Silihost.Net

2012. január 13-án körlevélben és itt, a Silihost.net oldalunkon közzétettünk egy felhívást, miszerint az egyik webszerverünk rendszeresen nemzetközi RBL-tiltólistára kerül. Időközben elképesztő bonyodalmakat okoztak a biztonsági kockázattal üzemeltetett honlapok, de maga az RBL-tiltólista is. Mint olvasóink megszokhatták, rendszeresen beszámolunk a színfalak mögött zajló – a szakmánkat unalmassá kicsit sem tévő – incidensekről is. Évek óta hangsúlyozzuk, hogy mennyire fontos a honlapok szakszerű karbantartása, különös tekintettel az ingyenes rendszerekre. Beszámoltunk a tárhely-fájlok megfertőzésével kapcsolatos küzdelmünkről is annak érdekében, hogy megértessük: nem csak abból áll az együttműködés, a szolgáltató-ügyfél kapcsolat lényege, hogy kifizet valaki x ezer Ft-ot és kész, a szolgáltató a tőle várt minőséggel szolgáltat, nekem – mint ügyfélnek – pedig semmi dolgom nincs. Ez hatalmas – tájékozatlanságból, sokszor figyelmetlenségből eredő – félreértés! Az együttműködés kölcsönös: az ügyfeleknek is vannak kötelességei, nem csak a szolgáltatóknak! A játékszabályok egyszerűek: ahhoz, hogy megfelelő minőségű szolgáltatást tudjunk biztosítani, olyan honlapokat kell kiszolgáljunk, melyek a jelenlegi ismeretek szerint nem jelentenek jelentős biztonsági kockázatot. Amennyiben viszont például egy Joomláról, egy WordPressről vagy épp egy E107 CMS-rendszerről kiderül, hogy biztonsági hibát tartalmaz a forráskód, ezen esetben a hivatalos fejlesztői ajánlásoknak megfelelően kell elvégezni a frissítéseket. Ezeket a biztonsági kiadásokat nem véletlenül publikálják a fejlesztők, s a kritikusság fokának megfelelően különféle jelölésekkel cimkézik őket, például:

The Joomla Project is pleased to announce the immediate availability of Joomla 2.5.0. This is a security release. Version 2.5.0 is is the next update from version 1.7. (Note that we have skipped from version 1.7.x to 2.5.x.) Forrás: http://www.joomla.org/announcements/release-news/5403-joomla-250-released.html

Mint a fent olvasható, a Joomla.org hivatalos fejlesztői honlap biztonsági javítást adott ki. Ugyanígy jelöli a többi CMS fejlesztői csapat is a rendszeréhez kiadott biztonsági javításokat, még egy példa a WordPresstől:

WordPress 3.3.1 Security and Maintenance Release
WordPress 3.3.1 is now available. This maintenance release fixes 15 issues with WordPress 3.3, as well as a fix for a cross-site scripting vulnerability that affected version 3.3.
Forrás: http://wordpress.org/news/2012/01/wordpress-3-3-1

Az egyik legnagyobb probléma az, hogy az ingyenesség csábításának engedve a felhasználók feltelepítik a rendszereket, viszont ezt követően semmilyen frissítést nem alkalmaznak, még akkor sem, ha az adott rendszer belső kezelőpultja erre figyelmezteti a felhasználókat! Hogy miért írunk erről ismét? Az RBL-tiltólista érdekes – ám annál szűkszavúbb – tájékoztatása miatt, idézzük:

This IP is infected with, or is NATting for a machine that is infected with, a PHP-based backdoor trojan. The most common target of this infestation is Plesk hosting environments using Qmail and WordPress or CPanel hosting environments.

A fentiek szerint tehát php-alapú féreg miatt tiltottak ki, s most jön a lényeg: az RBL-rendszer nem szolgáltat semmilyen adatot arról, hogy melyik domén/tárhely miatt tiltottak! Az érintett szerveren FreeBSD operációs rendszer fut, a rutinból elvégeztünk vírus- illetve rootkit-keresést, negatív eredménnyel. Plesket, Cpanelt nem használunk – nem a mi világunk ezek a tucat adminrendszerek. A fenti RBL-listát használja többek közt a freemail.hu is. Néhány órája a küzdelem következő lépéseként bevezettük a kimenő levelezés ellenőrzését, a mai nap folyamán pedig a Sophos-al fogjuk a tárhelyeket ellenőrizni. Ezen kívül listát fogunk készíteni az összes, nem-frissített ingyenes CMS-rendszerről, s ezeket le fogjuk kapcsolni, amennyiben a hivatalos ajánlás szerint nem történt meg a frissítésük. Néhány hónapja ezzel kapcsolatosan már kiküldtünk egy körlevelet, illetve néhány napja még egyet. Ennél többet mi nem tudunk tenni a figyelmeztetés és a tájékoztatás érdekében, így minden érintett tisztelt ügyfelünket arra kérünk, szíveskedjen mihamarább gondoskodni a rendszerfrissítésekről!

Frissítés: A CBL-esek válaszoltak – az egyik tárhelyre egy furmányos alkalmazást töltöttek fel, ami Qmailnek álcázva magát küldött ki SPAM-eket, majd dolga végeztével a kód gazdája törölte az alkalmazást. Azt a következtetést vontuk le a logok alapján, hogy FTP-jelszót loptak el a felhasználótól, ezért az SFTP-szolgáltatás terén biztonsági szigorításokat fogunk bevezetni, illetve figyelni fogjuk az elavult, nem-frissített CMS-eseket a szervereinken, és a felhasználókat értesíteni fogjuk.

Az utóbbi hetekben az  atma.silihost.hu szerver  nemzetközi  RBL tiltólistára került SPAM-elés miatt. A mail-naplófájlok elemzése során kiderült,  hogy  ingyenes  tartalomkezelő  rendszerek  sebezhetőségeit használták  ki. Tavaly  érkesítést  küldtünk ki, miszerint frissíteni kell  minden ingyenes CMS-t, beleértve a Joomlát, a WordPresst, stb. A szervereinken futtatott CMS-ek biztonsági     elemzése (verziószám-ellenőrzése)  során  újfent kiderült, hogy  jelentős számú  rendszert hónapok,  évek óta nem frissítenek a felhasználók, holott a CMS-fejlesztők  különféle kritikusságú figyelmeztetéseket adnak ki saját honlapjaikon.

Jelen  sorainkat utolsó  figyelmeztetésnek  szánjuk,  így megkérünk mindenkit,  aki   ingyenes  tartalomkezelő rendszert  használ,  hogy haladéktalanul  frissítse  le a legújabb, stabil biztonsági kiadásra a rendszerét,  beleértve  a modulokat is. Ezzel kapcsolatos támogatást a CMS hivatalos  honlapja  nyújt,  de  általában  a  rendszerek  belső adminpultja is figyelmeztet (nem véletlenül) a frissítésekre.

Felhívjuk  minden  érintett szíves figyelmét arra, hogy amennyiben egy nem-frisített, biztonsági kockázattal üzemeltetett CMS segítségével az ismeretlen  támadók  bármilyen üzemzavart okoznak a szervereinken, így például  nemzetközi tiltólistára kerül a szerverünk, vagy a támadásból kifolyólag  belassul,  vagy  leáll a szerver honlap-kiszolgálása, ezen esemény a Btk. 300-as paragrafusa alapján bűncselekménynek minősül!

Amennyiben a közeljövőben olyan ingyenes CMS-t   találunk  a szervereinken, melyek a hivatalos fejlesztői honlap szerint biztonsági kockázattal  járnak, így nem kerültek frissítésre, ezeket a honlapokat lekapcsoljuk és azonnali hatállyal felmondjuk az  előfizetői szerződést, a kártékony honlap-kódokat pedig töröljük a szervereinkről!

A Silihost csak  akkor tudja  vállalni  az  Általános  Szerződési Feltételében meghirdetett   rendelkezésre-állási   mutatókat,  ha  az Ügyfeleink részéről  kézséges  az  együttműködés, így az ingyenes rendszerek körültekintően és  rendszeresen  frissítésre kerülnek. Viszont mivel egyre több a probléma az ilyen  nem-frissített rendszerekkel, az üzembiztonságunk  érdekében  kénytelenek  leszünk lekapcsolni őket!

Indiai (etikus) hackerek Cross-Site Scripting (XSS) biztonsági hibát találtak ehét hétfőn a WordPress 3.3-as változatában, a hibát javították a 3.3.1-es kiadásban. A támadás a /wp-admin könyvtárra terjed ki, így újfent javasoljuk az IP-alapú korlátozást.

Örömmel értesültünk róla, hogy az Internet Szolgáltatók Tanácsa – a .hu névtér Nyilvántartója – módosította a .hu regisztrációs szabályzatot a SPAM elleni harc kapcsán, így a Regisztrátorok felmondhatják azon .hu doméneket, melyeket SPAM-elésre használnak. Természetesen élni fogunk ezzel a lehetőséggel…

1. Az NMHH igényére az Alternatív Vitarendező Fórum kiegészül a Hotline Döntnöki Fórummal (8. pont).
2. Regisztrátori igényre a regisztrátor felmondási joga bővül azzal az esettel, amikor a domain nevet spammelésre használják (4.1. pont).

…ha a domain nevet a Hálózathasználati Irányelvekben foglaltakkal ellentétes módon, különösen annak 4. pontjába ütközve spam küldésére, illetve a domain név alatt spamben hirdetett áru vagy szolgáltatás felkínálására használják.

Imént kaptuk a felszólítást a Magyar Telekom Abuse Csoportjától, miszerint az egyik Joomla weboldal adathalászati tevékenységet végez. Szokás szerint újfent nem-frissített rendszerről van szó, s a Joomla com_content modulját törték meg. A francia SFR mobilszolgáltató weboldalát másolták le, bankkártya-azonosítók megszerzésének céljából. E tevékenység bűncselekménynek minősül, így ismét megkérünk mindenkit, aki BÁRMILYEN ingyenes tartalomkezelő rendszert használ, hogy haladéktalanul végezzen biztonsági frissítést, ezen kívül ellenőrizze a Windows kliens PC biztonsági körülményeit is. Mint korábban írtuk, ezeket a nem-frissített weboldalakat le fogjuk tiltani.

Az elmúlt két napban, de legfőképpen a mai nap folyamán üzemzavarok voltak az egyik webszerverünk honlap-kiszolgálásában. Mint kiderült, két, biztonsági tekintetben is ELAVULT WordPress-alapú weboldalt támadtak meg POST-metódussal Kínából, Tajvanról, Litvániából és jó pár másik országból. A különféle botnet-hálózatok figyelik a sérülékeny ingyenes CMS-ek verziószámát. Sajnos védekezni nem lehet, mivel tiltási szabály nem alkalmazható az állandóan változó IP-címek miatt. Egyetlen lehetőség maradt: a Silihost tiltani fogja mindazon weboldalakat, melyek nem naprakészek, így megkérünk minden, ingyenes CMS-t (nem csak WP-t!) használó ügyfelünket, hogy haladéktalanul szíveskedjen gondoskodni a frissítésről.

• WordPress Facebook Promotions plugin <= 1.3.3 SQL Injection Vulnerability
• WordPress Profiles plugin <= 2.0 RC1 SQL Injection Vulnerability
• WordPress Evarisk plugin <= 5.1.3.6 SQL Injection Vulnerability
• WordPress mySTAT plugin <= 2.6 SQL Injection Vulnerability
• WordPress SH Slideshow plugin <= 3.1.4 SQL Injection Vulnerability
• WordPress iCopyright(R) Article Tools plugin <= 1.1.4 SQL Injection
• WordPress Advertizer plugin <= 1.0 SQL Injection Vulnerability
• WordPress Event Registration plugin <= 5.4.3 SQL Injection
• WordPress Crawl Rate Tracker plugin <= 2.0.2 SQL Injection Vulnerability
• WordPress wp audio gallery playlist plugin <= 0.12 SQL Injection
• WordPress yolink Search plugin <= 1.1.4 SQL Injection
• WordPress PureHTML plugin <= 1.0.0 SQL Injection
• WordPress grapefile plugin <= 1.1 Arbitrary File Upload
• WordPress Image Gallery with Slideshow plugin <= 1.5 Multiple Vulnerabilities
• WordPress Donation plugin <= 1.0 SQL Injection
• WordPress WP Bannerize plugin <= 2.8.6 SQL Injection
• WordPress SearchAutocomplete plugin <= 1.0.8 SQL Injection Vulnerability

Biztonsági hibát fedeztek fel a WordPress WP e-Commerce modul wp-content/plugins/wp-e-commerce/wpsc-theme/wpsc-cart_widget.php cart_messages[] paraméterében. A sikeres támadáshoz a php register_globals funkciójának felkapcsolt (On) állapota szükséges.

Tájékoztatjuk tisztelt Ügyfeleinket, hogy a mai nap folyamán 22-23 óra körül teszteljük és üzembe helyezzük a Magyar Telekom által létesített 2 db. /56-os IPv6-tartományt. A hálózati módosítások elviekben nem járnak üzemszünettel, azonban előfordulhat 1-2 perces kiesés. Sikeres tesztelést követően a szervereinken üzemeltetett tárhelyek doménjeit meghirdetjük IPv6-al is, a szerver-hoszting Ügyfeleink számára pedig kiosztásra kerülnek a natív IPv6-címek. Közel 9000 db. IPv6-os IP-címmel várjuk a széles körű hálózati átállást.

SQL-injekciós biztonsági hibát fedeztek fel a Joomla 1.5 alapú, com_virtuemart webshop CMS 1.1.7 változatában. Hibajavításról nincs információ.