Hacket side Joomla versjon 1.5.7

Sikkerhet i Joomla! 1.5 og tilhørende elementer som server etc.

Moderators: Per Yngve Berg, sone12

Locked
Kleinum
Joomla! Apprentice
Joomla! Apprentice
Posts: 49
Joined: Wed Apr 26, 2006 7:52 am

Hacket side Joomla versjon 1.5.7

Post by Kleinum » Fri Oct 31, 2008 7:20 pm

Hei.

Har tidligere fått hacket eldre versjoner av Joomla (nei, jeg la ikke inn patcher fortløpende på disse sidene), men ikke sett dette på 1.5.7 enda. Denne gang var hacket vesentlig mere omfattende enn forrige gang, da det var slik de andre her på forumet opplevde. Over 700 filer er endret faktisk. Har rapportert dette til development, da jeg er veldig usikker på om dette er en svakhet i Joomla eller hos min host-tilbyder. Har andre sett eller hørt noe om dette ?

Under kommer det jeg skrev til development (har endret litt på hackernavn ved å sett inn spacer slik at han ikke skal få gratis reklame):

Hi. I have one of my sites hacked today, by someone called Xxxx_Xxxxxx. What they actually have done, is replacing ALL index.php, index(x).php and index.html pages in my site with their own version of the hacked one. Running Joomla version 1.5.7. Text on site concerns me, and I wonder if this is a Joomla issue, og webhost issue. "Your security is down !... uid=0(root) gid=0(root) groups=8(root) blah. blah. These listing of root I can find in the database in "jos_core_acl_aro_groups". Please contact me if further questions, and please advice me if this is not a Joomla issue, but a host issue.
Last edited by Kleinum on Fri Oct 31, 2008 8:18 pm, edited 1 time in total.

User avatar
rued
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4785
Joined: Fri Sep 16, 2005 10:23 pm
Location: Finland / Norway
Contact:

Re: Hacket side Joomla versjon 1.5.7

Post by rued » Fri Oct 31, 2008 7:39 pm

Hvilke trinn har du gjort for å sikre din side?

Kjører du med fil- og mapperettigheter som f.eks chmod 777?

Hvilken utvidelser bruker du, og har du sjekket om noen av disse har kjente sikkerhetshull?

PS! Aldri skriv detaljer om hvem som har hacket, eller mer inngående om hvordan de har kommet seg inn åpent.

Ved å skrive navn eller poste lenker får hacker den omtale de ønsker seg, og ved å poste for mye detaljer åpent kan andre også utnytte seg av de samme. Detaljer sende direkte til utvikler på e-post, PM eller annet ikke offentlig.

Serverlogg bør du forøvrig gå igjennom, eller få din leverandør til å gjøre. Der finnes det gjerne informasjon om hvordan de kom seg inn.

Det trenger heller ikke være din side som var "inngangsbilletten" om du er på en delt server hos en "usikker" leverandør, hvor du kanskje i tillegg har litt slette rutiner på filrettigheter. De kan komme seg inn via andre sider, også en grunn til at Joomla! bør kjøre på egen bruker (ved hjelp av f.eks suPHP).
Rune Rasmussen - http://www.syntaxerror.no
Norske nettløsninger og integrasjoner, CONSIGNOR EDI, Mamut ordreimport og produkteksport, kortbetaling og faktura m.m.

Norsk Joomla! - Norwegian Translation Team - http://www.norskjoomla.no

Kleinum
Joomla! Apprentice
Joomla! Apprentice
Posts: 49
Joined: Wed Apr 26, 2006 7:52 am

Re: Hacket side Joomla versjon 1.5.7

Post by Kleinum » Fri Oct 31, 2008 8:15 pm

Har vel ingen mapper med CHMOD777. Default er vel 755, så det skal ikke være skriverettigheter for andre enn bruker på .php
Nå skal det sies at jeg ikke er noen skarping på Linux da, og jeg har antakelig også vært litt for slapp med å sette meg inn i hva man bør gjøre fra en "default" install av Joomla for å sikre seg. Finnes det en kortfattet enkel beskrivelse på dette et sted kanskje ?

Vet det med infoen om metode og navn, og det var derfor jeg "skjulte" dette med space i mellom hver bokstav. Da kommer det hvertfall ikke opp på direkte søk i f.eks. Google.
Når det gjelder hvorden dette er utført, er jeg litt i villrede så langt. Er meget skeptisk til dette med den infoen han tydeligvis har ifra databasen, og som også ligger i mine andre baser på andre hoteller. Dette er vel default Joomla, og har vel slik jeg ser det ikke noe med host å gjøre.

Husker ikke helt om jeg har benyttet spesielle utvidelser, men dette er selvsagt noe jeg skal gå gjennom litt mere i detalj i morgen. (Tror kanskje acajoom, docman, jce editor og facileforms)

Skal også ringe host-firma i morgen og høre med dem. Vet at de hadde angrep i dag, og vet også at de i dag har hatt en større migrering over på nye servere. Denne siden ligger derimot på en av de serverene som visstnok skal være sikret. Dette skal de få sjekke ut, og jeg skal prøve å få en detaljert logg på om sikkerheten har sviktet på Joomla eller på serveren. Tipper de vil prøve seg på Joomla uansett :-)

Kleinum
Joomla! Apprentice
Joomla! Apprentice
Posts: 49
Joined: Wed Apr 26, 2006 7:52 am

Re: Hacket side Joomla versjon 1.5.7

Post by Kleinum » Sun Nov 02, 2008 8:37 pm

Det var serveren som var hacket, så det var da altså ingen Joomla svakhet :-)

User avatar
rued
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4785
Joined: Fri Sep 16, 2005 10:23 pm
Location: Finland / Norway
Contact:

Re: Hacket side Joomla versjon 1.5.7

Post by rued » Sun Nov 02, 2008 8:47 pm

Flott at det ikke var Joomla! :D

Takk for at du kom med tilbakemelding om dette.
Rune Rasmussen - http://www.syntaxerror.no
Norske nettløsninger og integrasjoner, CONSIGNOR EDI, Mamut ordreimport og produkteksport, kortbetaling og faktura m.m.

Norsk Joomla! - Norwegian Translation Team - http://www.norskjoomla.no


Locked

Return to “Sikkerhet”