PDA

Zobacz pełną wersję : Włamanie na GPW (joomla)



Pokorny
26-10-2014, 20:19
... Giełda Papierów Wartościowych została zaatakowana powtórnie - tym razem atak zaczął się od SQL Injection na system zarządzania treścią Joomla. W kolejnym etapie udało się umieścić na serwerze webshelle, z których rozpoczęto skanowanie podsieci i dalsze fazy ataku. Zajęło to sporo czasu, co najmniej kilka dni – i najwyraźniej przez ten czas administratorzy GPW niczego nie zauważyli.
więcej można przeczytać tutaj (http://www.dobreprogramy.pl/W-imie-Allaha-Milosciwego-Milosiernego-zaatakowano-Gielde-Papierow-Wartosciowych,News,58724.html)

Może ktoś ma więcej informacji.

Gall Anonim
26-10-2014, 22:08
Jeśli już to atak dotyczył nie GPW tylko utp.gpw.pl i dopiero w ten sposób dostano się do "wnętrza" serwerów.
Natomiast świadczy to raczej o braku kompetencji ze strony administratorów.
Nie jestem w stanie obecnie stwierdzić którą wersję Joomla zaatakowano (witryna zaatakowana obecnie jest wyłączona) ale atak typu sql injection jest rzekłabym "standardem" egzaminującym administratora (mały opis z wiki) (http://pl.wikipedia.org/wiki/SQL_injection) znanym chciałoby się rzec od zawsze . Dostępne są rozszerzenia minimalizujące zagrożenie chociażby napisany już przy wersji Joomla 1.5.x (może wcześniej) przez Jolę dodatek "Spadaj". RS Firewall z kolei wprowadza zabezpieczenia na naprawdę "fajnym poziomie" i wskazuje kierunek poprawek w konfiguracji oraz strukturze. Tak jak napisałem - problemem jest tutaj niefrasobliwość (niekompetencja) administratora (nie pierwszy raz), a nie Joomla. Ja bym zapytał po prostu administratora o:
1. Czy była to najnowsza wersja Joomla?
2. Czy wszystkie rozszerzenia miały najnowszą/aktualną wersję?
3. Czy witryna zawierała w swojej strukturze rozszerzenia szczególnie podatne na ataki (można to takich poczytać w sieci - ostatnio chociażby boty "pastwią się" nad JCK - co można zaobserwować na loga'h systemowych zabezpieczeń - wniosek nasuwa się sam)?
4. Czy struktura dostępów i zabezpieczenia były włączone?
5. Czy hasła były szyfrowane "w locie" i jeśli tak to jakim algorytmem?
6. Czy dostęp do logowania do zaplecza był ukryty?
7. Jak wyglądała kwestia samych praw plików i katalogów na serwerze, oraz umiejscowienia katalogów i plików "wrażliwych"?
8. Na zapis plików o jakich rozszerzeniach pozwalała konfiguracja Joomla?
9. Czy i jakie rozszerzenia zabezpieczające zostały zainstalowane?
10. Jeżeli zabezpieczenia z punktu 9 były zainstalowane to jak były skonfigurowane (instalacja to jedno, a świadoma konfiguracja to drugie)?
11. Kiedy ostatni raz administrator zaglądał na zaplecze witryny?
Standardowy atak to albo nieuprawnione przejęcie danych dostępowych albo "wstrzyknięcie/zapisanie" pliku do "wnętrza" i uruchomienie go.
Nie ma witryny do której nie można się włamać ale przy odrobinie chęci można to naprawdę całkiem nieźle utrudnić.
all

zwiastun
26-10-2014, 22:10
Tak, niebezpiecznik ma więcej, pisał o tym wcześniej. Jedni i drudzy dostarczają wielce dokładnej, bo nic nie mówiącej informacji. Atak zaczął się od Joomla.... A jak każdy, tak i ten zaczął się od dziury w całym , za którą w pierwszym rzędzie odpowiada jakiś administrator. Ktoś w komentarzu na Niebezpieczniku napisał, że informatycy GPW zarabiają dokładnie tyle, ile trzeba zapłacić administratorom, by mieć takie osiągnięcia. Coś koło 2500 miesięcznie. Pewno jeszcze na jakichś śmieciówkach.

Jdwind
26-10-2014, 23:32
No właśnie miałem pisać o tym, co Zwiastun napisał - pewnie mają zatrudnionych 10-ciu informatyków, z czego 9 to "krewni i znajomi królika" a dziesiąty (na stażu) za grosze odwala robotę za wszystkich i za wszystkich zbiera baty. Taka dzisiaj rzeczywistość, zwłaszcza w państwowych firmach.