PDA

Zobacz pełną wersję : Trojan



vienio52
01-12-2023, 08:38
Dzień dobry,
Mam na hoście providera 9 serwisów www. Są to środowiska: autorskie, joomla 3.10, joomla 4.xx, Joomla 5.0, WordPress, Drupal. Najważniejszy serwis ma zainstalowany RSFirewall w wersji 3.04. Ostatnio wszystkie zostały zarażone trojanem Kryptik.CE

10185

Pojawiły się zainfekowane pliki index.php oraz .htaccess i pliki about.php
Wykluczony jest nieuprawniony dostęp przez protokoł FTP. Mam silny system haseł. Nigdzie ich nie zapisuję, nikomu nie udostępniam.
Provider (serwer linuksowy) nie ma skanera online. Na życzenie włącza jakiegoś darmowego antywira i przysyła log z listą zainfekowanych plików. Nie jest w stanie ani ich wyleczyć, ani usunąć.
Twierdzi, że to wszystko nie wina zabezpieczeń serwera a luki bezpieczeństwa w kodzie. Czy na prawdę nic nie można zbudować bezpiecznego w oparciu o darmowy cms typu joomla?
Napracowałem się - pobrałem wszystkie serwisy www na lokalny komputer i wyczyściłem środowisko. Niestety skaner nie był w stanie oczyścić plików index.php - leczenie polegało na usunięciu niesamowitej ilości replikowanych plików index.php
Ponaprawiałem wszystko korzystając z kopii i wgrałem z powrotem na serwer. Jak długo będzie czysto??
Poradźcie proszę gdzie widzicie luki, jak mogę zabezpieczyć się lepiej?
Pozdrawiam
wieslaw

rkonik
01-12-2023, 12:48
Po pierwsze przestań używać Joomla 3 https://magazine.joomla.org/all-issues/august-2021/joomla-3-10-end-of-support-handling
Po drugie w jaki sposób i czy w ogóle poszczególne witryny są od siebie odseparowane. Znam wiele przypadków w których na serwerze jest większa ilość witryn internetowych ale nie są od siebie odseparowane.
Kolejną sprawą musisz namierzyć co spowodowało włamanie i to wyłączyć (usunąć). Jeżeli tego nie wykonasz jest duża szansa że po przywróceniu stron z backupu luka dalej istnieje i jest kwestią czasu kiedy problem się pojawi.

Pamiętaj że oprogramowanie takie jak RSFirewall ale nie tylko to konkretne nie daje zabezpieczenia w 100%. Ono jedynie ogranicza szansę włamania.

W twoim przypadku ktoś znalazł lukę w zabezpieczeniach i stało się to co się stało. Zacznij monitorować swoje strony czy coś się dzieje.
Jeżeli miałbyś ustawione mechanizmy które monitorują zmiany w kluczowych plikach takich jak index.php dostał byś odrazu sygnał, że plik został zmodyfikowany..

vienio52
01-12-2023, 13:47
Ad.1 - zajmuję się tym
Ad.2 - Pewnie nie są odseparowane, gdyż replikowanie nastąpiło na wszystkie moje serwisy. Mam:
Public_html
katalog 1. witryny
katalog 2. witryny
...
katalog 9. witryny
Jak powinienem odseparować katalogi powiązane z różnymi domenami?

Ad3. Piszesz o monitorowaniu stron - masz na myśli jakiś automatyczny mechanizm?
W jaki sposób (ogólnie) mam monitorować np. pliki index.php

Pozdrawiam
Wieslaw

terra
02-12-2023, 10:28
.. Czy na prawdę nic nie można zbudować bezpiecznego w oparciu o darmowy cms typu joomla?..
To jakieś pretensje, które niewłaściwie adresujesz, bo sam sobie jesteś winny. Premiera Joomla 4 była w sierpniu 2021, z zapowiedzią, że Joomla 3.x przestanie być wspierana. Miałeś 2 lata na migrację. Jednym z powodów wydania nowej wersji jest zapewnienie bezpieczeństwa właśnie (dzisiaj, żaden z użytkowników win7 nie będzie miał pretensji o wirusy ).
Polecam ten raport https://sucuri.net/reports/2022-hacked-website-report/ to może zrozumiesz dlaczego masz problem ze stroną :). Na pocieszenie mogę powiedzieć, że masz szczęście, że to nie WP.

vienio52
02-12-2023, 11:20
To jakieś pretensje, ......
To żadne pretensje. Pytanie/stwierdzenie było w zasadzie retoryczne, a spowodowane tym, że na każdym etapie rozwoju wersji np joomla bardzo często występują problemy z bezpieczeństwem, choćby na dany moment były zainstalowane aktualne poprawki. Moja opinia ogólnie dotyczyła tego, że używanie środowisk typu joomla wymaga wielu dodatkowych czynności poza aktualizacją kontentu i jest to uciążliwe, wymagające ciągłego sprawdzania i nadzoru.
Tak, przeemigruję serwis, pracuję nad tym. Zauważ, że np. poprzez kupno i instalację RSFirewall, wykonywanie backupów staram się zabezpieczać swoje zasoby.
Pozdrawiam

terra
02-12-2023, 13:24
pytanie było w kontekście joomla i rozwiązań open source, skoro retoryczne, to powinno być inaczej formułowane np. "dlaczego jest tylu ludzi, którzy piszą wirusy ?" albo "dlaczego ignorując poprawki mam problemy ?" "dlaczego instalowane są na stronie **** rozszerzenia ?", nieprawdaż ?.
Pracuję z Joomla wiele lat i jeśli system jest na bieżąco aktualizowany, używane są aktualne rozszerzenia, do tego sprawdzone, to strona nie sprawia żadnych problemów bezpieczeństwa, ba nawet nie wymaga specjalnych rozszerzeń bezpieczeństwa.

W praktyce mamy 2 typy ataków na strony:
1. ok 99% ataków to, automatyczne skanery, które wyszukują cms'a', sprawdzają znane luki i poprzez nie, automatycznie instalują skrypty (większoć stron internetowych)
2. pozostałe 1% , to dedykowane ataki na określone strony, z określonym zasobem. (duże i popularne serwisy, najczęściej z danymi kart do płatności)

obrona przed pierwszym, jest oczywiście banalna, to stosowanie podstawowych zasad, co do np. używanych haseł oraz aktualizacji systemu, w przypadku drugiego typu, jest trudniej.
Obrona przed dedykowanym atakiem nie jest łatwa i wymaga sporej wiedzy oraz zasobów do obrony. Tutaj przydają się DMZ'y, sondy, firewall'e , antivir'y itp.

Podsumowując : Jeśli spojrzysz na raport, to zobaczysz, że większość infekcji, jest wynikiem braku aktualizacji [wina właściciela ?] (ponad 50% stron nie jest aktualizowana, mimo że ma zaimplementowany system, na to pozwalający), a większość problemów to stosowanie wadliwych rozszerzeń (Joomla, dla bezpieczeństwa, przynajmniej narzuca programowanie zgodne z framework'iem). Jak myślisz, gdzie powinny zostać zlokalizowane Twoje problemy ? Czy uzasadnione jest Twoje "narzekanie" ?

Dla przykładu Joomla jak i WP, informuje o istniejącej aktualizacji, którą wykonujesz błyskawicznie. Nie wmówisz mi, że 3 kliknięcia, to skomplikowany proces aktualizcji. ( na marginesie. WP to rozwiązanie komercyjne https://en.wikipedia.org/wiki/Automattic !!!, udzielane na zasadach open source, więc ma zupełnie inne wsparcie, a jednak generuje większość problemów, Joomla jest rozwijana wolontaryjnie !!! )

PS. Operator hostingu też ma znaczenie

rkonik
02-12-2023, 13:39
To żadne pretensje. Pytanie/stwierdzenie było w zasadzie retoryczne, a spowodowane tym, że na każdym etapie rozwoju wersji np joomla bardzo często występują problemy z bezpieczeństwem, choćby na dany moment były zainstalowane aktualne poprawki. Moja opinia ogólnie dotyczyła tego, że używanie środowisk typu joomla wymaga wielu dodatkowych czynności poza aktualizacją kontentu i jest to uciążliwe, wymagające ciągłego sprawdzania i nadzoru.
Tak, przeemigruję serwis, pracuję nad tym. Zauważ, że np. poprzez kupno i instalację RSFirewall, wykonywanie backupów staram się zabezpieczać swoje zasoby.
Pozdrawiam
Ta dyskusja do niczego nie doprowadzi. Jak kupisz auto to jeździsz przez 10 lat nic nie robiąc? Czy może przeciwnie zbliża się zima zmieniasz opony, zbliża się wiosna zmieniasz opony, przejechałeś określony dystans zmieniasz olej, Dziecko na tylnym siedzeniu oddało obiad, musisz posprzątać. Klocki hamulcowe się skończyły to je wymieniasz. Niby nowe auto a ciągle trzeba przy nim robić. Jeżeli to jest dla Ciebie uciążliwe to oddajesz auto do serwisu oni to robią a ty pijesz kawkę i oglądasz telewizję lub czytasz gazetę. Tak samo jest ze stronami internetowymi, bez znaczenia jakiego CMS-a używasz. Strony stały się na tyle skomplikowane od strony kodu, że prościej jest oddać pod opiekę komuś i zapłacić. Będziesz miał więcej czasu dla siebie i obejrzysz jakiś film na netflix-ie To jest dokładnie to samo co auto, więc twoje tłumaczenia do niczego nie doprowadzą.

Wracając do twoich pytań wcześniej



katalog 9. witryny
Jak powinienem odseparować katalogi powiązane z różnymi domenami?
Nie wiem jaki masz hosting ale o to powinieneś zapytać swojego dostawcy w jaki sposób odseparuje witryny na twoim planie hostingowym. Przykładowo może to być np PHP open_basedir i wiele problemów odejdzie. Pytaj usługodawcę a on na pewno da Ci konkretną odpowiedź jak to rozwiązał w swojej infrastrukturze.




Ad3. Piszesz o monitorowaniu stron - masz na myśli jakiś automatyczny mechanizm?
W jaki sposób (ogólnie) mam monitorować np. pliki index.php
Tak musi być to automat. Nie wyobrażam sobie abyś dosłownie parę plików sprawdzał codziennie ręcznie czy nastąpiła zmiana. Mnożąc to razy ilość witryn nagle okaże się, że z kilku plików zrobi się kilkadziesiąt lub kilkaset! Bez automatu fizycznie tego nie dasz rady wykonać. Aby to wykonać możesz napisać własny skrypt który będzie monitorował lub kupić gotowe rozwiązania. Sprawdź czy RSFirewall ma taki mechanizm. Znam to narzędzie sprzed bardzo wielu lat ale zdecydowałem się na rozwiązania konkurencji czyli Akeeby która taki mechanizm posiada.