Napadali su sve sajtove koje imaju veze sa nama: iz Srbije, Crne Gore, Republika Srpska itd...
Ono sto sam uocio:
- da se ne radi iskljucivo o Joomla CMS-u (Joomla jeste imala ovaj 1.56 bug, ali nije samo to u pitanju...)
- da su sajtovi hostovani i u Srbiji i u USA i po svetu sto znaci da ciljaju sajtove naseg govornog podrucja, tj. znaju jezik/podrucje sajtova koje napadaju (nisam primetio da se neko od komsija zali)
- uglavnom menjane samo index strane tj. nisu isli / nisu mogli da prodju dalje od root direktorijuma
- koristili registovane naloge CMS-ova (da bi exploitom upali do
configuration.php) - kod velikog broja upada postojao aktivan korisnicki nalog
Posto nisam/smo u stanju da testiramo ceo Joomla ili neki drugi CMS kod, koji je nemoguce ispratiti, nije lose razmotriti:
- Restriktivne dozvole direktorijuma i kljucnih (konfiguracionih) fajlova (644, 400...).
ZLATNO PRAVILO ADMINISTRACIJE - skini SVE dozvole koje nisu potrebne za normalan rad.
- Vizuelna verifikacija registrovanih korisnika (i neka ranija "hakovanja" su podrazumevala ovaj vid pred-napadne radnje).
- Redovan update CMS-ova.
- Hosting kod "ozbiljnih" provajdera, da bi ste iskljucili provajdera kao potencijalnu promenljivu u eventualnoj glavobolji.
- Redovan, (dnevni?) back-up, pa i ako vas zakace nije strasno.
- Sto manji broj neproverenih (beta) third-party plugin-ova, dodatnih baza... O lozinakama i admin nalozima sve znate...
- Pristup MySQL bazi iskljucivo preko socket-a, nikakav TCP/IP. (ako je moguce, a u vecini slucajeva jeste)
- Sto manji ili jos bolji broj gresaka/warninga... u kodu koji otkrivaju putanje.
- Sakrijte logove koji outputuju serveri provajdera.
- Otvaranje sto manjeg broja portova, maskiranje...
Sajtovi su konstantno na Net-u, uvek imajte na umu da ih bilo ko i kada moze cackati...
Pozdrav kakeri :)