Przestaje się dziwnić, że cyberobrona leży… (aktualizacja!)

Facebooktwittergoogle_plusredditpinterestlinkedintumblrmailFacebooktwittergoogle_plusredditpinterestlinkedintumblrmail

Polska nie ma spójnej polityki obrony przed atakami hackerów – alarmowała już 3 lata temu ABW. Na jej wniosek przygotowano wówczas rządowy program ochrony cyberprzestrzeni RP, ale prace nad nim do dziś nie są zakończone. Co dziwne, rząd nie wie, jakie firmy i instytucje zarządzają jego stronami internetowymi (źródło: Rzeczpospolita). Na szczęście ku ogólnej radości witryny już/nadal działają, a ich administratorzy mieli ostatnio zimną kąpiel, i miejmy nadzieje, że ta lekcja ich czegoś nauczy.

Jak poinformował rzecznik Ministerstwa Administracji i Cyfryzacji Artur Koziołek – zebrał się zespół zadaniowy ds. ochrony portali rządowych. Ma on przygotować wytyczne dotyczące ochrony portali rządowych (w domenie gov.pl) przed atakami hakerskimi i ustalić standardy bezpieczeństwa dla stron rządowych. Czyli w myśl polskiego powiedzenia „lepiej późno niż wcale” , de facto kilka dni  po zablokowaniu niektórych  stron  internetowych administracji rządowej w ramach protestu przeciw umowie ACTA .

(1 luty 2012) Minister Administracji i Cyfryzacji przekazał resortom wytyczne w zakresie ochrony portali informacyjnych administracji publicznej – poinformował wczoraj rzecznik MAC Artur Koziołek. Z wytycznych wynika, że „każdy z resortów musi podjąć stałe kontakty z Rządowym Zespołem Reagowania na Incydenty Komputerowe. Doraźnie należy obligatoryjnie zastosować i wdrożyć m.in.: system eliminacji ruchu anonimizowanego, wprowadzenie odpowiedzialności firmy hostującej za zapewnienie ciągłości działania powierzonego serwisu, użycie mechanizmu automatycznego oraz na żądanie – przełączania wersji witryn (strona dynamiczna, strona statyczna), wdrożenie rozwiązań kontrolujących zawartość strony (od strony serwera) i raportujących możliwości nieuprawnionej modyfikacji treści serwisu„.

Przy okazji pozwolisz, że spytam Cię o cztery rzeczy związane z Joomla!:

  • Czy twój login/nazwa użytkownika to : admin ?
  • Czy ID twojego super użytkownika to: 62 ?
  • Czy twój prefix do bazy danych to jos_  ?
  • Ostatnią aktualizacje plików Joomal robiłeś ponad 3, 6 lub nawet 12 miesięcy temu ?

Jeśli odpowiedź „tak” padła choć raz, albo mam talent wróżbiarski, albo zapomniałeś o podstawowych kwestiach bezpieczeństwa. Warto sprawdzić dostępne komponentu do ochrony Joomla np. OSE Anti-Virus, czy inne.

  • Peter

    A może jakis poradnik jak te punkty zrealizować ?

  • Brok

    Poległem na: „Czy ID twojego super użytkownika to: 62 ?”. Jest jakiś dodatek/plugin czy trzeba ręcznie w bazie zmienić? I na jaki nr id? Dowolny wolny?

  • Brok

    BTW błąd w tytule – brakuje ogonka w pierwszym słowie: Przestaję a nie Przestaje

  • Nie trzeba żadnego dodatku. Wystarczy założyć następne konto dla super admina, a domyślne skasować.

  • szymon189

    U mnie w pierwszych 3 pytaniach odpowiedź brzmi tak. Dlaczego nie używać loginu admina? Dlaczego zmienić prefix bazy danych i czy jest możliwość go zmienienia teraz. Przyłączam się do pytania Brok, jaki id jak nie 62?

  • Brok

    @szymon189 – czemu nie używać loginu admina? Prosty przykład – bo jak czasami miałem próby włamu do panelu administracyjnego (teraz ataki wyciąłem hasłem na katalog admina) po 500 prób… w ciągu nocy. To włam był zawsze na admina, tylko hasło inne: zaqwsx, zaq12wsx, admin, qwerty itp. itd. Mając inną nazwę niż admin – taki atak nie ma szans.

  • szymon189

    @Brok – Co chwilę dostaję email z wiadomością o błędnej próbie zalogowania
    Failed login attempt at ….
    Username = admin
    Password = admin

    Username = administrador
    Password = admin

    Wystarczy wejść w PA i zmienić nazwę użytkownika na inną?

  • Brok

    @szymon189 – tak, wystarczy zmienić nazwę na inną niż admin/administrator i już utrudniasz życie domorosłym „hakerom”. Dodatkowo w ustawieniach hostingu możesz założyć hasło na katalog administrator, wtedy wpisując http://www.twojastrona.pl/administrator pojawi się okienko żeby wpisać login i hasło. Po wpisaniu prawidłowych danych, pojawi się strona z panelem administracyjnym. Nie muszę mówić, że warto mieć 2 różne pary login i hasło.

    Wracając do zmiany prefiksu bazy danych – w google znajdziesz opisy. Ja korzystam z Akeeba Admin Tools Pro i tam jest opcja „Edytor prefiksów bazy danych”, gdzie bez problemu można zmienić nazwę.

  • wojsmol

    @Brok – jeżeli korzystasz z ATPRO to z jego poziomu możesz zmienić ID administratora – opcja ID Super Administratora.
    Uwaga dla Pawła Frankowskiego – Ja się dziwie, że Ty się dziwnisz zamiast dziwić w tytule.

  • voodoos78

    Ja poległem tylko na jednym pytani ID 62. Jak to można zmienić mam kilka pomysłów ale nie wiem czy dobrze myślę.

  • Zenek

    Zmiana hasła do katalogu administrator nie zawsze jest dobrym rozwiązaniem (na działającej stronie) u mnie np. przestały działać niektóre komponenty np. peoplebook . Lepiej moim zdaniem zmienić ścieżkę do katalogu administratora. Nie pamiętam co u siebie zainstalowałem ale pomogło skończyły się nocne ataki (30-50 prób dziennie). Dodam że zmiana loginu z admin na inny nie zatrzyma ataków. O innych metodach zabezpieczenia joomli gdzieś tu na blogu było.

  • Dodam, że jeśli na panel admina logujesz się zawsze ze stałych adresów IP to warto dodać do katalogu .twojastrona.pl/administrator odpowiedni plik .htaccess z linią:
    Deny from all
    Allow from TWOJE_Adresy_IPTo jest bardzo dobry sposób na zablokowanie dostępu. Warto jednak wszystkie reguły zastosować jednocześnie (ale być ich świadomym 😉

  • Jeśli każdy miałby w domu dwa zamki, a jeden z nich taki uniwersalny co każdy klucz otwiera, to jaki byłby sens loginu i hasła ? Chyba nie masz konta w banku internetowym skoro zadajesz takie pytanie.

  • Waldek

    Akeeba Admin Tools nie musi być w wersji PRO aby załatwić te podstawowe elementy bezpieczeństwa.
    Użytkownik admin może sobie być ale bez żadnych uprawnień i odpowiednio silnym hasłem (ze 30 znaków – nie musimy go pamiętać)- na nim skupią się ataki.
    Warto tez usunąć z dumną identyfikację w kodzie
    można w tym celu
    wstawić powyżej nagłówka wstawić poniższy kod:
    setGenerator(‚Tekst dowolny’); ?>

    Oczywiście są to metody na odganianie się od much studiujących praktycznie filmiki youtube jak złamać joomlę.
    Ale też nie ma co ukrywac że ataki właśnie takich „hakerów” to prawie 100% wszystkich. Bo jaki sens ma łamanie strony np „wędkarstwo -moja pasja”