Skoči na vsebino

SI-CERT 2012-03 / Napadi na slovenske spletne strani

Opis

Slovenska skupina, ki se predstavlja za del hektivistične skupine Anonimnih, zadnji teden izvaja različne napade na slovenske strežnike. Iz vladnega spletnega strežnika so skopirali podatke o internih IP naslovih, imenih zaposlenih in podatke o nekaterih preklicenih certifikatih. Podatki ne omogočajo dostopa do sistema za izdajo certifikatov in ne omogočajo kraje certifikata.

Tokom današnjega dne (nedelja, 12. 2. 2012) pa se vrstijo razobličenja nekaterih slovenskih spletnih mest (zps.si, obcinaljutomer.si in probanka.info, ki se vse nahajajo pri istem ponudniku gostovanja). Do razobličenja (angl. defacement) spletne strani pride preko nepooblaščenega dostopa do strežnika. Tega omogoča ranljivost na strežniku, ali nezaščiten dodatni modul (plugin), ki je običajno namenjen odlaganju slikovnega materijala.

Nekaj po 20h pa so bili izvedeni tudi napadi na spletna mesta političnih strank.

Priporočila

Ponudnikom gostovanja v primeru razobličenja ali vdora v strežniški sistem svetujemo shranjevanje dnevniških datotek. Te omogočijo identifikacijo varnostne pomanjkljivosti, na podlagi katere je prišlo do vdora ali nepooblaščenega nameščanja spletne strani. Začasen ukrep je lahko tudi omejitev pravic na datotečnem sistemu, tako da je za mape in datoteke spletnega strežnika dovoljeno samo branje, ne pa tudi pisanje. Za pomoč pri preiskovanju vdora se obrnite na SI-CERT (cert@cert.si).

Internetnim ponudnikom svetujemo spremljanje prometa v primeru napadov.  Na usmerjevalnikih naj se beležijo podatki o izvornih naslovih, ki sodelujejo v napadih. Za nadaljnje informacije in pomoč naj se ponudniki obrnejo na SI-CERT (cert@cert.si).

Vsem tarčam dosedanjih napadov (in tistim, ki jih skrbi možnost podobnega napada) svetujemo, da čim prej kontaktirajo svojega ponudnika gostovanja in se pozanimajo o možnih zaščitnih ukrepih. Pred tem se lahko po nasvet obrnete na SI-CERT (cert@cert.si) ali po telefonu (01) 479 88 22.

Preberite tudi

SI-CERT 2021-05 / Kritične ranljivosti Microsoft Exchange (ProxyShell)

Prva objava: 19. 8. 2021 Povzetek Veriga ranljivosti v Microsoft Exchange omogoča oddaljeno podtikanje in zagon poljubne kode (RCE, Remote Code Execution) z administratorskimi pravicami. Gre za drugačno verigo od …
Več

SI-CERT 2021-04 / Kritična ranljivost Microsoft Windows Print Spooler servisa

Ranljivost omogoča kateremukoli avtenticiranemu uporabniku oddaljeno izvajanje kode s privilegiji SYSTEM uporabnika na sistemih Microsoft Windows, ki imajo omogočen Print spooler servis. PoC koda, ki omogoča izkoriščanje ranljivost, je že javno objavljena.
Več

SI-CERT 2021-03 / Širjenje okužb s trojanskim konjem QBot

Povzetek QBot (tudi Qakbot) je trojanski konj, prvenstveno namenjen kraji podatkov iz okuženega sistema, ki je v različnih oblikah prisoten že več kot 10 let. V zadnjih različicah je pridobil …
Več