Advarsel til dere med Joomla -> Følg med på filrettigheter

Dag Frogner

Supermedlem
Jeg har tidligere hatt Joomla, men bruker ikke dette på min nettside lenger. I går ble plutselig nettsiden min stengt ned av Domeneshop og jeg måtte bruke et brukernavn og passord for å komme inn på den. Tok kontakt med de og fikk da beskjed om at de måtte stenge ned siden fordi det hadde sniki seg inn noen nasty filer som gjorde at brukerene mine kunne bli infisert med virus.

Grunnen til at disse filene fikk tilgang i det hele tatt, var fordi at det var feil rettigheter på en del filer på siden min, noe som gjorde at de fikk tak i passord til database og gikk inn den veien.

Men fikk litt sjokk da jeg fikk forklart grunnen til at dette kunne skje (da jeg vet at rettighetene på filene mine var riktige). I følge Domeneshop er det slik i Joomla at når man gjør visse endringer i en fil,blir filen man jobber med slettet og deretter publisert på nytt istedet for å bare bli oppdatert. Når den da blir publisert på nytt, får den som standard andre filrettigheter enn den burde ha, slik at det blir mulig for andre å få tak i infoen som ligger der. Altså må man manuelt inn og endre rettigheter på filene via ftp f.eks for hver gang man har gjort noen endringer i en av filene for å sikre at andre ikke får tilgang.

Domeneshop hadde visst sagt i fra til Joomla-teamet om dette, men de var visst ikke så interessert i å høre.

Noen andre som har hørt om dette?

Hvis det stemmer så er det jo ganske drøyt...
 

looper

Medlem
Fikk en mail ang dette tror jeg:
enne meldingen er automatisk generert. Vennligst les hele meldingen nøye og ikke svar på meldingen med mindre du/dere har konkrete spørsmål til innholdet.

Ved en rutinegjennomgang av sikkerhetsproblemer på webhotellene på våre webservere har vi funnet ut at du/dere har satt filrettighetene til konfigurasjonsfilen

/home/1/b/nettside/www/configuration.php

slik at filen er lesbar for alle. Denne filen inneholder påloggingsinformasjon og passord for mysql-databasen til ditt webhotell. Konfigfiler som innholder påloggingsinformasjon og passord bør ikke være lesbare for andre, siden dette kan medføre at passord kommer på avveie.

Vi har derfor endret filrettighetene på denne filen for deg nå, slik at innholdet i filen ikke kan leses av andre.

Siden påloggingsinformasjon og passord kan ha blitt lest av andre pga disse usikre filrettighetene bør du endre mysql-passord samt evt passord til programvaren som bruker denne databasen på webhotellet (feks Joomla, Wordpress, PhpBB eller lignende).

Du kan endre mysql-passord ved å logge inn på Domeneshop med ditt brukernavn og passord, velge domenenavn, klikke på "Administrere webhotell" til høyre på siden, velge MySQL, og så velge "Endre passord". Nytt passord trer i kraft innen ca 10-15 minutter. Deretter bør bør du/dere oppdatere konfigurasjonsfilene på webhotellet med det nye passordet.
 

Nutz

Med lem
Noen som har peiling på hvordan "de" kan lese en PHP-fil i klartekst fra server uten at den kjøres?
Er det noe bakdørgerier med FTP?
 
Sist redigert:

picxx

WF 09
Tror domeneshop har fått senil-demens.
Siden til en kunde ble stengt ned med melding om masse "nasty greier" på siden.
Grunnen var at joomla var usikker.

For det første bruker ikke kunden joomla som cms, og for det andre fantes det ikke noe som helst "nasty" de plassene det visstnok skulle være.
Jeg åpnet siden asap igjen ved å slette .htpasswd filen og fikk da en slags "sinnamail" fra domeneshop fordi jeg gjorde dette.

Dette var vel for et par mnd, siden, men ikke noe nasty har hendt enda.. :D

Bare som et apropos...hadde visst ingenting akkurat med trådens tema å gjøre..
 

Nutz

Med lem
Testet nå på serveren jeg camperer på no..
Uansett hvilke rettigheter jeg satte så ble enten filen kjørt eller server kom med en "Access denied" eller en "500-severerror"..
Mulig domeneshop har noe slakkere sikkerhet hos seg. Men hos meg var det ikke mulig å se noe PHP-kode.. når jeg valset igjennom diverse tilfeldige kombnasjoner av 111-777

Skulle de fått listet ut noe der, så er det ikke annet enn passord til MySql, og den er stengt for alle uten om localhost. Så i teorien må det være en annen konto på samme boksen som sniker seg inn via sideveier..

Bortsett fra hvis de klarer å gjette mitt passord da..
 

Dag Frogner

Supermedlem
Tror domeneshop har fått senil-demens.
Siden til en kunde ble stengt ned med melding om masse "nasty greier" på siden.
Grunnen var at joomla var usikker.

For det første bruker ikke kunden joomla som cms, og for det andre fantes det ikke noe som helst "nasty" de plassene det visstnok skulle være.
Jeg åpnet siden asap igjen ved å slette .htpasswd filen og fikk da en slags "sinnamail" fra domeneshop fordi jeg gjorde dette.

Dette var vel for et par mnd, siden, men ikke noe nasty har hendt enda.. :D

Bare som et apropos...hadde visst ingenting akkurat med trådens tema å gjøre..

Jeg hadde to filer på webhotellet som absolutt ikke hørte hjemme der. De het a.php og large.php. Jeg prøvde også å slette htpasswd, men den kom tilbake etter 2min så det funket dårlig for meg.

Men jeg må nå innrømme at jeg setter pris på at Domeneshop har slike rutiner og stenger ned nettsiden. Bedre det enn at det går måneder før man finner det ut og da finner det ut ved at x antall brukere har fått infiserte maskiner.
 
Topp