[Techinfo] Weblap biztonsag
Veres Sándor
veresh at kossuthzs-szeged.edu.hu
2022. Júl. 22., P, 09:52:18 CEST
Szia!
2022. 07. 21. 20:24 keltezéssel, Kiss Zsolt írta:
>
> Minket kétszer törtek meg, szerencsére külföldi tartalom nem jelent
> meg. Először egy olyan plugint telepített amire rákeresve azonnal írta
> a nagy tesó, hogy nem egészséges, másodjára egy sima file manager
> plugin került fel. Nem is tudom mit akart vele. A kifü mindkétszer kb.
> annyival elintézte, a wordpresst könnyen törik. Csak az a fura, hogy
> pénzes tárhelyű kollégák oldalait miért nem törik meg WP-en? Valami
> akkor ott nem kóser szerver oldalon sem, de hát ha nincs rá keret, nem
> tudok mit tenni. Kíváncsi lennék ha ugyanazt a tartalmat feltenném még
> egy pénzesre is, vajon melyiket hányszor törnék meg…
>
Gondolom egy file manager programmal azt tölt fel a webtárhelyre amit
akar. És ha nincs megfelelően beállítva, elszeparálva a webroot, akkor
onnan bármit másolhat bárhová, amihez a webes tartalmat futtató
felhasználónak jogosultsága van. Vagy ha van egy Apache sérülékenység,
amit ki tud használni, vagy egy olyan sérülékenység, amellyel local
környezetben root jogokhoz juthat (
https://hup.hu/cikkek/20220721/res_a_linux_tuzfalban_local_root ), akkor
nyert ügye van a támadónak: root jogokat szerzett egy "kormányzati"
infrastruktúrában :-D (Nem kell alábecsülni egy file manager plugin
lehetőségeit a támadók kezében). És igen, szerver oldalon is lehetnek
problémák (nem frissített szerver, Apache, vagy egyszerűen csak rosszul
konfigurált).
A pénzes tárhelyű WP-t is feltörik, de ha nekem választanom kellene,
akkor inkább a kormányzati KIFÜ hálózat, mint egy noname cég hálózata
jelenti a nagyobb horderejű célpontot.
> Nekem az volt a szerencsém, hogy a Wordfence ingyenes verziója
> riasztott, hogy ismeretlen gépről admin jogu belépés történt. Így
> gyorsan be tudtam avatkozni.
>
> Először Irakból törtek meg, de másodjára Budapest Hungary volt az IP
> cím mellé írva. Hmm, mondom, ezt úgy tudtam nem hazai szerverekről
> szeretik intézni…
>
Már miért ne törnék hazai szerverről??? A hazai szerver valószínűleg
csak egy ugródeszka volt. Egy biztonságra törekedő szerver alapból
tilthatja pl. a kínai, stb. IP-címeket, míg egy magyart nem fog korlátozni.
Szerinted a te feltört szerveredre miért van szükség (?) - újabb ugródeszka.
> Szóval a kifütől nem kell sokat várni, nem tudtak mit mondani, hogyan
> jöhetett be. Most még arra várok, ugyan mondják már meg, hogy
> adatbázis belépés történt-e, mert fogalmam sincs hogy a fenébe
> léphettek be most is a borítékos „admin” useremmel, aminek a jelszavát
> sosem használjuk. A múltkor léptem be vele, mert akkor engem törtek
> meg és kizártak, de előtte sosem használtuk.
>
Szóval ezen a weblapon ki-be járkálnak az idegenek. Szerinted az első
belépés után, hogy hátsó kaput hagytak nyitva...?
Veres Sándor
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <https://listserv.niif.hu/pipermail/techinfo/attachments/20220722/bf14aec5/attachment.htm>
További információk a(z) Techinfo levelezőlistáról