Izberite jezik

SI-CERT 2013-01 / Številne zlorabe Joomla strežnikov

03.01.2013

Opis

SI-CERT je prejel večje število prijav o vdorih v spletne strežnike, ki poganjajo sistem za upravljanje vsebin (CMS, Content Management System) Joomla. Ranljiva komponenta JCE (Joomla Content Editor) napadalcu omogoča odlaganje PHP skript na strežnik in posledično izvajanje poljubnih ukazov na strežniku s pravicami, ki so dodeljene spletnemu strežniku. V tednu dni od 28. 12. 2012 do 3. 1. 2013 je bilo v Sloveniji žrtev tega napada okoli 200.

Vdiralec opravlja avtomatizirano podtikanje PHP skript v direktorij images/stories. To mu omogočajo ranljivosti komponente JCE, ki so opisane v članku

Rešitev

Identifikacija podtaknjenih datotek

Če ste dobili obvestilo o zlorabljenem spletnem strežniku, najprej identificirajte datoteke, ki jih je na sistem namestil vdiralec. To lahko recimo storite tako, da se postavite v vrhnji direktorij Joomla namestitve in med spletnimi stranmi poiščete tiste, ki so bile nameščene v zadnjem tednu dni:

$ find . -mtime -7

Iz seznama izločite datoteke, za katere veste, da so rezultat vašega dela. Za vse podtaknjene datoteke si zabeležite datum in čas nastanka.

Ugotavljanje izvora napadalca

V dnevniški datoteki strežnika (access_log) poiščite zapise, ki se nanašajo na podtaknjene datoteke (glede na čas njihovega nastanka). Med njimi se običajno pojavi zahtevek:

GET /images/stories/susu.php

Za najdene zapise si zabeležite IP naslove poizvedb in te izluščite iz dnevnika. Izseke lahko pošljete na SI-CERT (po elektronski pošti na naslov cert@cert.si za nadaljnjo preiskavo incidenta.

Odstranitev podtaknjenih datotek

Vse podtaknjene datoteke odstranite iz strežnika.

Namestitev popravkov

Obvezno namestite zadnjo verzijo JCE komponente za svojo različico strežnika na naslovu:

Hkrati svetujemo nadgradnjo vseh drugih vtičnikov in komponent Joomla platforme. Če ranljive komponente ne boste posodobili, se bo zloraba lahko ponovila in pripeljala do izgube ali kraje podatkov z vašega strežnika. Vdiralec bo lahko tudi izvajal napade na druga spletna mesta (glej obvestilo SI-CERT 2012-15 / Napadi s poplavo podatkov z izrabo ranljivosti Joomla CMS).

Če posodobitve JCE ne morete opraviti takoj, lahko začasno preprečite izvajanje PHP skript iz direktorijaimages/stories tako, da vanj namestite datoteko .htaccess, vendar njen lastnik ne sme biti isti uporabniški račun, s katerim zaganjate spletni strežnik (sicer bo datoteko napadalec lahko sam spremenil):

cd images/stories
echo "RemoveType .php" > .htaccess
echo "RemoveHandler .php" >> .htaccess
chown root .htaccess
chmod go-wx .htaccess

Opombe

Ranljivosti, ki vodijo do opisanih napadov, so bile odkrite pred letom in pol (avgusta 2011). Do vdorov torej prihaja zaradi neustreznega vzdrževanja spletnih platform. Lastnik spletnega mora vedeti, da spletno mesto zahteva redno in strokovno ustrezno vzdrževanje. Če nimate lastnega kadra, ki bo spremljal razvoj in objavo popravkov vseh nameščenih orodij, ustrezno vzdrževanje poiščite pri svojem gostitelju spletnega mesta, ali drugje.

Posledice, ki lahko nastanejo zaradi nevzdrževanega ali pozabljenega spletnega mesta, so:

  • izguba podatkov na spletnem mestu,
  • kraja podatkov s spletnega mesta (vključno z morebitnimi uporabniškimi in osebnimi podatki),
  • napadi na tuja spletna mesta,
  • podtaknjene phishing strani, ki omogočajo graje gesel tujih spletnih mest in celo finančne zlorabe komitentov različnih tujih bank.

Zelo pomembno je, da za predstavitev lastnega podjetja ali društva izberete platformo, ki izpolnjuje potrebe za vašo predstavitev, hkrati pa jo tudi obvladujete. Pri ponudnikih storitev ali gostovanja preverite, ali lahko predstavitev na spletu opravite z rešitvijo, ki jo vzdržuje gostitelj in vam ni treba skrbeti za nadgradnje in sistemsko administracijo strežnika. Vabimo vas tudi k ogledu nasvetov za poslovne uporabnike na našem spletnem mestu Varni na internetu.

Povezave