Hackeado por HighTech Brazil HackTeam

czwartek, 31 styczeń 2013 17:20 | Napisał:  Michał Trzepizur

W dniu dzisiejszym aż dwie osoby zgłosiły się do mnie z problemem zainfekowanej strony. W obu przypadkach chodziło o podmienioną stronę główną witryny, na której pojawił się napis: Hackeado por HighTech Brazil HackTeam.

hakedo-hacker

W obu przypadkach użytkownicy nie zadbali o aktualizację swojej witryny. Na jednej była zainstalowana wersja 1.5.15 na kolejnej 1.5.9. Dodatkowo nie przeprowadzano aktualizacji żadnych komponentów, modułów czy dodatków zainstalowanych na witrynach.

Szybka analiza wskazała jednak winowajcę. Za nieautoryzowany dostęp odpowiedzialny był komponent edytora JCE, który także był w archaicznych wersjach (w obu przypadkach). Zalecam wszystkim, którzy używają edytora JCE jak najszybsze przeprowadzenie aktualizacji do najnowszej stabilnej (w tej chwili 2.3.1) wersji.

Pobierz: Edytor JCE 2.3.1 dla Joomla! 1.5
Pobierz: Edytor JCE 2.3.1 dla Joomla! 2.5
Pobierz: Edytor JCE 2.3.1 dla Joomla! 3.0

Zalecam także śledzenie nowych wydań i bezzwłoczną aktualizację w momencie wydania kolejnych wersji JCE.

Lista plików, które zostały "dograne" na serwer.

./index.php
./images/xxu.php
./images/xxx.php
./images/ck.htm
./cache/ck.htm
./tmp/ck.htm
./images/index.html
./cache/index.html
./tmp/index.html
./ck.htm
./xh.txt
./xk.txt

W jednym przypadku dograno także skrypt PHP (Manager plików) i dzięki niemu odczytano zawartość pliku configuration.php, tym samym bez żadnych przeszkód atakujący mógł dostać się do bazy danych. Na szczęście haker zmienił tylko hasło SU i nie dokonał żadnych dodatkowych szkód.

Przypominam także o konieczności wykonywania regularnych kopii zapasowych. Najlepszym do tego celu komponentem jest Akeeba Backup. Jeśli jednak będziecie używać tego komponentu, pamiętajćie o jego konfiguracji. Często spotykam się z przypadkami (w zasadzie nagminnie), że kopie zapisywane są w katalogu public_html (w katalogu z naszą stroną). Jeśli nie ustawicie w konfiguracji komponentu ścieżki, która będzie wskazywała poza public_html - to atakujący będzie mógł bez żadnych przeszkód usunąć wasze kopie.

Jeśli Twoja strona została zaatakowana, zapoznaj się z opisem "Witryna po włamaniu" i postępuj zgodnie ze wskazaniami. Jeśli nie czujesz się na siłach aby samodzielnie usuwać skutki ataku, skontaktuj się ze mną.

Bardzo ważne:

Jeśli chcesz samodzielnie podjąć się usuwania skutów ataku przed podjęciem jakichkolwiek czynności wykonaj kopię zapasową zainfekowanej witryny. Jeśli tego nie zrobisz, być może stracisz szansę na znalezienie luki, przez którą dostał się haker.

Ciekawostki:

Jakiś czas temu zwróciłem uwagę na stronę internetową "Zespołu Parlamentarnego ds Katastrofy Smoleńskiej" (www.smolenskzespol.sejm.gov.pl), która została zaatakowana na początku stycznia. Przykro patrzeć, że do tej pory nikt nie podjął czynności naprawczych lub chociaż zmiany strony startowej. Obecny komunikat, który pokazuje się jakby nie było na Rządowej domenie jest moim zdaniem niedopuszczalny! 

 

Czytany 8852 razy Ostatnio zmieniany czwartek, 31 styczeń 2013 18:11
Oceń ten artykuł
(4 głosów)
Michał Trzepizur

Michał Trzepizur

Administrator Joomla! Wiceprezes Fundacji PCJ "Otwarte Źródła". Twórca programu JAMP (lokalny serwer dla Joomla!). Administrator Polskiego Centrum Joomla!. Zawodowo związany z branżą IT. Od wielu lat zajmuje się administracją witryn opartych o CMS Joomla!.

comments powered by Disqus