[Torreman]

Hej!

Fick nyligen en sida hackad. Sidan låg på Binero och systemet var Joomla.

Sidan administreras av min lillasyster men det var jag som hade lagt upp den. Av någon anledning hade jag glömt att ändra skrivrättigheterna på filen configuration.php. Hade 666 på den filen.

Någon hade ändrat i configuration.php, satt sidan offline samt ändrat lite metadata.

Jag gjorde följande saker:

Återställde configuration.php
Bytte lösenord på samtliga admin-användare
Bytte lösenord på mysql-användare.

I Joomla står username, password, db_name, samt host till mysql i configuration.php. Vilket gör att han har haft tillgång till databasen.

Vilka rutiner har ni vid sådana här händelser?

Är det värt att börja leta i history för att hitta ip-nummer?
Ska jag polisanmäla händelsen?


Snubben hade skrivit: Mark was here som metadata. Någon ni känner?

[Magnus_A]

Låter som en script-kiddie direkt från Flashback.
Han har troligen använt sig av en proxy i Ryssland för detta, så det hjälper nog inte att leta IP eller polisanmäla.
Kolla databasen, han kan ha lagt in lite skadlig kod där när han ändå håller på, typ XSS, dolda iframes osv.

[Jimpsson]

Antagligen någon som snappat upp de senaste från milw0rm så råkade du bli offret, eller något liknande. Från Flashback, ja den saken är väl ganska säker om det nu var en svensk du blev hackad av.

[emilv]

Du måste uppdatera till senaste versionen av Joomla. Det finns många möjligheter till SQL-injektioner i Joomla och framförallt i dess plugins. Se därför till att du alltid kör senaste versionen.

[Torreman]

Ska göra en kontroll av innehållet i databasen.

Det känns inte lönt att gå vidare och undersöka vem som gjort det. Eftersom jag själv har orsakat säkerhetshålet genom slarv, så har jag även god koll på hur intrånget skedde. Om jag inte hade vetat hur de gjorde det så hade jag nog lagt ner mer tid på utredning.

Gissar att det finns botar som letar efter Joomla/Wordpress sajter med filer/kataloger som inte är skrivskyddade?! Sidan som hackades var en företagssajt med väldigt lite trafik, att hacka den ger nog inte så mycket creed i hackervärlden.

[emilv]

Det finns många bottar som letar Joomla- och Wordpress-installationer, ja. De försöker ofta lägga in egna skript somd e kan använda för DDoS-attacker i framtiden, även om det inte verkar vara en sådan attack den här gången.

Ett tips kan vara att kontakta webbhotellet och berätta vad som hänt, de kanske vill kolla sina temp-kataloger och crontab efter misstänkta program och kika så att de inte har något som ansluter utåt p någon suspekt port.

[Slacker]

Är du säker på att hackningen skedde via configuration.php? Har du upptäckt det via accessloggarna? På PHP-Nuke rekommenderas att motsvarande fil skall ha 666 och jag har aldrig upplevt eller hört talas om hackning via den hos någon.

[Hellsing]

När du ändå är igång kan du lika gärna snegla lite extra på joomla's egna "Security checklist" på http://docs.joomla.org/Category:Security_Checklist

Att flytta config filen utanför public_html kanske kan vara värt att se på iaf?


Trist att folk aldrig kan låta bli att sabba. Det är som du säger... vad ger det för cred att plocka ner en så pass liten webbplats?

[Torreman]

Citat:

Originally posted by Slacker@Nov 5 2008, 06:50
Är du säker på att hackningen skedde via configuration.php? Har du upptäckt det via accessloggarna? På PHP-Nuke rekommenderas att motsvarande fil skall ha 666 och jag har aldrig upplevt eller hört talas om hackning via den hos någon.

Vad jag har upptäckt hittills så var det ett rent configuration.php hack. Det enda de hade gjort var att ändra fyra variabler i denna fil. Tex. satt $offline = '1' och $offline_message = ’bla bla'. Den filen hade också 666, vilket är helt emot Joomla's instruktioner.

Jag är långt ifrån expert på detta område. Men ensak tror jag mig veta, och det är att man aldrig ska ha skrivbara filer på en sajt. På en del kataloger kan det dock vara helt okej med 777.

Kan inget om PHP-Nuke. Jobbar mest med Joomla, phpBB, phpLD och Wordpress och i de systemen skall filer i princip aldrig vara skrivbara. Tex skriver phpLD så här i admin-gränssnittet om config.php är skrivbar:

"Configuration file is still writeable by the user the webserver runs under. This poses a major security risk, please drop writing permissions for include/config.php file immediately!"

[Dimme]

Även om en fil är skrivbar/läsbar av alla användare så måste fortfarande hackaren ha tillgång till servern för att kunna läsa/skriva filen.

Hackaren kan fortfarande inte se koden för en fil som är 666 och .php

Två sätt att göra detta är:
- Att läsa/skriva i filen som en annan användare på samma server (inte troligt om du kör ett seriöst webbhotell).
- Att hitta ett kryphål på din Joomla och därifrån som användare www-data eller liknande läsa innehållet i filen eller skriva om den.

Så det egentliga problemet är inte att din fil hade 666 rättigheter, utan att det finns något kryphål på din Joomla. Rekommenderar att uppdatera den samt se genom att alla dina plugins/extensions är säkra.