FORBIDDEN

[heikkir]

Tässä viimeviikkoina on vähän turhan useasti tullut ruudulle tuommoinen "forbidden" vastaus kun on yrittänyt hakeutua näille laikasivuille, että olisikohan ylläpidolla jotain tietoa, mistä moinen mahtaisi johtua ja olisiko siihen mahdollisesti ryhdytty harkitsemaan jotakin parannuskeinoa ?

[Noora]

Tässä tietoa,

30.11.2012

Julkaisujärjestelmät hyökkäyksien kohteina

 Viime aikoina ovat suositut www-palvelujen julkaisujärjestelmät usein olleet tietomurtojen kohteina. Järjestelmien haavoittuvuudet olivat myös alkuviikosta ilmi tulleen suomalaisen webhotelli.fi-palvelun tietomurron taustalla.

Laajassa käytössä olevissa www-julkaisujärjestelmistä löydetään jatkuvasti haavoittuvuuksia, jotka paikkaamattomina voivat mahdollistaa hyökkääjän murtautumisen järjestelmään. Viime aikoina on erityisesti Joomla- ja Wordpress-pohjaisiin järjestelmiin suuntautunut hyökkäyksiä. Hyökkäysten takana on esiintynyt muunmuassa Hmei7-nimeä itsestään käyttävä hakkeri. Näyttäisi siltä, että osittain automatisoidulla työkalulla on murtauduttu lukuisille www-sivustoille ympäri maailmaa. Hosting-palveluntarjoajien ympäristöissä esiintyneet haavoittuvat hallintatyökalut ovat myös altistaneet muut samalla www-palvelimella sijaitsevat sivustot tihutöille. Murron kohteiksi joutui tällä viikolla suomalaisen webhotelli.fi-palvelun sivustoja.


Hyökkäysten toteutustavasta


Hyökkääjä pyrkii murtautumaan kohteena olevalle www-sivustolle joko julkaisujärjestelmän haavoittuvuutta tai heikkoa ylläpitosalasanaa hyväksi käyttäen. Mikäli tämä onnistuu, hyökkääjä yrittää seuraavaksi lukea samalla palvelimella sijaitsevien muiden www-sivustojen konfiguraatiotiedot. Jos Apachen FollowSymlinks-optio on päällä tai sen kytkemistä päälle .htaccess-tiedostoissa ei ole estetty, voidaan konfiguraatiotiedoston sisältö lukea luomalla siihen symbolinen linkki. Usein konfiguraatiotiedostojen lukuoikeudet ovat Apache-prosessille tai jopa kaikille käyttäjille. Tällöin hyökkääjä saa käsiinsä toisen www-sivuston tietokantaan oikeuttavat ylläpitotunnukset ja voi vapaasti muokata sivustoa.


Miten torjua hyökkäykset?


Hyökkäysten torjumiseksi tulisi huolehtia kaikkien www-julkaisujärjestelmän ohjelmistokomponenttien ajantasaisuudesta. Hosting-palvelimella tulisi rajoittaa käyttäjien oikeuksia niin, etteivät muiden käyttäjien tiedot ole helposti luettavissa. Erityisesti www-sivuston konfiguraatiotiedostot (esim. Wordpress-järjestelmässä wp-config.php) tulisi erikseen suojata niin, etteivät ne ole kaikkien käyttäjien luettavissa (world-readable). Symbolisten linkkien hyväksikäyttömahdollisuuksia tulee rajoittaa. CERT-FI muistuttaa myös, että onnistunut tietomurrosta toipuminen edellyttää usein tiedon palauttamista varmistuksilta.

[heikkir]

Kiitoksia informaatiosta. Kylläkään millään muulla nettisivustolla en ole vastaaviin ongelmiin törmännyt.

Että oisiko tänne laikanettiin jotakin erityistä hyökkäystä kohdennettu, vai olisikko suojaustasoissa jotakin kehittämisen tarvetta ?

[Tommi Kesti]

 

[Eero]

Tämän samaisen "hotellin" vaikeuksista kertoo aika hyvin Suomisen ylläpitämät Asesivut etusivullaan. Tällä toisella harrastusalueellani ei esim. mainitut sivut toimi kaikin osin ellei muuta "ääkkösiä" aakkosiksi. En tunne alaa sen tarkemmin, mutta kerran tutussa kaveriporukassa oli eräs, joka rakensi näitä samoja juttuja suuryrityksille. Hän vain sanoi, että et ihmettelisi yhtään näitä ongelmia, jos tietäisit minkälaisia "suhareita" alalla liikkuu. Itse ei osata mitään, kaikki ostetaan alihankkijan alihankkijan alihankkijalta, joka on lopulta jonkun kaverin murrosikäinen poika. Ja ainut joka tajuaa koko hommasta mitään. En väitä että näissä jatkuvissa forbiddeneissä aina kisojen alla, olisi kyse suoraan tästä. Mutta se on selvää, että suojaukset ovat aivan riittämättömät. Ja aina tämän hotellin hommissa aikaa palaa vuosi ennenkuin mitään tapahtuu