Nikdo není dokonalý

: Autor: Svatopluk Vít; Zveřejněno: 19. srpen 2007; Zobrazení: 1162

V poslední době se stalo skoro pravidlem, že podstatné události se dějí v sobotu. Mnozí z nás jsme se s tém již určitě setkali. Jen tak zkusmo si v prohlížeči spustíte stránky a zjistíte, že fungují nějak divně, případně je na nich úplně jiný obsah, než jste tam sami umístili. Řečeno počítačově - hack. A ten se nevyhýbá nikomu. A právě že včera se nevyhnul ani doméně joomla.org, tedy domovské stránce našeho "miláčka" (Aktualizovno 19.8. ve 13:55).

Jisté je zatím jen toto :

jako první byl napaden shop.joomla.org.
objevila se tam hláška, že nelze nalézt šablonu a jména crackerů.
postupně se útok přesunul i na další subdomény.
v průběhu času jsou jednotlivé servery postupně zprovozňovány, některé vypnuty atd.
situace je zatím drobně nepřehledná, neboť bližší informace o útoku nejsou známy, nevíme zda trvají, nebo se odstraňují jen následky.

Pro řadové uživatele to znamená to, že by měli vyčkat, co vývojový tým oznámí. Osobně se přikláním k tomu, že na zmiňovaných webech nebyla úplně poslední verze Joomly. Vzhledem k tomu, že je možné dohledat, kde jsou problémy, patrně se někdo pokusil využít nějakou slabinu a zjistil, že joomla.org funguje na verzi, která nějaký problém obsahuje. Případně to klidně mohl být útok přes komponentu třetí strany.

To v tuto chvíli (neděle 19.8, ve 12:30) nikdo (zatím) neví. Tento článek budeme postupně doplňovat dle toho, jak se bude situace vyvíjet.

Pokud chcete sledovat vývoj sami, zkuste toto vlákno na forum.joomla.org.

19.8. 12:35 - Po podrobném prozkoumání vlákna přidávám další informace :

patrně nejde o útok provedený skrz Joomla jádro.
jde o soubory použité i v Mambu, stejný útok tedy může být proveden i na Mambo uživatele
útok byl proveden více hackery postupně, tj. po prvním útoku se přidal další
patrně se jedná o turecké "záškodníky"

19.8. 13:55 - Objevil se celkem podrobný popis toho, co problém způsobilo. Originální znění najdete zde. Připavil jsem souhrn základních myšlenek :

dva hlavní programátoři jsou na cestách, proto byl jejich přístup k serverům trochu ztížen.
zjistili, že všechny sity na jednom serveru byly napadeny
protože se provozuje několik serverů, zjistili, že je napaden skutečně jen jeden server.
tento jediný server měl nastaveno "Register Globals Emulation" na ON. Skrz toto nastavení a chybu bylo možno do systému "propašovat" své vlastní soubory.
tato chyba se vyskytovala v modulu shopu na shop.joomla.org (je to modul vyvinutý jen a pouze pro tyto stránky a je neveřejný)
skrz tento modul proběhl útok.
chyba je tedy jen a pouze na straně core teamu a jeho chybě při kontrole zabezpečení všech serverů

Diskuze je zde.