Egy honlapfeltörés rövid története

A nap-kollektor.hu-t feltörték 2010 novemberében. Hála barátomnak, gyorsan értesültem róla és az akkori tárhelyszolgáltató készségesen és gyorsan visszaállította az előző napi mentés alapján a weboldalt. Gyors jelszóváltások és belépési jogosultságváltások után úgy tűnt, hogy minden rendben van. Sőt, kikapcsoltam a regisztrációt és eltávolítottam az összes felhasználót, hátha köztük van a “betörő” is.
Pár hét múltán erőteljes figyelmeztetést kaptam az egyik nemzetközi szoftverbiztonsági cégtől és az általam használt keresőt működtető cégtől is, hogy az oldalam részt vesz az adathalászat nevű törvénytelen tevékenységben. Utánanézve mindkét figyelmeztetés igaznak bizonyult.
Megkerestem a jelzett fájlokat és eltávolítottam azokat, azt gondolván: megszűnt az adathalászat. Kértem a szoftverbiztonsági céget, hogy segítsen kideríteni a feltörőt, ám csak annyit mondtak, hogy küldjem el a naplófájlokat, meg valamiféle time stamp-eket, abból meg tudják állapítani, ki is volt, de ne reménykedjek, mert szinte soha sem tudják elkapni a tettest. Nos, nem is azt vártam, hogy rabláncra verik azonnal, de legalább valamilyen javaslatot tesznek a későbbi betörések ellen.
Ezek után nem marad más, mint nekem kell kitalálni, hogy mit is lehet tenni. Gondoltam az egyik megoldás, hogy újraépítem a honlapot, előtte lementve mindent. El is kezdtem a lemásolását a tartalomnak és az adatbázisnak. Másolás közben újabb és újabb verziójú fájlok jelentek meg a letöltés közben, ebből azt szűrtem le, hogy a tettes éppen bent van az CMS rendszerben és hogy nem az ftp elérést, vagy a felhasználói területet, vagy a felügyeleti felületet törte fel, hiszen azok jelszavai már megváltoztak. Ekkor ő is pánikba esett és elkezdte a nyomait eltüntetni. Be kellet látnom, hogy nem tudok hatásos védekezést ellene, hát egyszerűen letöröltem a honlapom összes tartalmát a CMS-sel egyetemben.
Tovább gondolkodva rá kellet jönnöm, hogy a betörés már jóval a látható tünetek előtt megtörtént, mert a helyreállítás után is megmaradt a hacker belépési lehetősége. ügyesen azt találta ki, hogy a CMS-t átalakítja a saját céljaira és a belépésre feltölt egy index2.php nevű fájlt. Ez nem igazán feltűnő, mert pl. a Joomlában a tartalomkezelő része. Ez volt a “kapu”, amelyen keresztül átvette a hatalmat.
Az akkori tárhelyszolgáltatóm nem érezvén magát érintettnek azóta egy büdös szó, annyit sem mondott, vagy tett, talán csak annyit, hogy ezután semmilyen CMS-t nem tudtam telepíteni. Kérdések és kérések sorozata után is csak némaság jutott nekem.
A betörés így ért véget és vetett fel néhány kérdést, melyekre nincs válasz:
- a nemzetközi biztonsági céget miért nem érdekelte a bejutás módja, technikája, logikája?
- a szolgáltató miért nem segít felderíteni a tényeket?
- miért gyakorlat a “haggyábékén” hozzáállás, merthogy nem ingyenes szolgáltatásokról van szó?
- meg különben is!?

Ez a CMS remélhetőleg egy sokkal biztonságosabb szoftver, talán nem lesz többé ilyen kaland.

Még egy rövid kérdés: a mostanság és régebben is kőrözött e-mail, melyben a feltörésre, jelszavak megszerzésére buzdítják az embereket, miért nem érdekli a rendőrséget, meg egyáltalán senkit? Néhányszor jeleztük, de válasz és eredmény semmi, persze lehet, hogy csak nem látszik.

   Az oldal elküldése PDF-ben