Vadim

Взломали Фотостанцию

Recommended Posts

Posted (edited)

Доброго всем времени суток. Хочу поделиться своей неприятностью, может кому поможет уберечься. Вчера зашел в админку станции (не заходил наверное недели 2, а то и больше) и с удивлением увидел двух юзеров одного с ником synology, а второй просто набор символов но они были оба с админскими правами. Настройки вроде небыли измен, все файлы тоже на месте, но неприятный осадок остался. Фотостанция версии 6.0-2639 хренология 4.3. В админке фотостанции были включены пользватели с учетными записями самой станции а не DSM (сейчас перевелна другой вариант). Может в этом проблема. Как вообще могли вскрыть? Логи в фотостанции были удалены пользователем с набором символов, но один лог остался заход был с этим айпи 195.212.29.165.В самом DSM никаких проблем вроде нет, логи чистые, сделал на всякий случай двухэтапную авторизацию. Наблюдаю. Какие могут быть предположения и как обезопаситься в данном случае понадёжнее. Спасибо.

Edited by Vadim

Share this post


Link to post
Share on other sites
2 часа назад, Vadim сказал:

Фотостанция версии 6.0-2639 хренология 4.3

 

мораль - нет смысла сидеть на старых версиях без заплаток безопасности

Share this post


Link to post
Share on other sites
8 hours ago, Lordbl4 said:

мораль - нет смысла сидеть на старых версиях без заплаток безопасности

Думаю главная глупость была именно в том, что авторизация была по учётным записям самой фотостанции, а не по пользователям DSM. Возможно каким то образом был получен доступ в БД фотостанции (она кстати у неё своя) и создано два новых пользователя, просто если каким то образом был сломан мой админский пароль то и до самого DSM бы тоже добрались, но там никаких следов входа по логам за тот период времени нет, поэтому скорее всего проблема именно в том, что не нужно создавать юзеров  самой фотостанцией, а давать доступ по учеткам DSM. Кстати может кто то подскажет может где то еще логи дублируются или удалённые как то можно восстановить ?

А к DSM 4.3 у меня претензий нет, давно на ней сижу Telnet . SSH закрыты и никто не ломится, а вот если начинаешь открывать, то начинают бомбить. Переходить на другие версии нет желания, крутятся 2 сайта, не хочется проблемм после перехода. 

Share this post


Link to post
Share on other sites
В 28.4.2018 в 20:46, Vadim сказал:

Фотостанция версии 6.0-2639 хренология 4.3

 

текущая версия 6.8.5-3471

для старых станций 6.3-2975

 

А к DSM 4.3 у вас претензий нет

 

и что тогда вам в этом случае предложить

или может кому нибуть по бысторому поставить DSM 4.3 и ваши баги сымитировать чтобы понять суть проблемы

 

Share this post


Link to post
Share on other sites
On 4/28/2018 at 10:43 PM, Vadim said:

Думаю главная глупость была именно в том, что авторизация была по учётным записям самой фотостанции, а не по пользователям DSM.

Я с Вами не соглашусь. Пользователям фотостанции нечего делать на DSM. А вот вдумчиво рассмотреть (и отключить) все ненужные фишки, авторизацию по внешним акаунтам и точно раздать права и явные запреты надо обязательно. Ну и естественно последние заплатки нельзя игнорировать. Они создаются не для пропихивания мусора, а реально закрывают найденные дыры.

К DSM 4.3 теперь у Вас претензии должны бы появиться. "Давно на ней сижу" аргумент довольно слабый.

Share this post


Link to post
Share on other sites
Posted (edited)
23 hours ago, Vadim said:

Думаю главная глупость была именно в том, что авторизация была по учётным записям самой фотостанции, а не по пользователям DSM.

 

А есть какая то информация, говорящая о том, что авторизация по учетным записям фотостанции - менее устойчива к взлому, чем чем авторизация по пользователям DSM? А то я что-то логики не уловил...

 

З.Ы. К тому же я что-то этой настройки сейчас вообще не нашел, ее не убрали? Фотостанция 6.8.5 - 3471, последняя на сейчас.

Edited by SergeS

Share this post


Link to post
Share on other sites
51 минуту назад, SergeS сказал:

ее не убрали?

 

v6.8.5 - 3471

 

ps67.thumb.png.c9e7fb53c18bc5b3546e817cf8e38f5c.png

Share this post


Link to post
Share on other sites
39 minutes ago, Архип said:

 

v6.8.5 - 3471

 

ps67.thumb.png.c9e7fb53c18bc5b3546e817cf8e38f5c.png

А у меня такого нет... Что за фигня?
image.thumb.png.e5837eba04f08380eda1dc83ead7bf1d.png

Share this post


Link to post
Share on other sites

Эта настройка показана только для админа. Для других пользователей с правами администратора не видна.

  • Like 1

Share this post


Link to post
Share on other sites
15 hours ago, SergeS said:

А есть какая то информация, говорящая о том, что авторизация по учетным записям фотостанции - менее устойчива к взлому, чем чем авторизация по пользователям DSM? А то я что-то логики не уловил...

Устойчивость к взлому наверное одинаковая, поскольку обеспечивается основными компонентами веб сервера и дырами в них. Разница в последствиях взлома. Взломанная учетка в DSM дает доступ к остальным компонентам системы. Взломанная учетка фотостанции ограничит повреждения только внутри альбомов. Я вижу опасность так-же в разрешении авторизации по внешним учеткам (Facebook, Google и пр) и разрешением на создание личных альбомов. Возможно создание и загрузка какой-то гадости под видом картинки и выполнение скрипта на сервере. Если у выполняющего скрипт есть права в DSM или административные, то теоретически возможен больший урон.

Кстати у @Vadim как раз учетки фотостанции возможно предотвратили худшие последствия.

Share this post


Link to post
Share on other sites
5 hours ago, XPEH said:

Эта настройка показана только для админа. Для других пользователей с правами администратора не видна.

 

А если у меня админ выключен, то все, поменять эту настройку можно только  через последовательность: включение админа -> смена настройки -> выключение админа? Прикольно :-)...

Share this post


Link to post
Share on other sites
5 hours ago, XPEH said:

Устойчивость к взлому наверное одинаковая, поскольку обеспечивается основными компонентами веб сервера и дырами в них. Разница в последствиях взлома.

 

Да, логично... Спасибо.

Share this post


Link to post
Share on other sites
On 29.04.2018 at 11:56 PM, Архип said:

 

 

и что тогда вам в этом случае предложить

или может кому нибуть по бысторому поставить DSM 4.3 и ваши баги сымитировать чтобы понять суть проблемы

 

К чему такие жертвы ) Пост больше для предупреждения тех у кого такая же ситуация, ну и заодно и по возможность разобраться в проблеме от знающих людей и принять соответствующие меры (обновление не в счёт, не всем вариант подойдёт)

Share this post


Link to post
Share on other sites
Posted (edited)
On 30.04.2018 at 6:22 AM, XPEH said:

Я с Вами не соглашусь. Пользователям фотостанции нечего делать на DSM. А вот вдумчиво рассмотреть (и отключить) все ненужные фишки, авторизацию по внешним акаунтам и точно раздать права и явные запреты надо обязательно. Ну и естественно последние заплатки нельзя игнорировать. Они создаются не для пропихивания мусора, а реально закрывают найденные дыры.

К DSM 4.3 теперь у Вас претензии должны бы появиться. "Давно на ней сижу" аргумент довольно слабый.

Пользователям прекрасно урезаются все права на доступ к любым папкам, а к нужным оставляются права на чтение. Авторизация  по внешним аккаунтам закрыта. Заплатки на официальную версию это не проблема, но для хренологии это чревато очередным гемороем. К 4.3 претензий нет никаких, ни по безопасности, ни по функционалу, пользуюсь 4 года, всем доволен. Если бы на момент создания двух своих сайтов была бы версия выше, то конечно перешел бы на неё, но сейчас эксперементировать очень не хочется.

Edited by Vadim

Share this post


Link to post
Share on other sites
On 30.04.2018 at 9:38 AM, SergeS said:

А есть какая то информация, говорящая о том, что авторизация по учетным записям фотостанции - менее устойчива к взлому, чем чем авторизация по пользователям DSM? А то я что-то логики не уловил...

Нет, лично я такой информацией не обладаю. Но изхожу  из здравой логики.  

Если бы был взломан пароль моей админской учётки и под ней был бы совершен вход в фотостанцию, то тот кто это сделал на 100% воспользовался бы моей учёткой для входа в сам DSM (на тот момент у меня не стояла двухэтапная авторизация), но там никаких следов входа (судя по логам) на тот момент обнаружено не было, а значит взлом фотостанции и создание там двух пользователей происходило возможно только через базу данных фотостанции (повторюсь что она у неё своя), а значит отношения к DSM взлом не имеет иначе подломили бы сразу мою админскую учётку со всеми вытекающими. Вот как то так наверное.

Share this post


Link to post
Share on other sites
On 01.05.2018 at 1:04 AM, XPEH said:

Устойчивость к взлому наверное одинаковая, поскольку обеспечивается основными компонентами веб сервера и дырами в них. Разница в последствиях взлома. Взломанная учетка в DSM дает доступ к остальным компонентам системы. Взломанная учетка фотостанции ограничит повреждения только внутри альбомов. Я вижу опасность так-же в разрешении авторизации по внешним учеткам (Facebook, Google и пр) и разрешением на создание личных альбомов. Возможно создание и загрузка какой-то гадости под видом картинки и выполнение скрипта на сервере. Если у выполняющего скрипт есть права в DSM или административные, то теоретически возможен больший урон.

Кстати у @Vadim как раз учетки фотостанции возможно предотвратили худшие последствия.

Фиг его знает, я конечно не специалист в этих делах, и даже не продвинутый юзер, но мне всё таки кажется что база у фотостанции гораздо дырявее чем  у DSM, поэтому больше склоняюсь к тому, что пользовательские учётки DSM защищены лучше.  Личных альбомов я не использую и вход по внешним аккаунтам так же закрыт.

Спасибо большое за участие мужики. Буду держать Вас в курсе в этой теме если что то новое всплывёт.

Share this post


Link to post
Share on other sites
9 hours ago, Vadim said:

Фиг его знает, я конечно не специалист в этих делах, и даже не продвинутый юзер, но мне всё таки кажется что база у фотостанции гораздо дырявее чем  у DSM, поэтому больше склоняюсь к тому, что пользовательские учётки DSM защищены лучше.

Сама "база", на самом деле список учетных записей, напрямую не видна. Для доступа к ней необходимо сначала использовать дырки в веб сервере (Apache, PHP и пр.). От попытки грубого перебора паролей возможно лучше защищена DSM, если включен режим блокировки после нескольких неудачных попыток. В любом случае, хорошо что Вы понимаете важность использование всех уровней защиты и инструментов включенных в систему для усиления безопасности.

Удачи!

 

Share this post


Link to post
Share on other sites
15 hours ago, XPEH said:

Сама "база", на самом деле список учетных записей, напрямую не видна. Для доступа к ней необходимо сначала использовать дырки в веб сервере (Apache, PHP и пр.). От попытки грубого перебора паролей возможно лучше защищена DSM, если включен режим блокировки после нескольких неудачных попыток. В любом случае, хорошо что Вы понимаете важность использование всех уровней защиты и инструментов включенных в систему для усиления безопасности.

Удачи!

Все возможные способы защиты для входа в DSM конечно же включены на максимум , двухэтапная авторизация вообще вещь незаменимая на мой взгляд , для безопасности сайтов вход на страницу авторизации phpMyAdmin был исключён по айпи через файл .htacess , а теперь  phpMyAdmin вообще отключен из админки DSM. В общем и целом думаю этого должно хватить, хотя сломать можно любую защиту, вопрос только в целесообразности данного предприятия. Удачи Вам так же ! Спасибо !

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now