[Techinfo] Weblap biztonsag

Veres Sándor veresh at kossuthzs-szeged.edu.hu
2022. Júl. 22., P, 09:52:18 CEST


Szia!

2022. 07. 21. 20:24 keltezéssel, Kiss Zsolt írta:
>
> Minket kétszer törtek meg, szerencsére külföldi tartalom nem jelent 
> meg. Először egy olyan plugint telepített amire rákeresve azonnal írta 
> a nagy tesó, hogy nem egészséges, másodjára egy sima file manager 
> plugin került fel. Nem is tudom mit akart vele. A kifü mindkétszer kb. 
> annyival elintézte, a wordpresst könnyen törik. Csak az a fura, hogy 
> pénzes tárhelyű kollégák oldalait miért nem törik meg WP-en? Valami 
> akkor ott nem kóser szerver oldalon sem, de hát ha nincs rá keret, nem 
> tudok mit tenni. Kíváncsi lennék ha ugyanazt a tartalmat feltenném még 
> egy pénzesre is, vajon melyiket hányszor törnék meg…
>
Gondolom egy file manager programmal azt tölt fel a webtárhelyre amit 
akar. És ha nincs megfelelően beállítva, elszeparálva a webroot, akkor 
onnan bármit másolhat bárhová, amihez a webes tartalmat futtató 
felhasználónak jogosultsága van. Vagy ha van egy Apache sérülékenység, 
amit ki tud használni, vagy egy olyan sérülékenység, amellyel local 
környezetben root jogokhoz juthat ( 
https://hup.hu/cikkek/20220721/res_a_linux_tuzfalban_local_root ), akkor 
nyert ügye van a támadónak: root jogokat szerzett egy "kormányzati" 
infrastruktúrában :-D (Nem kell alábecsülni egy file manager plugin 
lehetőségeit a támadók kezében). És igen, szerver oldalon is lehetnek 
problémák (nem frissített szerver, Apache, vagy egyszerűen csak rosszul 
konfigurált).

A pénzes tárhelyű WP-t is feltörik, de ha nekem választanom kellene, 
akkor inkább a kormányzati KIFÜ hálózat, mint egy noname cég hálózata 
jelenti a nagyobb horderejű célpontot.


> Nekem az volt a szerencsém, hogy a Wordfence ingyenes verziója 
> riasztott, hogy ismeretlen gépről admin jogu belépés történt. Így 
> gyorsan be tudtam avatkozni.
>
> Először Irakból törtek meg, de másodjára Budapest Hungary volt az IP 
> cím mellé írva. Hmm, mondom, ezt úgy tudtam nem hazai szerverekről 
> szeretik intézni…
>

Már miért ne törnék hazai szerverről??? A hazai szerver valószínűleg 
csak egy ugródeszka volt. Egy biztonságra törekedő szerver alapból 
tilthatja pl. a kínai, stb. IP-címeket, míg egy magyart nem fog korlátozni.

Szerinted a te feltört szerveredre miért van szükség (?) - újabb ugródeszka.

> Szóval a kifütől nem kell sokat várni, nem tudtak mit mondani, hogyan 
> jöhetett be. Most még arra várok, ugyan mondják már meg, hogy 
> adatbázis belépés történt-e, mert fogalmam sincs hogy a fenébe 
> léphettek be most is a borítékos „admin” useremmel, aminek a jelszavát 
> sosem használjuk. A múltkor léptem be vele, mert akkor engem törtek 
> meg és kizártak, de előtte sosem használtuk.
>

Szóval ezen a weblapon ki-be járkálnak az idegenek. Szerinted az első 
belépés után, hogy hátsó kaput hagytak nyitva...?


Veres Sándor
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <https://listserv.niif.hu/pipermail/techinfo/attachments/20220722/bf14aec5/attachment.htm>


További információk a(z) Techinfo levelezőlistáról