Hakovalo nas


#1

Jel iko otvara linux.org.ba pocetnu stranicu? Ima vec dva dana neko nas hakovao.


#2

Hmm… ubacen je index.html i ima jos nekih sumnivih direktorija. Ne znam da li je propust u Wordpress-u ili je nesto drugo… ja cu privremeno sve move pa nek Adis odluci sta dalje :smiley:


#3

Koliko ja vidim, ovaj slijed zahtjeva sa “hakerove” IP adrese je uspio:

Malo igranja sa par URL-ova, uspješan POST request, nakon čega ide uspješan GET request na wp-admin/post.php

yikes! Mislim da je ovo kraj naše Wordpress avanture :smiley:

Pretpostavljam da je neko ima sačuvan exploit, jer je zadnji patch izašao 24.01.2013, i site je vrtio tu zadnju verziju

A može biti i PHP bug (HTTP 500 greške u logu), mada je PHP up-to-date, a “edit.php?post_type=page 500” vraća dosta linkova na googletu.

197.205.183.203 - - [03/Feb/2013:10:13:56 +0100] "GET /wp-admin/post.php?post=108&action=trash&_wpnonce=c61a1cfcd7 HTTP/1.1" 302 477 "http://linux.org.ba/wp-admin/post.php?post=108&action=edit" "Mozilla/5.0 (Windows NT 5.1; rv:18.0) Gecko/20100101 Firefox/18.0"
197.205.183.203 - - [03/Feb/2013:10:13:57 +0100] "GET /wp-admin/edit.php?post_type=page&trashed=1&ids=108 HTTP/1.1" 200 8922 "http://linux.org.ba/wp-admin/post.php?post=108&action=edit" "Mozilla/5.0 (Windows NT 5.1; rv:18.0) Gecko/20100101 Firefox/18.0"
197.205.183.203 - - [03/Feb/2013:10:13:57 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 452 "http://linux.org.ba/wp-admin/post.php?post=108&action=edit" "Mozilla/5.0 (Windows NT 5.1; rv:18.0) Gecko/20100101 Firefox/18.0"
197.205.183.203 - - [03/Feb/2013:10:13:57 +0100] "GET /wp-admin/css/colors-fresh.min.css?ver=3.5.1 HTTP/1.1" 304 159 "http://linux.org.ba/wp-admin/edit.php?post_type=page&trashed=1&ids=108" "Mozilla/5.0 (Windows NT 5.1; rv:18.0) Gecko/20100101 Firefox/18.0"
197.205.183.203 - - [03/Feb/2013:10:13:59 +0100] "GET /wp-admin/images/sort.gif HTTP/1.1" 200 291 "http://linux.org.ba/wp-admin/load-styles.php?c=0&dir=ltr&load=admin-bar,wp-admin,buttons&ver=3.5.1" "Mozilla/5.0 (Windows NT 5.1; rv:18.0) Gecko/20100101 Firefox/18.0"
197.205.183.203 - - [03/Feb/2013:10:14:05 +0100] "POST /wp-admin/admin-ajax.php HTTP/1.1" 200 452 "http://linux.org.ba/wp-admin/post.php?post=108&action=edit" "Mozilla/5.0 (Windows NT 5.1; rv:18.0) Gecko/20100101 Firefox/18.0"
197.205.183.203 - - [03/Feb/2013:10:14:07 +0100] "GET /wp-admin/post.php?post=108&action=edit HTTP/1.1" 500 1928 "http://linux.org.ba/wp-admin/edit.php?post_type=page" "Mozilla/5.0 (Windows NT 5.1; rv:18.0) Gecko/20100101 Firefox/18.0"
197.205.183.203 - - [03/Feb/2013:10:14:15 +0100] "GET /wp-admin/post.php?post=108&action=edit HTTP/1.1" 500 1928 "http://linux.org.ba/wp-admin/edit.php?post_type=page" "Mozilla/5.0 (Windows NT 5.1; rv:18.0) Gecko/20100101 Firefox/18.0"
197.205.183.203 - - [03/Feb/2013:10:14:19 +0100] "GET /wp-admin/post.php?post=87&action=edit HTTP/1.1" 200 18021 "http://linux.org.ba/wp-admin/edit.php?post_type=page" "Mozilla/5.0 (Windows NT 5.1; rv:18.0) Gecko/20100101 Firefox/18.0"

#4

Hoce li nam neko dobacit taj index.html da se vidi sta je pisalo ? Ko je odgovoran, CIA, Mossad, FSB ?


#5

Fakat, i mene zanima :smiley:


#6

Ma ništa posebno, hrpa fontova, we rulez poruke i link na 2pac video na YouTube. Čak nije bilo ni nekog javascript payloada u html kodu.

Preimenovan je i wp-admin direktorij, tako da se neki junior korisnik wordpressa ne bi mogao prijaviti na admin panel :sunglasses:


#7

Mislim da Udruženje Windows korisnika nikad nije prežalilo www.microsoft.ba pa se svete :wink:
Sve u svemu bruka i sramota :frowning: vrati nam staru stranicu. Fakat ne kontam svrhu korištenja CMSa da bi se objavila jedna vijest mjesečno, više je posla oko održavanja CMSa nego sadržaja.


#8

use google blogger sa custom domenom :smiley:


#9

@vedran: WP ima funkciju da ga updateas na klik iz administracije. Ne znam kakav mu je security track record al mene sluzi zasad.
No ne bih se protivio obicnom HTMLu koji se generise unaprijed ko sto to ovaj lik radi: http://prog21.dadgum.com/ :slight_smile:


#10

Pa fino napisa Adis da je bila zadnja verzija na sajtu! Džaba ti update dugme ako ima nezakrpljenih rupa sa exploitima in the wild. A i taj generator HTMLa možda ima rupa? :slight_smile: Zašto jednostavno kad može komplikovano? Što više softver ima funkcionalnosti više je prilika za grešku. Stranica se može i vim-om održavati, šta fali.


#11

Stranica se moze i sedom odrzavati sto se mene tice… Al pitanje je imal se vremena? :slight_smile: Podjebavam samo; postavite sta pase onom kom odrzava - KISS :wink:


#12

Najbolje je bez stranice, dosta nam forum :smiley:


#13

valjda se da iz prilozenog nauciti da ovakve stvari se desavaju kod koristenja rijesenja koja nisu orijetisana ka sigurnosti, doduse mogliste i sami sebi pomoci sa portsentryem, LIDSom, httpsswd, tcp-wraperom, chroot-om i admin url pristup zabraniti van vaseg ip range ko i itd, itd mogao bi nabrajati do sutra

ako neko nema vollje da vam postavi siguran system ko beton ili vremena ili znanja odradicu ja.


#14

Jel to znaci da mora biti debian server? :smiley:

P.S. debian = beton


#15

[quote=boby][quote=die7]
…ako neko nema vollje da vam postavi siguran system ko beton ili vremena ili znanja odradicu ja.
[/quote]

Jel to znaci da mora biti debian server? :smiley:

P.S. debian = beton[/quote]BSD?


#16

Debian je :smiley:


#17

Ja u zadnje vrijeme koristim Sphinx:
http://sphinx-doc.org/

(čitav njihov site je odrađen u Sphinxu).

Restructured Text wiki sintaksa, i onda on izgeneriše statički HTML.

Imate li nekih drugih prijedloga?


#18

sphinx je odlican (ja ga koristim na par projekata i obozavam) ali mislim da nije bas za web site; za dokumentaciju nema mu ravna.
Mada mislim da ste prebrzo osudili wordpress a i kao sto die7 kaze, moglo se zategnuti oko sigurnosti. Ako nista, bar neki minimum da ima basic auth pod /wp-admin direktorijem.


#19

Nek onaj ko će održavati sajt odabere šta hoće, ali onda preuzima odgovornost i za sigurnost. Ja znam šta bih izabrao :slight_smile:


#20

Sad me svrbi, sta bi ti izabrao? :slight_smile: