Ez leginkább a drupal guruknak és szervertulajoknak szólna...
Ez egy most történt eset:
Kb. ugyanazon a napon, (4-5 nappal ezelött) 2 olyan szerveren is ismeretlen eredetű dolgokat találtunk. A két szerveren eddigi tudomásunk szerint semmi közös nem volt. (FTP kiszoláló, apache, php, mail egyszóval mindenböl más típus és verziószám fut) Egyetlen közös dolog volt, mégpedig mindegyiken van drupalos oldal! Mindenhol a legfrisebb verzió. Mégis mindkét szerveren behatolás történt. Mégpedig valószínüleg weblapn keresztül, mivel a www-s user jogosultságával történt. Mindkettőn ugyanazt a struktúrát és ugyanazokat a fájlokat rakták fel, (egy bnc-t) a /tmp mappába.
Próbáljuk kideríteni, hogy hol is jöttek be, de azért írom ide le a sztorit, hogy a fejlesztésben érdekelt guruk és a szervertulajdonosok esetleg szétnézhessenek házuk táján. Tehát a tmp mappában és brazil domainről származó cuccok voltak.
Ha esetleg megtud valaki valami fejleményt, vagy talál hasonlát a szerverén, kérem jelezze.
üdv
H3ini
több infó kellene
Sokminden lehetséges, azonban ahhoz, hogy a Drupal bűnösségét meg lehessen állapítani, konkrétabb bizonyítékok kellenének, amivel viszont a Drupal biztonsággal foglalkozó csoporthoz kellene fordulni, hogy alaposabban kivizsgálhassák a dolgot.
Drupal.org Contact oldalon a biztonsági csoportot kell megcímezni.
Hát perpillanat próbáljuk
Hát perpillanat próbáljuk megfigyelni a drupalos domain neveinket és ezek logjait, hátha újra bepróbálkoznak.
Nálunk is...
Ez nálunk is megtörtént, mentek ki a szerverről a spamek ezerrel. Én azért gyanakszom az XMLRPC modulra, mert a scriptek mellett volt egy lista (brazil fájlnévvel) a szerveren levő (és anonim user számára elérhető) összes "xmlrpc" részletet a fájlnévben tartalmazó fájlról. A "/tmp" könyvtárban, és azon belül a ".," könyvtárban volt a fájlok.
XML-RPC
Nos, a 4.5.5, 4.6.3 és a HEAD (mondjuk az augusztusi headek biztosan nem emlékszem az IXR XML-RPC commit pontos napjára) verziókban lévő XML-RPC könyvtárakban rendkívül kis valószínűséggel van biztonsági rés. Azt nem mondom, hogy nincs, de nagyon-nagyon meglepne.
4.6.2 és egyéb állatfajták sérülékenyek. Brazil népek valóban felnyomják ezeket, de sokan megússzák azzal hogy spam zombiet csinálnak a szerverükből. Van aki kap rootkitet is. Ennyi információból nem zárnám ki egy esetleges Drupal független támadást. Netán r0nin? http://lists.debian.org/debian-security/2004/01/msg00181.html Nem futtat az a www user elmaradott Drupalt, phpBB-t, miegyebet?
Ha az angol nyelv problémás, akkor nekem lehet közvetlenül biztonsági jelentéseket küldeni, emailcím karoly negyesi net, szükséges írásjeleket találjátok ki.
Nem biztos, hogy az XML-RPC r
Nem biztos, hogy az XML-RPC rész lesz a hibás mivel az az első okosság után törölve lett. Viszont vizsgáljuk a problémát több oldalról is, ha kiderül valami akkor bepostoljuk, hátha segít Nektek.
Erre a "gárdára" gondolsz?
Angol nyelvű cikk a zone-h-n
Mi is küzdünk jelenleg a pr
Mi is küzdünk jelenleg a problémával, amely az xmlrpc.php letörlése után is jelentkezik... Használható ötletek jöhetnek!
logok
Te vagy az, akinek nem kell már találgatnia, mert logja van arról, hogy miképpen jöttek be a betörők (fent hivatkoztál rá). Ezt jó lenne ismertetni a Drupal Security csoporttal.
Lehetséges
TheGOro igen, H3ini irásának egyik szervere sajna a mienk.
chx a jelenlegi adatok alapján teljes mértékben kizárnám a drupal független támadást, ugyanis a kérdéses szerveren a drupalon kivül semmilyen más open source nem fut (eltekintve magától a linuxtól :)), hanem csak és kizárólag olyan zárt kódú rendszerek amelyek saját fejlesztésüek és nem összevissza copypastelt összelopott php kóddal, meg szanaszét biztonsági foltozott pear csomagokkal működnek.
szintén a jelenlegi adatok szerint a két szerver teljesen eltérő, és bár H3ini szerveréről sokat nem tudok, de a mienken is ugyanazok a cuccok voltak a behatolás után (mint írta)
A többi site logja nálam teljesen tiszta, viszont a drupalos site logjában találtunk pár igen érdekes bejegyzést. Ezt gyomlálás után lehet el tudom küldeni neked ha érdekel.
Persze igazad van sok minden lehetséges, elöször arra gondoltunk esetleg ftp-n keresztül ugrottak be, mert volt egy defacement is nemrégen (szintén a drupalos site, milyen véletlen (!) és szintén brazil eredetü csoport...) de persze ez sem valószinű, ugyanis azóta az FTP is SSL lett + egyéb biztonsági dolgok azzal kapcsolatban és mégis bejöttek.
üdv
DonC
Nálunk is volt defeace még
Nálunk is volt defeace még 4.5 verzió környékén, szintén brazilok, szintén a drupalon keresztül. Szóval elképzelhető, hogy valami olyan helyen van a biztonsági rés, ami még nem lett javítva eddig.
megint
Sziasztok,
A hétvégére átmozgattam a Drupalt egy ásik könyvtárba így az oldal nem működött egészen tegnap estig. A szerver tiszta volt ez 100% mert ketten is ellenőriztük. Tegnap este visszatettem a cuccot (XML-RPC nélkül), mégse álljon már a haver oldala ennyit. Ma reggelre megjelentek a három nappal ezelőtt tapasztalt backdoor és egyéb jellegű cuccok... a logokat most analizáljuk, de kb. ennyit a bizonyításról :-) Érdekes a téma, informálódunk.
Chx ha a téma érdekel akkor ide dobj egy levelet és felteszem neked a teljes mentett anyagot. ([email protected])
üdv
DonC
már többször megadta
Chx már többször megadta a Drupal Security csoport címét (sőt sajátját is), amin fel lehet vele venni a kapcsolatot. Hidd el, epekedve vár bizonyítékokat, ha a hiba valóban a Drupalban van.
Put up or shut up
Tegnap beléptem neked az ircnetre, megadtam a mail címemet, és nem küldtél semmit.
Ha sikerült az analizálás, akkor az érdekes naplófájlrészleteket küldd el a [email protected] címre. A magyar (lengyel, spanyol, német, holland, francia, angol) nyelvű leveleket egyaránt szívesen fogadjuk. Ha nem tudsz mit mutatni, akkor hagyd abba a Drupal alaptalan vádolását. Köszönöm.
Nem értem miért kell itt mi
Nem értem miért kell itt mindjárt vádolással és egyebekkel jönni... Nyilván a szerverünkön megpróbáltunk mindent eltüntetni és visszaállítani a rendet. Sztem kicsit félreértelmezted a dolgot, ha ilyesmire gondolsz. Én csak azért vetettem fel a dolgot, mivel ezek egymástól teljesen független szervereken történtek teljesen eltérő körülmények között és tényleg úgy tűnik ez a hibaforrás, de, sztem nem mondta senki azt, hogy száz hogy a drupal, a hibás, Ha te tényleg a szíveden viseled a drupal ügyét, akkor nem így kéne ezt lereagálnod, mert részben azért írtam ezt ide le, mert másnál is ugyanígy előfordulhat, tehát figyelemfelhívásként. Egyszóval ez nem hiszem hogy így segítségnyújtásnak nevezhető, ha mindjárt itt vádaskodással kezdesz dobálózni. A másik, hogy nyilván mi is és te is tévedhetsz. Ugyanúgy lehet, hogy tényleg nem a drupal a hibás, mintahogy az, hogy ez egy eddig nem detektált hiba...
Nem értem miért kell felkapni a vizet egyből... sztem ez a fórum nem ezért van. Gondolom én...
lehet is meg nem is, ez a baj
Nos, nem csak a Drupal lehet, mint kiderült a hozzászólásodból. Valamiért mégis erre esett a választás! Ha ez nem vád, akkor legalábbis gyanú. Namost aki törődik a szerverével, az nem eldobja az összes nyomot, amin azonosítani tudja, hogy legközelebb mit ne csináljon rosszul, hanem elteszi, és okul belőle. Az, hogy ismertetsz velünk egy jelenséget, aminek az okozásával a Drupalt gyanúsítod, de már esélyed sincs bizonyítékot szerezni, lássuk be nem túl szimpatikus álláspont, én megértem, ha a gyanúsított rendszer biztonsági csoportjának jeles tagja erre felkapja a vizet, mégha olyan visszafogott formában is, mint Károly.
Hamár nem olvastad el, akkor
Hamár nem olvastad el, akkor most tedd meg:
"A hétvégére átmozgattam a Drupalt egy ásik könyvtárba így az oldal nem működött egészen tegnap estig. A szerver tiszta volt ez 100% mert ketten is ellenőriztük. Tegnap este visszatettem a cuccot (XML-RPC nélkül), mégse álljon már a haver oldala ennyit. Ma reggelre megjelentek a három nappal ezelőtt tapasztalt backdoor és egyéb jellegű cuccok..."
És kis idézet tőled:
"Namost aki törődik a szerverével, az nem eldobja az összes nyomot, amin azonosítani tudja"
Költői vadökörségedet ne rittyentsél már ide, inkább olvass...
A log végül el lett küldve, és most ezért megy a sírás... még így is 30Mb al meg lett kurtítva ^^
Csókolom!
csókolom
Én is szeretem a kedélyes diskurzust, és gondolhatod, olvasok is, nem csak írok. Az, hogy elmozgattad, és a visszamozgatás után lett megint gond, még nem jelent semmit, hiszen minden mást közben a helyén hagytál (vagy legalábbis a szerver többi részéről nem szól a fáma). Az, hogy éppen a visszamozgatás után lett újra gond, könnyen lehet véletlen egybeesés, ettől még bármi más, közben is a helyén lévő dolog lehetett ludas.
Vagy az én figyelmem kerülte el (és akkor bocsánat), vagy te nem jelezted még itt, hogy a log elküldésével aktív résztvevője lettél a hibakeresésnek. A téma résztvevői és megfigyelői között a többség (beleértve engem is) nem tagja a Drupal security listának, ahova gondolom "el lett küldve" a log, így hogyan értesülhettünk volna róla másképp, mint hogy megosztod velünk a tényt?
megvan mi nem stimmel a sztorival
Lehetséges-e ismeretlen biztonsági rés a drupalban? a válasz igen, de olyan ami ellen működő automata exploit van több napja, hete, az ki van zárva. Tudjátok hány levelet kapnánk akkor mi?
Ezenkívül természetesen feltehetjük azt is, hogy valamilyen brazil hacker kifejezetten rátok vadászik, és a Drupalban talált rést nem használja arra hogy spambotokat csináljon szerverek ezreiből.
Szóval, emiatt éreztem én furcsán magam ezzel az egésszel kezdettől fogva. Valaki mesét költ... csak a Drupalt hagyjátok ki belőle, jó?
aham, biztosan :) két szerve
aham, biztosan :) két szerveren egyszerre :-) na, jó drupalozást a továbbiakban is... végülis nekem nem fontos a megoldás mert nem akarok drupalt futtatni se most se a jövőben.
DonC
Bizonyíték?
Értem és megértem a feltételezésedet.
Vajon biztosan tudod, hogy a támadás milyen rést kihasználva valósult meg, avagy ez csak egy ?vád?, bizonyíték nélkül?
A bizonyíték nélküli vád pedig rosszhiszemű rágalmazás... :(
Barátsággal,
Andrássy Tamás
Ergo te is feltételezed a m
Ergo te is feltételezed a másik verziót nem igaz? Utolsó mondatod vedd fel magadra is mint az inget szokás szvsz.
Nézzük át a forrást és t
Nézzük át a forrást és találjuk ki, bodrijuhász!
Emberek! Azért nem hiszem el
Emberek! Azért nem hiszem el, hogy itt tartunk már. Vád, rágalmazás... etc. Ez tudtommal egy fórum, nem egy bírósági tárgyalás, ami azért van, hogy a problémákat megkeressük, megoldjuk, segítsük egymást. Én csupán ilyen felindulásból vetettem fel ezt a dolgot. Sztem kár ezért itt így viselkedni. Nekem személyszerint nyilván nincs bajom a drupallal, használom is több laphoz, máskülönben nem keresnék megoldást a hibára.
De valahogy az a véleményem, hogy a magyar drupal 'közösség' kicsit sántít... Ahelyett, hogy egymást segítené, inkább a baszogatás megy elsősorban. Legalábbis nekem már sokadik alkalommal ez jött le.
"megkeressük"
Hát éppenhogy az tud keresni, akinek van adata valamiről, amiben keresni tud. Akihez nem törtek be, annak nincs tényanyaga, amin el tud indulni, egy olyan programban, mint a Drupal meg akárhányfelé el lehet indulni, ha nincs támpont. A biztonsági csoport éppen arra alakult, hogy sokfelé elinduljon, és tisztázza a Drupal magot, valamint a beérkező jelentéseket is kezelje.
Mint minden hibabejelentéssel, egy ilyen kijelentéssel is akkor tudnak valamit kezdeni a fejlesztők (vagy a többi használó), ha konkrét reprodukálható folyamatot mellékelsz (a php.net-en például rögtön dobják a hibajelentésedet, ha nem adsz be reprodukálható leírást vagy szkript részletet). Egy biztonsági hibánál ez külön kritikus, mert enélkül csak rossz fényt vet a termékre, ennek nyilvánosságra hozása széles körű javítás nélkül viszont káros a meglévő felhasználói bázisra. Ezért megértem a feszültséget a jelenlegi felhasználókban, akik sokat fektettek már a Drupalba, megértem, hogy mérgesek, ha valaki jól látható alapok nélkül vádaskodik, de ugyanakkor megértem, ha biztonsági megfontolásokból nem tárják nyilvánosságra a jól látható alapokat azok, akik már tudják, hogy hibát lehessen javítani. Ez azonban csak bizonytalanságot szül, ami nem jó...
Ezért remélem, hogy a biztonsági csoportnak beküldött logjaitok alapján születik egy ítélet a Drupal ellen vagy mellett, és azonosított hiba esetén javított verzió is elérhető lesz.
Meglett a hiba? Ki lett javí
Meglett a hiba? Ki lett javítva ha meglett?
Hol lehetnek a sérülékeny pontok?
Én olyan helyekre gyanakszom ahol fopen() fwrite() van használva.
Ellenőrizve vannak a bejövő adatok? Szűrve vannak a fájlnevek kellően?
Nézegetem a kódot.