Polska nie ma spójnej polityki obrony przed atakami hackerów – alarmowała już 3 lata temu ABW. Na jej wniosek przygotowano wówczas rządowy program ochrony cyberprzestrzeni RP, ale prace nad nim do dziś nie są zakończone. Co dziwne, rząd nie wie, jakie firmy i instytucje zarządzają jego stronami internetowymi (źródło: Rzeczpospolita). Na szczęście ku ogólnej radości witryny już/nadal działają, a ich administratorzy mieli ostatnio zimną kąpiel, i miejmy nadzieje, że ta lekcja ich czegoś nauczy.
Jak poinformował rzecznik Ministerstwa Administracji i Cyfryzacji Artur Koziołek – zebrał się zespół zadaniowy ds. ochrony portali rządowych. Ma on przygotować wytyczne dotyczące ochrony portali rządowych (w domenie gov.pl) przed atakami hakerskimi i ustalić standardy bezpieczeństwa dla stron rządowych. Czyli w myśl polskiego powiedzenia „lepiej późno niż wcale” , de facto kilka dni po zablokowaniu niektórych stron internetowych administracji rządowej w ramach protestu przeciw umowie ACTA .
(1 luty 2012) Minister Administracji i Cyfryzacji przekazał resortom wytyczne w zakresie ochrony portali informacyjnych administracji publicznej – poinformował wczoraj rzecznik MAC Artur Koziołek. Z wytycznych wynika, że „każdy z resortów musi podjąć stałe kontakty z Rządowym Zespołem Reagowania na Incydenty Komputerowe. Doraźnie należy obligatoryjnie zastosować i wdrożyć m.in.: system eliminacji ruchu anonimizowanego, wprowadzenie odpowiedzialności firmy hostującej za zapewnienie ciągłości działania powierzonego serwisu, użycie mechanizmu automatycznego oraz na żądanie – przełączania wersji witryn (strona dynamiczna, strona statyczna), wdrożenie rozwiązań kontrolujących zawartość strony (od strony serwera) i raportujących możliwości nieuprawnionej modyfikacji treści serwisu„.
Przy okazji pozwolisz, że spytam Cię o cztery rzeczy związane z Joomla!:
- Czy twój login/nazwa użytkownika to : admin ?
- Czy ID twojego super użytkownika to: 62 ?
- Czy twój prefix do bazy danych to jos_ ?
- Ostatnią aktualizacje plików Joomal robiłeś ponad 3, 6 lub nawet 12 miesięcy temu ?
Jeśli odpowiedź „tak” padła choć raz, albo mam talent wróżbiarski, albo zapomniałeś o podstawowych kwestiach bezpieczeństwa. Warto sprawdzić dostępne komponentu do ochrony Joomla np. OSE Anti-Virus, czy inne.
A może jakis poradnik jak te punkty zrealizować ?
Poległem na: „Czy ID twojego super użytkownika to: 62 ?”. Jest jakiś dodatek/plugin czy trzeba ręcznie w bazie zmienić? I na jaki nr id? Dowolny wolny?
BTW błąd w tytule – brakuje ogonka w pierwszym słowie: Przestaję a nie Przestaje
Nie trzeba żadnego dodatku. Wystarczy założyć następne konto dla super admina, a domyślne skasować.
U mnie w pierwszych 3 pytaniach odpowiedź brzmi tak. Dlaczego nie używać loginu admina? Dlaczego zmienić prefix bazy danych i czy jest możliwość go zmienienia teraz. Przyłączam się do pytania Brok, jaki id jak nie 62?
Jeśli każdy miałby w domu dwa zamki, a jeden z nich taki uniwersalny co każdy klucz otwiera, to jaki byłby sens loginu i hasła ? Chyba nie masz konta w banku internetowym skoro zadajesz takie pytanie.
@szymon189 – czemu nie używać loginu admina? Prosty przykład – bo jak czasami miałem próby włamu do panelu administracyjnego (teraz ataki wyciąłem hasłem na katalog admina) po 500 prób… w ciągu nocy. To włam był zawsze na admina, tylko hasło inne: zaqwsx, zaq12wsx, admin, qwerty itp. itd. Mając inną nazwę niż admin – taki atak nie ma szans.
@Brok – Co chwilę dostaję email z wiadomością o błędnej próbie zalogowania
Failed login attempt at ….
Username = admin
Password = admin
…
Username = administrador
Password = admin
Wystarczy wejść w PA i zmienić nazwę użytkownika na inną?
@szymon189 – tak, wystarczy zmienić nazwę na inną niż admin/administrator i już utrudniasz życie domorosłym „hakerom”. Dodatkowo w ustawieniach hostingu możesz założyć hasło na katalog administrator, wtedy wpisując http://www.twojastrona.pl/administrator pojawi się okienko żeby wpisać login i hasło. Po wpisaniu prawidłowych danych, pojawi się strona z panelem administracyjnym. Nie muszę mówić, że warto mieć 2 różne pary login i hasło.
Wracając do zmiany prefiksu bazy danych – w google znajdziesz opisy. Ja korzystam z Akeeba Admin Tools Pro i tam jest opcja „Edytor prefiksów bazy danych”, gdzie bez problemu można zmienić nazwę.
@Brok – jeżeli korzystasz z ATPRO to z jego poziomu możesz zmienić ID administratora – opcja ID Super Administratora.
Uwaga dla Pawła Frankowskiego – Ja się dziwie, że Ty się dziwnisz zamiast dziwić w tytule.
Ja poległem tylko na jednym pytani ID 62. Jak to można zmienić mam kilka pomysłów ale nie wiem czy dobrze myślę.
Zmiana hasła do katalogu administrator nie zawsze jest dobrym rozwiązaniem (na działającej stronie) u mnie np. przestały działać niektóre komponenty np. peoplebook . Lepiej moim zdaniem zmienić ścieżkę do katalogu administratora. Nie pamiętam co u siebie zainstalowałem ale pomogło skończyły się nocne ataki (30-50 prób dziennie). Dodam że zmiana loginu z admin na inny nie zatrzyma ataków. O innych metodach zabezpieczenia joomli gdzieś tu na blogu było.
Dodam, że jeśli na panel admina logujesz się zawsze ze stałych adresów IP to warto dodać do katalogu .twojastrona.pl/administrator odpowiedni plik .htaccess z linią:
Deny from all
Allow from TWOJE_Adresy_IPTo jest bardzo dobry sposób na zablokowanie dostępu. Warto jednak wszystkie reguły zastosować jednocześnie (ale być ich świadomym ;)
Akeeba Admin Tools nie musi być w wersji PRO aby załatwić te podstawowe elementy bezpieczeństwa.
Użytkownik admin może sobie być ale bez żadnych uprawnień i odpowiednio silnym hasłem (ze 30 znaków – nie musimy go pamiętać)- na nim skupią się ataki.
Warto tez usunąć z dumną identyfikację w kodzie
można w tym celu
wstawić powyżej nagłówka wstawić poniższy kod:
setGenerator(’Tekst dowolny’); ?>
Oczywiście są to metody na odganianie się od much studiujących praktycznie filmiki youtube jak złamać joomlę.
Ale też nie ma co ukrywac że ataki właśnie takich „hakerów” to prawie 100% wszystkich. Bo jaki sens ma łamanie strony np „wędkarstwo -moja pasja”