Zobacz pełną wersję : Włamanie na GPW (joomla)
... Giełda Papierów Wartościowych została zaatakowana powtórnie - tym razem atak zaczął się od SQL Injection na system zarządzania treścią Joomla. W kolejnym etapie udało się umieścić na serwerze webshelle, z których rozpoczęto skanowanie podsieci i dalsze fazy ataku. Zajęło to sporo czasu, co najmniej kilka dni – i najwyraźniej przez ten czas administratorzy GPW niczego nie zauważyli.
więcej można przeczytać tutaj (http://www.dobreprogramy.pl/W-imie-Allaha-Milosciwego-Milosiernego-zaatakowano-Gielde-Papierow-Wartosciowych,News,58724.html)
Może ktoś ma więcej informacji.
Gall Anonim
26-10-2014, 21:08
Jeśli już to atak dotyczył nie GPW tylko utp.gpw.pl i dopiero w ten sposób dostano się do "wnętrza" serwerów.
Natomiast świadczy to raczej o braku kompetencji ze strony administratorów.
Nie jestem w stanie obecnie stwierdzić którą wersję Joomla zaatakowano (witryna zaatakowana obecnie jest wyłączona) ale atak typu sql injection jest rzekłabym "standardem" egzaminującym administratora (mały opis z wiki) (http://pl.wikipedia.org/wiki/SQL_injection) znanym chciałoby się rzec od zawsze . Dostępne są rozszerzenia minimalizujące zagrożenie chociażby napisany już przy wersji Joomla 1.5.x (może wcześniej) przez Jolę dodatek "Spadaj". RS Firewall z kolei wprowadza zabezpieczenia na naprawdę "fajnym poziomie" i wskazuje kierunek poprawek w konfiguracji oraz strukturze. Tak jak napisałem - problemem jest tutaj niefrasobliwość (niekompetencja) administratora (nie pierwszy raz), a nie Joomla. Ja bym zapytał po prostu administratora o:
1. Czy była to najnowsza wersja Joomla?
2. Czy wszystkie rozszerzenia miały najnowszą/aktualną wersję?
3. Czy witryna zawierała w swojej strukturze rozszerzenia szczególnie podatne na ataki (można to takich poczytać w sieci - ostatnio chociażby boty "pastwią się" nad JCK - co można zaobserwować na loga'h systemowych zabezpieczeń - wniosek nasuwa się sam)?
4. Czy struktura dostępów i zabezpieczenia były włączone?
5. Czy hasła były szyfrowane "w locie" i jeśli tak to jakim algorytmem?
6. Czy dostęp do logowania do zaplecza był ukryty?
7. Jak wyglądała kwestia samych praw plików i katalogów na serwerze, oraz umiejscowienia katalogów i plików "wrażliwych"?
8. Na zapis plików o jakich rozszerzeniach pozwalała konfiguracja Joomla?
9. Czy i jakie rozszerzenia zabezpieczające zostały zainstalowane?
10. Jeżeli zabezpieczenia z punktu 9 były zainstalowane to jak były skonfigurowane (instalacja to jedno, a świadoma konfiguracja to drugie)?
11. Kiedy ostatni raz administrator zaglądał na zaplecze witryny?
Standardowy atak to albo nieuprawnione przejęcie danych dostępowych albo "wstrzyknięcie/zapisanie" pliku do "wnętrza" i uruchomienie go.
Nie ma witryny do której nie można się włamać ale przy odrobinie chęci można to naprawdę całkiem nieźle utrudnić.
all
zwiastun
26-10-2014, 21:10
Tak, niebezpiecznik ma więcej, pisał o tym wcześniej. Jedni i drudzy dostarczają wielce dokładnej, bo nic nie mówiącej informacji. Atak zaczął się od Joomla.... A jak każdy, tak i ten zaczął się od dziury w całym , za którą w pierwszym rzędzie odpowiada jakiś administrator. Ktoś w komentarzu na Niebezpieczniku napisał, że informatycy GPW zarabiają dokładnie tyle, ile trzeba zapłacić administratorom, by mieć takie osiągnięcia. Coś koło 2500 miesięcznie. Pewno jeszcze na jakichś śmieciówkach.
No właśnie miałem pisać o tym, co Zwiastun napisał - pewnie mają zatrudnionych 10-ciu informatyków, z czego 9 to "krewni i znajomi królika" a dziesiąty (na stażu) za grosze odwala robotę za wszystkich i za wszystkich zbiera baty. Taka dzisiaj rzeczywistość, zwłaszcza w państwowych firmach.
vBulletin® v4.2.5, Prawa przedruku © 2024 vBulletin Solutions, Inc. Wszystkie prawa zastrzeżone.
Tłumaczenie: Polskie Centrum Joomla!