Kerhon Web-sivut olivat hakkeroinnin kohteena

[Seppo SutinenOsallistuja]

Tiedoksenne.

Kovin pienet sivumme herättävät hakkerointihaluja…

Hakkerointi oli tämä: Remote Code Execution Vulnerability
https://developer.joomla.org/security-centre/630-20151214-core-remote-code-execution-vulnerability.html
Reported Date: 2015-December-13
Fixed Date: 2015-December-14

Eli tuo on havaittu maailmalla 13.12. ja sivustoon oli isketty juuri 13. päivä
146.0.72.83 – – [13/Dec/2015:14:52:46 +0200] ”GET / HTTP/1.1” 200 60001 ”-” ”}__test|O:21:”JDatabaseDriverMysqli”:{s:2:”fc”;O:17:”JSimplepieFactory

Viestintäviraston tiedote on 15.12.klo 09:52
https://www.viestintavirasto.fi/kyberturvallisuus/haavoittuvuudet/2015/haavoittuvuus-2015-120.html

Ajoin 16.12.2015 klo 13:07 Joomlan korjaavan päivityksen version 3.4.6., mutta tuolloihan oli liian myöhäistä koska takaportit oli jo rakennettu 13. päivä.

Web-hotelli tarjoaja Planeetta.net on hienosti havainnut access.logia tarkkailemalla, että sivustoon on isketty ja sulki palvelun 17.12. klo 13:34

Erinäisten tietokatkojen johdosta sain tiedon eilen klo 17:14. Pääsin valitettavasti tutkimaan vasta klo 19:30.
Tutustuin ongelmaan illan ja yön aikana pyrkimällä tarkasti kartoittamaan mitä oli muutettu vertaamalla varmuuskopioon.
Hakkeroidut tiedostot korvattiin.

Aamulla sain vielä planeetta.net:tä pyytämäni keskusteluketjussa
https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html
mainittujen käskyjen tulokset
find . -mtime 7
find . -name ”*.php” -print0 | xargs -0 egrep ”preg.*_replace.+/e.+_POST”

Vielä oli pari neljä hakkeroitua tiedostoa eri lisäosissa.

Sivusto avattiin jälleen 18.12. klo 11:02

Jos havaitset toiminnassa normaalia poikkeavaa, informoi välittömästi…

Kilpajuoksu pahat vs hyvät jatkuu taas.

P.S. Näitä hakkerikavereita ette halua autonne tietojärjestelmään, nämä osaavat oikeasti…

[Julkaisija]

Artikkelit