Autor Tema: deface weba  (Posjeta: 1524 vremena)

0 Članova i 1 Gost pregledava ovu temu.

Offline 9A5BEE

  • Junior Member
  • **
  • Postova: 84
deface weba
« u: 25. Ožujak 2007, 00:48:32 »
Izvjestaj i analiza na temelju dosad prikupljenih podataka a odnosi se na  sigurnosni incident 22. 03. 2007:

Od kuda - Napad je poceo u 18:14 sa prvim logiranjem IP adrese koja zavrsava u Jemenu. IP adresa je 82.114.184.37 koja vodi do Netgear routera. Originalni OS  Netgear-a je zamijenjen sa  linux BusyBox OS-om. Ovaj tren IP adresa nije dostupna. Postoji mogucnost da je ova IP adresa koristena kao proxy, tj da se napadac skriva na nekoj drugoj adresi.

Kako - Kako je izveden napad?
Napad je izveden koristeci sigurnosnu rupu u phpnuku. Izvrsen je php injection (ne bih sada u detalje sto je to, ima na wikipediji) koristeci rupu u modulu coppermine (to je galerija slika). Ovakav napad je izveden sa ciljem ne samo da se onesposobi web stranica vec da se postavi "zlocesta" (engl. bi bilo malicius, ispircavam se sto nemam bolji prijevod, ali vecina literature koju citam je na engl) php skripta koja ima sljedece opcije: listanje/kretanje/brisanje/kreiranje direktorija, stavljanje i skidanje podataka ftp-om, osnovne informacije o serveru (procesor, disk, verzija OS-a, tip baze...), slanje mailova sa ili bez attachmenta, logiranje na mysql bazu, listanje i pregledavanje baze, dobivanje shella. Radi nekih postavki na serveru nije bilo moguce izvrsiti sve od navedenog. Skripta je jako dobro napisana i ima univerzalnu funkciju. To znaci da na nekim racunalima ima 100% ucinkovitost dok na nekim nema. Link na spomenutu skriptu (koristena je malo modificiranija verzija) je http://r3d-crew.com/hook

Sto se dogodilo na nasem serveru? Definitivno brisanje podataka. Postoji velika vjerojatnost da su neki podaci kompromitirani. O tocnim razmjerima cu znati nakon detaljene analize. Dat cu vam timeline kako je ovo islo:
22. 03. popodne na stranici sve radi. Napadac se u 18:14 dolazi na stranicu, radi php injection na coppermine i njime stavlja skriptu. Sa tom skriptom uploada novu stranicu sa kojom napravi deface hamradija. U to vrijeme primjetim novu web stranicu (mozda su ju neki vidjeli, sve na arapskom, stranica se drma ko' luda i svira arapska muzika), logiram se na server, prvo zaustavim mysql i apache. Maknem tu stranicu sa web-a, izlistam direktorij i vidim da je sve na mjestu. Prvo pomislim da nema veze sa napadom od ranijeg dana. No, za par minuta opet izlistam direktorij i vidim da jos vise stvari fali nego dan prije. Kako sam odmah zaustavila bazu i web, nije bilo daljnih sigurnosnih incidenata.

Ovim napadom nije napravljen samo tzv deface stranice (zamijena glavne stranice nekom drugom) vec je napad isao puno dalje. Dogodilo se brisanje velikog broja dateteka, ukljucujuci i webove korisnika. Backup podataka postoji pa nije problem u vracanju podataka. Razlog zasto je to ovoliko trajalo je taj sto sam morala naci sve ove informacije koje vam dajem. Stranica je sada privremeno gore, prvenstveno da znate sto se desava. Zao mi je sto vam moram reci, ali galerija slika je oenmogucena i vama nevidljiva. Zakrpa za ovu rupu ne postoji u ovom trenutku.

Sto je kompromitirano? - nije na odmet pretpostaviti sve. skripta je postavljena na arapskom jeziku. Kako ja neznam arapski sluzila sam se raznim servisima na webu da ju prevedem iz razloga sto sam morala saznati sto ona radi i koliko daleko ide napad.

Kako sprijeciti ponovni napad? - promijeniti cms rjesenje. Phpnuke je siguran kao svicarski sir. nemogu garantirati da se napad nece ponoviti jer su sada koristene rupe za koje nema zakrpa. nije rjesenje gasiti module kao galerija. kako je ovo vrlo prometan web, sa jako puno podataka, trebat ce mi neko vrijeme da ih sve prebacim na novi web. kako je phpnuke integrirana cjelina, tj sve je u jednoj bazi (forum, galerija, podaci, oglasnik...) nije moguce preko jedne noci izvuci podatke i posloziti ih.  

Zasto nije web odmah vracen? - kada se dogodi incident vazno je saznati zasto se dogodio. nije dovoljno samo disejblati neke module, napraviti "upgrade" onoga sto postoji pa idemo dalje. vazno je znati zasto se to dogodilo. log je ogroman jer je puno posjetitelja (nekoliko MB loga svaki dan se napuni) i trebalo mi je neko vrijeme da sve analiziram. Prvi puta je bilo poteskoca u srijedu kada sam bila na faxu i nisam znala sto se desava. Navecer kada sam stigla doma, vidjela sam da je izbrisano pola web direktorija. Vratila sam odmah podatke, u logu nisam nasla apsolutno nista. U roku manjem od 24 sata, web je bio deface-an i obrisano jos vise toga. Upravo radi toga, sada je stvar trajala malo duze.
Dodatni problem je taj sto sam prije dva sta nasla da je slicna skripta bila postavljena u prosincu 2005 kada se vjerojatno isto dogodio incident. Ta skripta je bila na latinici, smjestena u skroz drugom folderu i drugog imena.

Ova tri dana sam konstantno pred monitorom i htjela bi se malo naspavati :D jer susada izledam ovako 8O
Sljedeci koraci su procjena stete koja je nastala incidentom i evalucija svega ucinjenog kao i pisanje dokumentacije o incidentu. Nakon toga cu razmisliti o novim standardima koje treba uvesti.
Prije ovog dogadjaja u planu je bilo postavljanje novog mail servera kojim bi imali mogucnost webmaila (cuvanje poruka, uredjivanje vaseg racuna) i tom izmjenom mail ne bi bio vezan za web. Znaci ako web ne radi, mail radi je je na drugoj masini. Ovi dogadjaji su to malo usporili. Mozda vam se nece ciniti da su to velike izmjene odmah, ali sa vremenom cete uociti razliku.
Skoro pa da sam zavrsila novu Cavtat stranicu. Ono sto sam imala gotovo to sam stavila na server.
Jos jedna napomena:
Pojedini korisnici i klubovi na ovom istom web serveru koriste dinamicke web stranice. Postoji mogucnost da i one budu podlozne sigurnosnim incidentima. U ovom trenu to ne mogu rijesiti ali nesto trebam napraviti u tom pogledu. Znam da je nekim potrebna mysql baza i ne mogu to onemoguciti ali kada rijesim ovaj slucaj morat cu se pozabaviti sa ovime. Molim sve koji imate dinamicki web, specijalno php i mysql kombinaciju, da obratite paznju na svoje stranice. Razmislite o alternativama. Meni je drago da imate takve stranice jer znaci da stalno nesto radite na njima a time se i vracaju korisnici jer uvijek imaju nesto za procitati, ali problem je sto je web korisnika postavljen na istu masinu kao i web hamradija. Ako u buducnosti ovo ostane tako, ne mogu dozvoliti da imamo problema radi toga. Do daljenjega ne otvaram mysql baze korisnicima.

73 de 9a5bee

Offline 9A3AMQ

  • Junior Member
  • **
  • Postova: 51
deface weba
« Odgovori #1 u: 25. Ožujak 2007, 12:15:26 »
:wink: Webmajstorici.
Nemoj da nespavanje uništi tvoje zdravlje. Ako treba izdržat ćemo mi još nekoliko dana bez web-a.

73 de BOXI  9A3AMQ

Offline 9A3QN

  • Master in Training
  • *****
  • Postova: 260
Re: deface weba
« Odgovori #2 u: 25. Ožujak 2007, 13:10:00 »
Citat: "9a5bee"

Sto se dogodilo na nasem serveru? Definitivno brisanje podataka. Postoji velika vjerojatnost da su neki podaci kompromitirani. O tocnim razmjerima cu znati nakon detaljene analize. Dat cu vam timeline kako je ovo islo:

Zašto jednostavno ne usporediš trenutno stanje na sistemu sa onime što je spremljeno u zadnjem pokretanju "Tripwirea" (ili štogod već imate za takve potrebe, naravno, imate tako nešto)?

Citat: "9a5bee"

Sto je kompromitirano? - nije na odmet pretpostaviti sve. skripta je postavljena na arapskom jeziku. Kako ja neznam arapski sluzila sam se raznim servisima na webu da ju prevedem iz razloga sto sam morala saznati sto ona radi i koliko daleko ide napad.

Tripwire.

Citat: "9a5bee"

Kako sprijeciti ponovni napad? - promijeniti cms rjesenje. Phpnuke je siguran kao svicarski sir. nemogu garantirati da se napad nece ponoviti jer

Slažem se u potpunosti. No, što god da staviš neće se održavati samo od sebe. Nadam se da u HRS-u postoji netko tko se bavi dizajnom i sigurnošću HRS-ove informatičke infrastrukture.

Citat: "9a5bee"

Dodatni problem je taj sto sam prije dva sta nasla da je slicna skripta bila postavljena u prosincu 2005 kada se vjerojatno isto dogodio incident. Ta skripta je bila na latinici, smjestena u skroz drugom folderu i drugog imena.

 to će reći da je sigurnost na www.hamradio.hr bila zadnja rupa na svirali malo poduže....

Uopće ti ne zavidim na poslu kojeg si se prihvatila. ;-)

73
Kristijan
9A3QN