[ZynX]

Citat:

Ursprungligen postat av redrum

Jag kanske borde skrivit "Server hos Levonline hackad" för att det skulle vara mer korrekt.

Om det nu år så som ni tror, att det är ett hål i WP/Joomla som orsakat detta. Är det då inte konstigt om det även drabbats sidor som inte använder WP/Joomla och att det ligger filer med root som user på FTP'n?

Det skulle i så fall kunna vara så att "joomla" kunden inte är chrootad och på så vis kunnat exekvera script i servern. Ett stort misstag många oftast glömmer är att disable php-exec. Har dom tillgång till det kan dom iprincip om inte andra hemkataloger är chrootade mecka till sig så pass hög access så att de lyckas att skriva över alla index.* till de dom önskar. Det är i alla fall väldigt vanligt i osäkra miljöer. Och då måste man antingen chroota alla användare eller att helt enkelt patcha systemet så att man inte har execute rättigheter i t.e.x /tmp eller någon annan del av systemet som man kan komma åt om man har ett shell likt c99 c101 och vad nu alla dom där heter som du kan styra iprincip en hel server om man inte säkrat dessa korrekt.

Men för att återgå till topic så håller jag mig till att en server i så fall varit attackerad. Att återställa index.* kan inte tagit så lång tid för dem genom att bara skicka ut alla ändringar en dag tillbaka på alla index filer som ändrats och sedan fokusera snabbt på vad som hänt och hur man kan göra det bättre. Vet bland annat att använder man sig utav Directadmin som ej är chrootad så måste du göra en hel del justeringar i ditt linux system innan du kan känna dig lugn

[Zedrick]

Citat:

Ursprungligen postat av Westman

Det har stått på flera av de hackade sajterna.

Såhär funkar det:

WP/Joomla-"hacking" utförs av 13-åriga sysslolösa barn utan någon större IT-kunskap, som sitter i någon källare hos sin mamma och på sin höjd kan läsa igenom 3 är gamla exploit-advisories.

13-åringar har en tendens att skryta. Självfallet skrivs det om root (eller r00t) och annat nonsens, det betyder inte att det är sant.

Testa själv med att lägga upp t ex en Joomla 1.5.x, vänta tills den blir defaced. Ta sedan bort allt utom index.php, och skriv i den något roligt om vilka noobs hacker-gruppen i fråga är.

Se om de lyckas ta bort det. Det lär de knappast göra, eftersom de har utnyttjat ett välkänt säkerhetshål och inte kan göra något utan det.

Vad gäller rena HTML-sidor - FTP-inloggning? Det finns fortfarande, år 2013, folk som har abc123 eller password som FTP-lösenord, och dessutom många som har infekterade datorer där lösenordet kan hämtas från FTP-klienten och skickas vidare.

[Westman]

Citat:

Ursprungligen postat av Zedrick

Såhär funkar det:

WP/Joomla-"hacking" utförs av 13-åriga sysslolösa barn utan någon större IT-kunskap, som sitter i någon källare hos sin mamma och på sin höjd kan läsa igenom 3 är gamla exploit-advisories.

13-åringar har en tendens att skryta. Självfallet skrivs det om root (eller r00t) och annat nonsens, det betyder inte att det är sant.

Testa själv med att lägga upp t ex en Joomla 1.5.x, vänta tills den blir defaced. Ta sedan bort allt utom index.php, och skriv i den något roligt om vilka noobs hacker-gruppen i fråga är.

Se om de lyckas ta bort det. Det lär de knappast göra, eftersom de har utnyttjat ett välkänt säkerhetshål och inte kan göra något utan det.

Vad gäller rena HTML-sidor - FTP-inloggning? Det finns fortfarande, år 2013, folk som har abc123 eller password som FTP-lösenord, och dessutom många som har infekterade datorer där lösenordet kan hämtas från FTP-klienten och skickas vidare.

Jag vet allt detta och lite till. Jag förstår dock inte vad det har med vad sajterna själva anger som anledning till "hackningen" (ja jag var oklar att det var det jag avsåg, sorry).

[ZynX]

Finns ju även en massa öppna script som skannar joomla till exempel joomscan är ett perl script som används för att upptäcka säkerhetshål i just joomla.

Om man säger så här är joomla 1.5.x som en ihålig ost och denna har en hel del man måste göra för att leva kvar med denna.

[redrum]

Citat:

Ursprungligen postat av ZynX

Det skulle i så fall kunna vara så att "joomla" kunden inte är chrootad och på så vis kunnat exekvera script i servern. Ett stort misstag många oftast glömmer är att disable php-exec. Har dom tillgång till det kan dom iprincip om inte andra hemkataloger är chrootade mecka till sig så pass hög access så att de lyckas att skriva över alla index.* till de dom önskar. Det är i alla fall väldigt vanligt i osäkra miljöer. Och då måste man antingen chroota alla användare eller att helt enkelt patcha systemet så att man inte har execute rättigheter i t.e.x /tmp eller någon annan del av systemet som man kan komma åt om man har ett shell likt c99 c101 och vad nu alla dom där heter som du kan styra iprincip en hel server om man inte säkrat dessa korrekt.

Men för att återgå till topic så håller jag mig till att en server i så fall varit attackerad. Att återställa index.* kan inte tagit så lång tid för dem genom att bara skicka ut alla ändringar en dag tillbaka på alla index filer som ändrats och sedan fokusera snabbt på vad som hänt och hur man kan göra det bättre. Vet bland annat att använder man sig utav Directadmin som ej är chrootad så måste du göra en hel del justeringar i ditt linux system innan du kan känna dig lugn

Stort tack för att du tar dig tid att förklara mer i detalj
Vad vi har märkt så är det många filer med namn innehållande index och main som blivit hackade, dock inte alla.
Så om jag förstår dig rätt så är risken att man kan vara ganska utsatt i en delad miljö.

Mitt syfte är verkligen inte att kasta någon skit på Levonline, jag beklagar om min ton verkat så här. Vi har varit kund hos dem länge, ca 8-9 år, och de flesta erfarenheter av dem är goda.
Men dock så ser jag fortfarande sidor som inte återställts, och våran sida återställde vi själva.

[foks]

Citat:

Ursprungligen postat av redrum

Stort tack för att du tar dig tid att förklara mer i detalj
Vad vi har märkt så är det många filer med namn innehållande index och main som blivit hackade, dock inte alla.
Så om jag förstår dig rätt så är risken att man kan vara ganska utsatt i en delad miljö.

Mitt syfte är verkligen inte att kasta någon skit på Levonline, jag beklagar om min ton verkat så här. Vi har varit kund hos dem länge, ca 8-9 år, och de flesta erfarenheter av dem är goda.
Men dock så ser jag fortfarande sidor som inte återställts, och våran sida återställde vi själva.

Vad sa Levonlines support när du kontaktade dem? De kan utan problem se hur intrånget har skett och kan ge bättre svar än de spekulationer du får här.

[taz76]

Virus i datorn som snott lagrade lösenord ifrån ftp-programmet?

[redrum]

Sjukt sent svar här. Men här kommer det iaf;
Levonline meddelade att någon lyckats anskaffa sig admin behörighet på en av servrarna. Det skedde genom att utnyttja en hemsida med säkerhetshål för att sedan lyfta behörigheten i webservern apache.

Levonline uppdaterade sedan samtlig mjukvara, bytte samtliga lösenord och nycklar och analyserade sedan om servrarna fortfarande var drabbade.

Så precis som det skrivits tidigare så var det någon som utnytjat ett hål i WP/Joomla/etc.

//Fredrik