Tervetuloa, Vieras
Käyttäjätunnus: Salasana: Muista minut

AIHE: Kerhon Web-sivut olivat hakkeroinnin kohteena

Kerhon Web-sivut olivat hakkeroinnin kohteena 18.12.2015 12:06 #2551

  • sutinse
  • sutinse hahmo
  • Offline
  • Verwaltungsleiter
  • Viestejä: 63
Tiedoksenne.

Kovin pienet sivumme herättävät hakkerointihaluja...

Hakkerointi oli tämä: Remote Code Execution Vulnerability
developer.joomla.org/security-centre/630...n-vulnerability.html
Reported Date: 2015-December-13
Fixed Date: 2015-December-14

Eli tuo on havaittu maailmalla 13.12. ja sivustoon oli isketty juuri 13. päivä
146.0.72.83 - - [13/Dec/2015:14:52:46 +0200] "GET / HTTP/1.1" 200 60001 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory

Viestintäviraston tiedote on 15.12.klo 09:52
www.viestintavirasto.fi/kyberturvallisuu...tuvuus-2015-120.html

Ajoin 16.12.2015 klo 13:07 Joomlan korjaavan päivityksen version 3.4.6., mutta tuolloihan oli liian myöhäistä koska takaportit oli jo rakennettu 13. päivä.

Web-hotelli tarjoaja Planeetta.net on hienosti havainnut access.logia tarkkailemalla, että sivustoon on isketty ja sulki palvelun 17.12. klo 13:34

Erinäisten tietokatkojen johdosta sain tiedon eilen klo 17:14. Pääsin valitettavasti tutkimaan vasta klo 19:30.
Tutustuin ongelmaan illan ja yön aikana pyrkimällä tarkasti kartoittamaan mitä oli muutettu vertaamalla varmuuskopioon.
Hakkeroidut tiedostot korvattiin.

Aamulla sain vielä planeetta.net:tä pyytämäni keskusteluketjussa
blog.sucuri.net/2015/12/remote-command-e...ility-in-joomla.html
mainittujen käskyjen tulokset
find . -mtime 7
find . -name "*.php" -print0 | xargs -0 egrep "preg.*_replace.+\/e.+_POST"

Vielä oli pari neljä hakkeroitua tiedostoa eri lisäosissa.

Sivusto avattiin jälleen 18.12. klo 11:02

Jos havaitset toiminnassa normaalia poikkeavaa, informoi välittömästi...

Kilpajuoksu pahat vs hyvät jatkuu taas.

P.S. Näitä hakkerikavereita ette halua autonne tietojärjestelmään, nämä osaavat oikeasti...
Viimeksi muokattu: 18.12.2015 12:07 : sutinse.
Rekisteröitymättömät käyttäjät eivät voi kirjoittaa viestejä.

Kerhon Web-sivut olivat hakkeroinnin kohteena 18.12.2015 12:46 #2553

  • Aimäävai?
  • Aimäävai? hahmo
  • Offline
  • BMW Club Finnland jaosvastaava
  • Viestejä: 137
Kiitokset asiallisesti hoidetusta ongelmanratkaisusta kuin myös yksityiskohtaisesta tilanteen raportoinnista.
Rekisteröitymättömät käyttäjät eivät voi kirjoittaa viestejä.

Kerhon Web-sivut olivat hakkeroinnin kohteena 20.12.2015 01:49 #2564

  • Mikko
  • Mikko hahmo
  • Offline
  • Achtgeber
  • Viestejä: 103
Suuret kiitokset nimimerkille "sutinse" ongelman ripeästä ratkaisusta.

Näitä hakkereita tuntuu riittävän ihan riesaksi saakka tänä päivänä. Suomen BMW-kerhon sivut ovat ymmärtääkseni joutuneet näiden hakkereiden kohteeksi sattumalta, sillä samanlaisella softalla pyörii suuri määrä kaikenlaisia verkkosivustoja.
Freude am Fahren -mies
Rekisteröitymättömät käyttäjät eivät voi kirjoittaa viestejä.
Valvojat: kerhotuotteet, Supa
Sivu luotiin ajassa: 0.203 sekuntia

KERHOTUOTTEET

Scroll to top