Szia!
2022. 07. 21. 20:24 keltezéssel, Kiss Zsolt írta:
Minket kétszer törtek meg, szerencsére külföldi tartalom nem jelent
meg. Először egy olyan plugint telepített amire rákeresve azonnal írta
a nagy tesó, hogy nem egészséges, másodjára egy sima file manager
plugin került fel. Nem is tudom mit akart vele. A kifü mindkétszer kb.
annyival elintézte, a wordpresst könnyen törik. Csak az a fura, hogy
pénzes tárhelyű kollégák oldalait miért nem törik meg WP-en? Valami
akkor ott nem kóser szerver oldalon sem, de hát ha nincs rá keret, nem
tudok mit tenni. Kíváncsi lennék ha ugyanazt a tartalmat feltenném még
egy pénzesre is, vajon melyiket hányszor törnék meg…
Gondolom egy file manager programmal azt tölt fel a webtárhelyre amit
akar. És ha nincs megfelelően beállítva, elszeparálva a webroot, akkor
onnan bármit másolhat bárhová, amihez a webes tartalmat futtató
felhasználónak jogosultsága van. Vagy ha van egy Apache sérülékenység,
amit ki tud használni, vagy egy olyan sérülékenység, amellyel local
környezetben root jogokhoz juthat (
https://hup.hu/cikkek/20220721/res_a_linux_tuzfalban_local_root ), akkor
nyert ügye van a támadónak: root jogokat szerzett egy "kormányzati"
infrastruktúrában :-D (Nem kell alábecsülni egy file manager plugin
lehetőségeit a támadók kezében). És igen, szerver oldalon is lehetnek
problémák (nem frissített szerver, Apache, vagy egyszerűen csak rosszul
konfigurált).
A pénzes tárhelyű WP-t is feltörik, de ha nekem választanom kellene,
akkor inkább a kormányzati KIFÜ hálózat, mint egy noname cég hálózata
jelenti a nagyobb horderejű célpontot.
Nekem az volt a szerencsém, hogy a Wordfence ingyenes verziója
riasztott, hogy ismeretlen gépről admin jogu belépés történt. Így
gyorsan be tudtam avatkozni.
Először Irakból törtek meg, de másodjára Budapest Hungary volt az IP
cím mellé írva. Hmm, mondom, ezt úgy tudtam nem hazai szerverekről
szeretik intézni…
Már miért ne törnék hazai szerverről??? A hazai szerver valószínűleg
csak egy ugródeszka volt. Egy biztonságra törekedő szerver alapból
tilthatja pl. a kínai, stb. IP-címeket, míg egy magyart nem fog korlátozni.
Szerinted a te feltört szerveredre miért van szükség (?) - újabb ugródeszka.
Szóval a kifütől nem kell sokat várni, nem tudtak mit mondani, hogyan
jöhetett be. Most még arra várok, ugyan mondják már meg, hogy
adatbázis belépés történt-e, mert fogalmam sincs hogy a fenébe
léphettek be most is a borítékos „admin” useremmel, aminek a jelszavát
sosem használjuk. A múltkor léptem be vele, mert akkor engem törtek
meg és kizártak, de előtte sosem használtuk.
Szóval ezen a weblapon ki-be járkálnak az idegenek. Szerinted az első
belépés után, hogy hátsó kaput hagytak nyitva...?
Veres Sándor
_______________________________________________
Techinfo mailing list
[email protected]
Fel- és leiratkozás: https://listserv.niif.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Szertár: http://www.szag.hu/weboldal/techinfo/
