Bezpieczeństwo danych?
Wortal
Witam,
Wczoraj jacyś tureccy hackerzy przejeli kontolę na serwisem eplastics.pl przekierowując użytkowników do swojej strony. Znając życie pewnie zgrali bazę danych i wszystkie e-maile już trafiły do spamerów.
Czy wy kontolujecie wasze bezpieczeństwo i danych z serwisu?
Dokładamy wszelkich starań, aby dane były bezpieczne.
Jak do tej pory stwierdziliśmy na podstawie logów serwera kilka nieudanych prób, w których próbowano wykorzystać opublikowane w internecie dziury.
Mieliśmy też kilka ataków typu DDoS, głównie związanych ze spamem typu referer spam - te akurat nie miały wpływu na bezpieczeństwo danych, ale na obiążenie naszego serwera. Szybko jednak atakujący zrezygnowali, bo ich ataki były automatycznie blokowane.
Nie miałem też żadnych innych informacji od naszej firmy hostingowej home.pl o włamaniach na serwer.
Muszę powiedzieć, że robimy co w naszej mocy aby zachować wysokie bezpieczeństwo. Mam nadzieję, że w Plastech.pl nigdy nie dojdzie do sytuacji, w której nieuprawniona osoba włamie się i uzyska dostęp do naszych danych, ale oczywiście na świecie nikt jeszcze nie zbudował takiego pancerza, żeby ktoś inny nie wymyslił pocisku, który ten pancerz przebie.
p.s.
Jeśli chodzi o eplastics.pl to nie trudno zauważyć, że serwis wykorzystuje platformę PHP-Nuke 6.8, która najwidoczniej nie była aktualizowana i informację o dziurach można znaleźć w internecie. Zresztą zostawione przez rzekomych hackerów przekierowanie prowadzi do strony imhatimi.com, na której mimo mojej nieznajomości tureckiego zauważyłem narzędzia-formularze, które chyba testują znane w PHP-Nuke dziury, a to oznacza, że do takiego serwisu może się włamać KAŻDY INTERNAUTA
teraz eplastics sie chwali ze sa tak znani, ze odwiedzaja ich hackerzy z turcji tyle, ze oni nie byli z turcji i nie ma sie czym chwalic lamerzy!!!
Witam wszystkich, na początku chciałbym uspokoić użytkowników serwisu eplastics.pl - ŻADNE dane nie zostały z naszej bazy wykradzione. Był to atak typu sql-inject, w wyniku którego sprawca dopisał siebie jako jednego z administratorów serwisu - dzięki czemu mógł umieścić w serwisie wiadomość zawierającą kod przekierowujący na imhatimi.com. Jednak nawet posiadając uprawnienia administracyjne nie można skopiować bazy danych - o co dbają dodatkowe zabezpieczenia na serwerze (są one niezależne od serwisu i jego silnika). Nawet najwyższy rangą administrator serwisu nie ma możliwości przeglądania bazy danych!
Z kolei dane personalne użytkowników naszego serwisu cały czas były bezpieczne z tej prostej przyczyny, że... ich po prostu w serwisie nie ma W trosce o ich bezpieczeństwo, umieściliśmy je w osobnej, całkowicie niezależnej od serwisu bazie danych.
Atak na eplastics.pl powiódł się z jednego powodu: w tym czasie zmienialiśmy system zabezpieczający na nowszy. Jak często bywa w takich sytuacjach - zwiódł człowiek. Na skutek błędu przez kilka godzin serwis nie był chroniony... W tym czasie doszło do udanego ataku... Przypadek? Sądząc po ilości prób włamań, jakie obserwujemy - raczej statystyka. Niemal codziennie otrzymujemy alerty z próbami włamań wraz z adresami ip hakerów, które są automatycznie blokowane.
Platforma, na której eplastics.pl kilka lat temu wystartował, wówczas była najnowszą z dostępnych. W międzyczasie dość mocno zmodyfikowaliśmy system - pracujemy nad nim cały czas - także trudno dziś mówić, że jest to stary dobry PHP-Nuke 6.8...
Nie możemy oczywiście gwarantować, że już NIGDY nikt się nie włamie, bo jest to po prostu niemożliwe - jak wcześniej przyznaje Odo z portalu plastech. Pragnę jednak zapewnić, że dokładamy wszelkich starań, aby jakiekolwiek próby ataku nie powiodły się w przyszłości.
Do odo: pisze pan "rzekomych hakerów"... Chyba nie ma czegoś takiego SAMO się nie włamało, a jeśli ktoś w NIEUPRAWNIONY sposób włamuje się do danego serwisu, chyba nie jest świętym Mikołajem? Nie można być "trochę" w ciąży.
Do PanCake: pisze pan: "teraz eplastics sie chwali ze sa tak znani, ze odwiedzaja ich hackerzy z turcji tyle, ze oni nie byli z turcji". Hm... to może wie Pan skąd oni byli? Biorąc pod uwagę, że nie ma pan dostępu do logów naszego serwera, jest to wiedza - doprawdy - nieco zastanawiająca... A może zdradzi nam pan od razu, KTO się włamał?
Zwrot "Platforma ... kilka lat temu ... była najnowszą" nic nie znaczy, bo w internecie kilka lat to jak kilka wieków!!!
Aby włamać się do niaktualizowanego serwisu na bazie nuke'a nie potrzeba żadnych kompetencji, ani specjalistycznych umiejętności, ani fachowych narzędzi - wystarczy przeglądarka internetowa i google. Wystarczy w google wpisać np. "php nuke security" i wyświetla się cała lista dziur i gotowych instrukcji opublikowanych w latach 2002-2003 ("kilka lat temu" ). Dzięki nim każde ciekawskie dziecko sięgające do klawiatury, za pomocą najzwyklejszej przeglądarki może zostać np. administratorem portalu. Nie czyni to jednak z niego hackera.
A jeśli już prawdziwy hacker włamuje się do serwisu to na pewno nie pozostawia swojego rzeczywistego adresu IP, bo aby go ukryć znów wystarczy pogooglać np. "hide ip".
Chyba wyszło jak reklama google
Zhakowali eplastiki, bo chcieli im wykraść bazę danych. A tu pupa. Hakerzy-lamerzy!
Widzę, że dyskusja zaczyna biec w dwóch kierunkach: "kto to jest hacker" oraz "problem nieaktualnego nuka".
Co do tego pierwszego: to, że w Internecie można znaleźć narzędzia i przepisy na włamanie się czy to do serwisu internetowego, czy też złamanie programu użytkowego/gry - wiadomo nie od dziś. Trzeba jednak posiadać pewną wiedzę oraz chcieć. Łatwość, z jaką dzisiejszy trzynasto-czternastolatek (a więc - było nie było - dziecko) przy pomocy gotowca potrafi złamać niemal dowolny program, nie zmienia kwalifikacji tego czynu: jest to kradzież - chyba zgodzi się pan? Może jestem nie z tej epoki, ale dla mnie ktoś kto kradnie to złodziej, a ktoś kto przełamuje zabezpieczenia programu - to hacker. Jeśli nawet ma kilkanaście lat, posiada narzędzia i zrobił to po raz pierwszy w życiu. Zresztą mniejsza o to, gdyż spieranie się o definicje wydaje się tutaj bezprzedmiotowe.
Co do dziur w systemie: w rzeczowej i poważnej dyskusji powinnismy chyba czytać posty, na które odpowiadamy... W mojej wypowiedzi wyraźnie napisałem, że nasz serwis od czasu uruchomienia, był wielekrotnie zmieniany, poprawiany i zabezpieczany. Napisałem też, że udane włamanie odbyło się w tym nieszczęśliwym momencie, kiedy zabezpieczenia zostały wyłączone - na skutek błędu człowieka. Jeśli więc nie rozmawiamy o PHP Nuke 6.8 jako takim, ale o serwisie eplastics.pl - to byłbym wdzięczny za wzięcie pod uwagę moich słów.
1) w sytuacji gdy sie zwracasz na "pan" bezimiennie , wypadalo by napisać z dużej literki...jakby nie bylo choc pozory prosze stwarzać
2) W jednej chwili daje sie zauwazyć w Pańskiej wypowiedzi iz przy prowadzaniu nowych zabezpieczeń nalezało wyłaczyc obecne... skoro tak to dlaczemu pada stwierdzenie z Pana strony w ostatnim post'cie iz niewątpliwie zawinił człowiek??
A wiec jak to było z tą koniecznością?
3) rozumiem że taka sytuacja moze powaznie zagrozic serwisowi i zdaje sobie chyba prawie kazdy z tego sprawe że jezeli by Pan powiedział "Tak nasz system jest stary bo.... i nie modernizujemy go z tego samego powodu " liczba wizyt zmniejszyła by sie drastycznie a dalsze prowadzenie strony stało by sie "praca syzyfową"
Ps: nie znam prawdy ...ale kazdy serwis który by sie przyznał do tak powaznych zaniedbań zakończył by egzystencje w sieci szybciej niż by trwało wyjaśnienie powodów tychze zaniedbań
Stanlej
Wracajac do stwierdzenia ... iż dziecko moglo sie włamać( ale skoro sie włamał ktos to prawdpodobieństwo iż to bylo dziecko z przediału 13-16 lat jest w przybliżeniu tak samo prawdopodobne jak trafienie 6-iu wygrywajacych liczb w Duzym Lotku )...tylko zastanów sie Panie "eplastics" ile 13-16 latków jest w stanie znaleść taką strone ? wpisuja w wyszukiwarce "B2B ldpe" . Bardziej by takiemu 13-15 latkowi zalezalo by sie dostać na płatną strone erotyczną niż włamac sie za portal branzowy o którym nie mają najmniejszego pojecia .Tylko dla satysfakcji??( o ile juz by ten portal znaleźli) .ale poco kedy włamujac sie gdzie indziej maą miec satysfakcje i coś jeszcze
