Päivitys 4.2.1 ja hakkereita

Admin1

Kansalainen
Jep.

SIvuston kautta tultiin sisään virtuaalipalvelimelle jossa konekansa-sivusto sijaitsee. Nähdäkseni mitään todellista vahinkoa sivustolle ei tehty, mutta tunkeutujat hyödynsivät noin kuukauden vanhaa tietoturva-aukkoa ja onnistuivat saamaan tänne admin-oikeudet sekä asentamaan pari takaporttia palvelimen haltuunottoa varten.

Jäljet on nyt siivottu ja takaportit tukittu ja poistettu. Muun palvelimen tilannetta alamme maanantain aikana selvittää palveluntarjoajan kanssa.

Jälkien siivouksen yhteydessä foorumsofta päivittyi uusimpaan versioon. Kaikki näyttäisi päivityksen jälkeen toimivan kuten pitääkin. Varotoimenpiteenä kehoitan kuitenkin kaikkia käyttäjiämme vaihtamaan salasanansa.

Laitan salasananvaihdosta vielä ihan postiakin, mutta jo tämän viestin voi ottaa kehoituksena välittömään salasanan vaihtoon.

Korostan vielä, että mitään viitteitä siitä että tekijät olisivat olleet nimenomaan salasanoja etsimässä ei ole. Silti heillä oli jonkin aikaa ylläpito-oikeudet sivustolle joten periaatteessa mikä tahansa on mahdollista. Palstan logeista pystyin seuraamaan heidän jälkiään takaporttien asennuksiin, mutta viitteitä salasanapeukaloinneista en tuossa yhteydessä löytänyt. Toiminta vaikutti todellakin siltä että halusivat palvelimelle käyttöoikeudet eivätkä olleet kovinkaan kiinnostuneita palstasta.

Nyt käyn kuitenkin vähän nukkumassa välillä. Miksi nämä aina tulee eteen juuri tällaisina hetkinä...? :shitfan:

Anssi
 
Ei kai nää sivut oo suncometin raudalla....siellä oli ainakin yksi .public.html kansio tyhjätty ihan totaalisesti....ja arvaa kaks kertaa oliko sivuston "omistajalla" tai palvelutarjoajalla minkäänlaista varmuuskopioo.....
 
Ei kai nää sivut oo suncometin raudalla....siellä oli ainakin yksi .public.html kansio tyhjätty ihan totaalisesti....ja arvaa kaks kertaa oliko sivuston "omistajalla" tai palvelutarjoajalla minkäänlaista varmuuskopioo.....
Eioo. Vielä henki pihisee.
 
Backupkäytäntö täällä on kyllä sellainen että vaikka pitäisi vetää ns. "puhtaalta pöydältä" uusiksi, aika nopeasti päästäisiin palautetulla palstalla liikkeelle (olettaen että minä ja koneeni ollaan käytettävissä palautukseen). Sikäli ei kauheammin tarvitse mitään "bittien taivas" -skenaariota pelätä kyllä.

Anssi
 
Kryptisen salasanan ihanuus. Sitä ei näköjään pysty itsekkään muistamaan (käytössä selaimen muistama salasana). Ja salasanaa kun ei voi vaihtaa, ellei anna vanhaa salasanaa...

Mistä täältä palstalta löytyy "Unohtuiko salasanasi?" toiminnallisuus?
 
Mitä selainta käytät.....
Pariin pikaohje....

FIREFOX
TYÖKALUT-ASETUKSET-TURVALLISUUS-TALLENNETUT SALASANAT-NÄYTÄ SALASANAT-KYLLÄ ......ja siellä ne on

CROME
OIKEASTA YLÄKULMASTA se laatikoston näköinen nappi- ASETUKSET-NÄYTÄ LISÄASETUKSET-salasanat ja lomakkeet kohdasta- HALLINNOI TALLENNETTUJA SALASANOJA-klikkaa sivuston kohta tummaksi ja -NÄYTÄ nappia painamalla tuleepi salainen sana esille...

Eli noi ISOLLA kirjoitetut ei ole huutoa vaan kohtia joita klikata...Operasta tuleepi illalla tieto kun olen omalla koneella, Internet Explorerista en muista saako edes talteen salasanoja...
 
Omani vaihdoin jo parituntia ennen tuota Anssin viestiä, ja päivityksen aiheuttaman pikku takkuilun, yms, takia, (mikä lie sitten lopullinen syy, on arvailujen varassa hiukan) jouduin hiukkan päivitystä tekemään sitten vielä.
Mut päivällä kun päivittelin tietoja niin toimii ihan OK taas.

Hyvä jotta moinen asia tuli esiin, ja huomattua, että jotain hämärää ehkä menossa.....
 
FIREFOX
TYÖKALUT-ASETUKSET-TURVALLISUUS-TALLENNETUT SALASANAT-NÄYTÄ SALASANAT-KYLLÄ ......ja siellä ne on

Mulla ei ollut, vaikka käytän automaattikirjautumista. Onkohan muita automaattikirjautumistapoja? Parin kokeilun jälkeen kuitenkin muistin salasanan oikean kirjoitusasun ja sain vaihdettua.
 
Juu, kiitos Jusape! Ylimääräisistä administraattoreista saa jatkossakin huomauttaa. Jos jostakusta muusta kuin Borgista tai minusta tehdään admin, tiedotamme asiasta palstalla kyllä julkisesti. Kaikki joista ei ole tiedoitettu ovat admineja vääristä syistä. Moderaattoreita saattaa olla useampiakin ja niistä emme kaikista tiedottele erikseen, mutta adminit tällä puheella kerrotaan kyllä.
 
Tuolla "Tapahtumavirta" -osiossa on vielä vähän viilattavaa. Otsakkeissa on väärää tekstiä...


Otin ihan "leikkaa ja liimaa" -esimerkin:

Tänään, 19:22
Anssi vastasi viestiketjuun foorumissa forumdisplay.php?20-Konekansan-kehittäminen
Juu, kiitos Jusape! Ylimääräisistä administraattoreista saa jatkossakin huomauttaa. Jos jostakusta muusta kuin Borgista tai minusta tehdään admin, tiedotamme asiasta palstalla kyllä julkisesti. Kaikki joista ei ole tiedoitettu ovat admineja vääristä...
näytä lisää
 
En tiedä, tuntuuko minusta vain, mutta jotenkin vaikuttaisi palstan toiminta ( nopeus ) nyt olevan ehkä aavistuksen nopeampaa, voi olla että tietty kuvittelenkin vain......
Pitää seurailla, tuossa syyskuun aikana toisinaan olisin ollut havaitsevinani lievää takkuamista, sivujen aukeemisessa pientä viivettä, yms....
 
Tuolla "Tapahtumavirta" -osiossa on vielä vähän viilattavaa. Otsakkeissa on väärää tekstiä...


Otin ihan "leikkaa ja liimaa" -esimerkin:

Tänään, 19:22
Anssi vastasi viestiketjuun foorumissa forumdisplay.php?20-Konekansan-kehittäminen
Juu, kiitos Jusape! Ylimääräisistä administraattoreista saa jatkossakin huomauttaa. Jos jostakusta muusta kuin Borgista tai minusta tehdään admin, tiedotamme asiasta palstalla kyllä julkisesti. Kaikki joista ei ole tiedoitettu ovat admineja vääristä...
näytä lisää
Pitää viilata tuota joskus kun ehtii. Tuo tapahtumavirta näyttää olevan altis muuttumaan aina päivitysten yhteydessä. Nyt jokin on taas muuttunut vähän ja se tekee nuo ylimääräiset tuohon otsikon väliin.
 
Varmaan muuallakin on sanottu nämä salasanoihin liittyvät ohjeet, mutta ei kai näistä voi liikaa muistuttaa:

- älä käytä samaa salasanaa useassa eri paikassa
- käytä mielellään eri paikoissa eri käyttäjätunnustakin (ei tosin aina järkevää)
- salasanassa ei ole järkevää olla sellaisia sanoja, joita löytyy sanakirjoista
- käytä salasanassa ISOJA ja pieniä kirjaimia, numeroita ja erikoismerkkejä, esim #!&%/()?
- tee salasanasta riittävän pitkä, ainakin yli 8 merkkiä, jossakin mainitaan vasta 15 merkkiä hyväksi pituudeksi. Alle 8 merkkiä ainakin on riskaabelia.

Ja sitten ERITTÄIN TÄRKEÄ ASIA:

- älä IKINÄ käytä sähköpostisi salasanaa MISSÄÄN muualla kuin vain siinä nimenomaisessa sähköpostissa!

Jos salasanasi napataan jossakin, niin salasanan haltija löytää helposti sähköpostisi ja voi kirjautua siihen sisään. Sieltä löytyy yleensä iso liuta palveluita, joihin olet rekisteröitynyt. Murtautuja voi pyytää noilta sivustoilta salasanan nollausta ja saa uudet salasanat sähköpostiisi. Sen jälkeen pääseekin sitten näppärästi moneen paikkaan. Voi vaikka alkaa myymään olemattomia koneita sinun nimissäsi.
 
Esim. wippies vaatii salasan pituudeksi 5-8 merkkiä, pidempi ei sinne kelpaa vaikka sitä itse haluaisi.....
 
Joo, yllämainitut epänormaaliudet johtunevat palstan version päivittymisestä, eivät hakkeroinnista. Takaportteja löytyi pari kappaletta ja ne on nyt poistettu (itseasiassa netistä löytyi ihan ohjeet itse hakkerihyökkäyksen tekoon, joten menin ne läpi ja poistin kaikki sen aiheuttamat muutokset). Palveluntarjoaja kertoi että muulla palvelimella ei ole ollut epäilyttäviä tiedostoasennuksia eikä ulkoa tullutta dataliikennettä mihinkään sellaisiin paikkoihin joihin sitä ei pitäisi tulla. Vaikuttaa siis siltä että hommaan päästiin kiinni ennenkuin tuhoja oli ehditty tehdä.

Salsananvaihto on kuitenkin erittäin suositeltavaa, a yllä mainittu tapa olla käyttämättä samaa salasanaa muissa nettipalveluissa on niin ikään äärimmäisen varteenotettava neuvo.
 
Eli saattoivat siis koittaa vain "kaapata" palvelinta "hyötykäyttöön" myöhemmin jonnekkin tehtävää suurempaa "massaiskua" varten....
Tuokin viittaisi siihen ettei mitään vahinkoa olisi tehty, ainoastaan ne "takaportit" sujautettu sisään , mahdollista sitä myöhempää "massahyökkäystä" varten johonkin kohteeseen, joista aina silloin tällöin uutisissa kuulee....

Anssilla tais olla tän huomion takia viimeyönä ihan täysi "työpäivä" ....

Ja vielä "ylitöinä" pikapikaa, kun esiin asia (epäilys) tuli.....
 
Nää on näitä ammatin varjopuolia. Mutta on kai näitä vähän joka duunissa. Lumipyry iltayöstä tarkoittaa aika monessa torpassa sitä että nukkumaanmenon sijasta keitetään pannullinen kahvia, käydään odottaessa lyömässä valmetti tulille ja laitetaan lämpöistä päälle. Ja sen jälkeen kulutetaan koko yö siirtelemällä lunta paikasta toiseen.

Tällainen tilanne on tämän homman aurauskeikan vastine. Koskaan ei tiedä milloin käytetty teknologia vaatii välittömiä toimenpiteitä.
 
Nää on näitä ammatin varjopuolia. Mutta on kai näitä vähän joka duunissa. Lumipyry iltayöstä tarkoittaa aika monessa torpassa sitä että nukkumaanmenon sijasta keitetään pannullinen kahvia, käydään odottaessa lyömässä valmetti tulille ja laitetaan lämpöistä päälle. Ja sen jälkeen kulutetaan koko yö siirtelemällä lunta paikasta toiseen.

Tällainen tilanne on tämän homman aurauskeikan vastine. Koskaan ei tiedä milloin käytetty teknologia vaatii välittömiä toimenpiteitä.

Joskus kun olin konehommissa, nii paras illalla alkanu lumisade johti 4vrk yhtäjaksoseen ratin takana istumiseen...
Turvesuolla on kanssa ajettu 20 tuntia päivässä 5 vrk putkeen...:( syö miestä semmonen...
 
Nii, onhan tää varmaan Anssilla ja borgilla tiedossa.....

http://www.digitoday.fi/tietoturva/...aajalle-omien-tunnusten-luomisen/201314161/66

Ei se nyt näin helppoa saisi olla: Foorumisofta sallii hyökkääjälle omien tunnusten luomisen

Kuva: Matias Mäki

11.10.2013 11:02 Suosittu vBulletin-ohjelmisto sisältää haavoittuvuuden, jonka avulla keskustelupalstoja on sotkettu. Korjausta odotellaan vieläkin.
Maailman käytetyimpiin kuuluva foorumiohjelmisto vBulletin päästää ulkopuoliset tekemään etäältä itselleen omat ylläpitotunnukset ohjelmistoa käyttäviin keskustelupalstoihin, varoittaa Viestintäviraston tietoturvayksikkö Cert-fi.

– Asennuksen aikana luotu /install tai /core/install -kansio sisältää upgrade.php -tiedoston, jonka lähdekoodissa on esitetty vBulletin-järjestelmän yksilöllinen id-tunniste. Tämän tunnisteen ja sopivasti muotoillun php-skriptin avulla voi hyökkääjä luoda järjestelmään uuden ylläpitäjän oikeudet omaavan käyttäjätunnuksen, Cert-fi kirjoittaa.
VBulletin ilmoitti jo elokuun lopulla, että se julkaisee tietoturvakorjauksen, jos sellainen "katsotaan tarpeelliseksi".
Ja Cert-fi:n mukaan syyskuun aikana vBulletinin omalla keskustelupalstalla ilmenikin jo useita tapauksia, joissa ohjelmistoa käyttäviin keskustelupalstoihin oli päästy kirjautumaan luvattomasti ylläpitäjän oikeuksilla. Palstoja oli tunnuksien avulla sotkettu.
VBulletinin tekijät ovat julkaisseet ohjelmistoon päivityksiä, mutta siltikin kyseinen ongelma on Cert-fi:n mukaan edelleen korjaamatta.
Käyttäjien on toistaiseksi tyydyttävä vippaskonsteihin, mikä tarkoittaa /install (versio 4.1) tai /core/install (versio 5) -kansion poistamista. Mutta koska kansioiden poisto voi joissain tapauksissa aiheuttaa ongelmia, tilapäiseksi avuksi riittänee myös install.php- ja upgrade.php-tiedostojen poistaminen kansiosta.
 

Luo tili tai kirjaudu sisään kommentoidaksesi

Sinun täytyy olla jäsen voidaksesi jättää kommentin.

Luo käyttäjätili

Liity Konekansalaiseksi. Se on helppoa ja ilmaista!

Kirjaudu sisään

Oletko jo Konekansan jäsen? Kirjaudu sisään tästä.

Takaisin
Ylös