, azt nem fényképeztem le.

Elkezdtem manuálisan helyreállítani a fájlokat, közben felvettem a kapcsolatot a tárhelyszolgáltatóval, akik már megszüntették a hiba okát – egy gyengébb ponton betörtek, ennyire nem értek hozzá -, és elkezdték helyreállítani az oldalakat a mentésekből.

Nem tudom, milyen oldalakat érintett még ez a jelenség a Vírus Kommandón kívül, tulajdonképpen a szervert törték fel, nem az egyes oldalakat csak úgy, találomra.

Biztos vagyok benne, hogy a jövőben ilyen probléma nem fog előfordulni, ugyanakkor a köz javára szeretném fordítani a problémát, vagyis megmutatom, hogyan lehet a rosszból is jót kovácsolni:

Videóra vettem a helyreállítást, dokumentáltam az oldal feltört állapotát, és a jó verzió visszaállítását>>

A videót, szakemberek tanácsára levettem! Köszönöm Rambonak, az Antivírus Blog paranoid és egyben racionális bloggerének, és Charlinak a szakértői instrukciókat!

Jut eszembe, pont hasonló dolgokról lesz szó hétvégén a Hacktivity 2009-en!

Senki nem születik profi felhasználónak, de az nem mindegy, hogy honnan szeded össze az alapokat! Mi összeszedtük és egy anyagba rendeztük a legfontosabb, leglényegesebb, leghasznosabb tudnivalókat, a PC Start anyagban. Kattints ide, és nézd meg a részleteket>>

Kapcsolódó bejegyzések:

20 hozzászólás so far:

  1. Szia!
    Nem csak a tiédet. Reggel kerestem valamit, az első találat linkje alatt lévő oldal is áldozat olt. Aztán pedig Freelance Taubert I. is jelezte a facebookon:(

  2. Igen, a szervert törték fel végülis, nem az oldalt. Vagyis is-is… egyikből következett a másik..
    Folyik a helyreállítás, nem tudom, hol tartanak, én megcsináltam magamnak.

  3. Az enyémeket is mind, én is pont arra gondoltam, mint Rita, de nem mertem addig hozzányúlni, amíg a szolgáltató nem mondta, hogy nyugodtan. Öt perc múlva már jó is volt mindegyik, a szerveren a javítórobot (úgy tudom) még dolgozik, vagy már kész is van.

  4. Én is döbbenet láttam ma délelőtt, mi történt a honlapunkkal. Fájdalom, hogy nem tudom magam helyreállítani. Szerverszolgáltatóm még nem válaszolt jajszavaimra.

  5. Én is döbbenten láttam ma délelőtt, mi történt a honlapunkkal. Fájdalom, hogy nem tudom magam helyreállítani. Szerverszolgáltatóm még nem válaszolt jajszavaimra.

  6. Hát, igen, mennyire fontos, hogy jó szolgáltatót válasszon az ember. Ennyit érnek az olcsó hostingok…

    Itt is sok wp-s oldal megy, és eddig csak probalkozások voltak, de soha nem sikerült betörni…

  7. Szia Rita!

    Eloszor is oszinte reszvetem.

    Masodszor: biztos hogy jo otlet volt a reszedrol ez a video? Mar tudom, hogy 7.04-es Total Commandert hasznalsz (ami ugye nem kodolja el megfeleloen az FTP jelszavakat), aztan latom a weboldalad strukturajat, amit ugye mar a nezes, kilistazas ellen is vedeni szoktam egy jol konfigolt .htacess allomannyal. Jol latom a meghajtoidon alkalmazott konyvtarszerkezeteket, valoszinuleg nevadasi szokasaid mar kialakultak, es mashol is ilyenre szamithatok.

    A WordPress szerkezetet is megmutatod (mondjuk az amugy is latszott kivulrol), ezert aki wp exploitot ismer, mar tudja, erdemes lesz itt probalkoznia: ugye a biztonsagi weboldalak mind kiemelt celpontoknak szamitanak.

    Szoval en – bar elismerem, hogy egy paranoid allat vagyok ;-) – de semmikeppen nem tettem volna ki egy screenshoton kivul semmit, nem hogy videot.

    Egy meg egy jo tanacs a vegere: nagyon nem ajanlott a space, az ekezetes nevu betu hasznalata az alkonytar nevben (VÍRUSKOMMANDÓ, ftpről biztonsági mentés, stb). Ha lesz egyszer egy olyan kulso vinyod, amit ide-oda hurcolsz Win, Linux es Mac kozott, akkor meglatod majd, milyen kalamajkakat tud ez okozni, pl. nem lep bele az ilyen konyvtarba, nem niytja meg a fajlokat, stb.

    Remelem, segitettem :-DDD

  8. Jó lenne ha frissítenél 2.8.4a-ra, mert jól felexploitolják neked a 2.7.1-et. Nem véletlenül van kint dashboardon a wp rss, volt egy nagy bug, amit javítottak, de ugye frissítés nélkül…

  9. Rambo, a frászt hoztad rám, nemtom, ezt segítségnek hívják felétek? :)))))

    Nem hurcolok külső vinyót, bibibiiii
    A többi stimm sajna…

    Charlie,
    köszi az infót, már csinálom is!

  10. A szemfelnyitast igen annak :-)))

    Az ekezetes fajlnevek es folderek tekinteteben meg ketfele ember van: aki mar felkoppant rajta es szivott, es aki csak most fog :-D

    Szerintem totalisan ellenjavallt, ha van kulso vinyod, ha nincs. Egyebkent eleg egy CD-s Win mentest megnezni Linuxon (ez ELEGGE eletszagu osszeomlaskor), es mar ilyenkor is lehet szivas, convmv-vos nasztancok kovetkeznek, raolvasas, stb,

  11. Igen, igazad van – közben frissítettem a wordpresst – ezért is kell rendszeres adatmentés, hogy ne életmentéssel érjen fel a fájlok mentése, hanem legyen alternatíva…

    Egyébként az adatvédelemnek ez a legnehezebb része – ha a való életet vesszük alapul, és fájloknál be is tartom, de könyvtáraknál látod, még nekem is eljár a kezem az ékezetek irányába… Ezek a legdurvább megoldások az adatvédelemben :))

  12. Hát, én lemaradtam a leleplező videóról, viszont egyszer nekem is feltörték az oldalamat. Akkor adtam meg (először és utoljára) másnak az FTP jelszavamat — nyilván nem ő törte fel, de arra gyanakodtam, hogy nála nem volt minden teljesen biztonságos. Most viszont megnéztem: nekem is 7.04-es Total Commanderem van, és azt hittem, az SSL jó a jelszó titkosítására.

    Kedves Rambo, mi kódolja el megfelelően az FTP jelszavakat? Mi a baj (nem részletes szakmailag, csak felhasználóként kérdem) a TC SSL-jével? Mit tanácsolsz?

    Rita, nekem csak az index fájlomat írták át egy picit, és egy mozdulattal rátöltöttem a gépemen lévő eredetit, ennyi volt. A WP-t nem ismerem, de egy biztonsági mentést visszatölteni nem lehet nagy feladat… Milyen más bajra készüljek még? :-o

  13. Ha nyomban megvaltoztatod a jelszot, nem adod oda masnak, es mar 7.50-es TC-t hasznalsz, akkor mar tettel valamit. Nem azzal van a baj, hogy a TC SSL-je ne mukodne jol, hanem a helyben (a te sajat gepeden) tarolt TC FTP jelszavvask szovegfajljahoz elvileg hozzajuthat a sajat helyi bongeszodon at becsusszano kartevo kesobb.

    Egyebkent egy kis bepillantas, adalek, hogyan dolgoznak a profik, ezuttal egy hacker verseny kereteben Drupal volt a munkapadon :-) Ahogy nincs 100%-os antivirus, nincs 100%-osan vedett weboldal vagy forum sem, az elet kegyetlen ;-)
    http://buhera.blog.hu/2009/09/26/ingyenmenet_nem_dodzsem

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.