Jump to content
XPEnology Community

Взломали Фотостанцию


Recommended Posts

Доброго всем времени суток. Хочу поделиться своей неприятностью, может кому поможет уберечься. Вчера зашел в админку станции (не заходил наверное недели 2, а то и больше) и с удивлением увидел двух юзеров одного с ником synology, а второй просто набор символов но они были оба с админскими правами. Настройки вроде небыли измен, все файлы тоже на месте, но неприятный осадок остался. Фотостанция версии 6.0-2639 хренология 4.3. В админке фотостанции были включены пользватели с учетными записями самой станции а не DSM (сейчас перевелна другой вариант). Может в этом проблема. Как вообще могли вскрыть? Логи в фотостанции были удалены пользователем с набором символов, но один лог остался заход был с этим айпи 195.212.29.165.В самом DSM никаких проблем вроде нет, логи чистые, сделал на всякий случай двухэтапную авторизацию. Наблюдаю. Какие могут быть предположения и как обезопаситься в данном случае понадёжнее. Спасибо.

Edited by Vadim
Link to comment
Share on other sites

8 hours ago, Lordbl4 said:

мораль - нет смысла сидеть на старых версиях без заплаток безопасности

Думаю главная глупость была именно в том, что авторизация была по учётным записям самой фотостанции, а не по пользователям DSM. Возможно каким то образом был получен доступ в БД фотостанции (она кстати у неё своя) и создано два новых пользователя, просто если каким то образом был сломан мой админский пароль то и до самого DSM бы тоже добрались, но там никаких следов входа по логам за тот период времени нет, поэтому скорее всего проблема именно в том, что не нужно создавать юзеров  самой фотостанцией, а давать доступ по учеткам DSM. Кстати может кто то подскажет может где то еще логи дублируются или удалённые как то можно восстановить ?

А к DSM 4.3 у меня претензий нет, давно на ней сижу Telnet . SSH закрыты и никто не ломится, а вот если начинаешь открывать, то начинают бомбить. Переходить на другие версии нет желания, крутятся 2 сайта, не хочется проблемм после перехода. 

Link to comment
Share on other sites

В 28.4.2018 в 20:46, Vadim сказал:

Фотостанция версии 6.0-2639 хренология 4.3

 

текущая версия 6.8.5-3471

для старых станций 6.3-2975

 

А к DSM 4.3 у вас претензий нет

 

и что тогда вам в этом случае предложить

или может кому нибуть по бысторому поставить DSM 4.3 и ваши баги сымитировать чтобы понять суть проблемы

 

Link to comment
Share on other sites

On 4/28/2018 at 10:43 PM, Vadim said:

Думаю главная глупость была именно в том, что авторизация была по учётным записям самой фотостанции, а не по пользователям DSM.

Я с Вами не соглашусь. Пользователям фотостанции нечего делать на DSM. А вот вдумчиво рассмотреть (и отключить) все ненужные фишки, авторизацию по внешним акаунтам и точно раздать права и явные запреты надо обязательно. Ну и естественно последние заплатки нельзя игнорировать. Они создаются не для пропихивания мусора, а реально закрывают найденные дыры.

К DSM 4.3 теперь у Вас претензии должны бы появиться. "Давно на ней сижу" аргумент довольно слабый.

Link to comment
Share on other sites

23 hours ago, Vadim said:

Думаю главная глупость была именно в том, что авторизация была по учётным записям самой фотостанции, а не по пользователям DSM.

 

А есть какая то информация, говорящая о том, что авторизация по учетным записям фотостанции - менее устойчива к взлому, чем чем авторизация по пользователям DSM? А то я что-то логики не уловил...

 

З.Ы. К тому же я что-то этой настройки сейчас вообще не нашел, ее не убрали? Фотостанция 6.8.5 - 3471, последняя на сейчас.

Edited by SergeS
Link to comment
Share on other sites

15 hours ago, SergeS said:

А есть какая то информация, говорящая о том, что авторизация по учетным записям фотостанции - менее устойчива к взлому, чем чем авторизация по пользователям DSM? А то я что-то логики не уловил...

Устойчивость к взлому наверное одинаковая, поскольку обеспечивается основными компонентами веб сервера и дырами в них. Разница в последствиях взлома. Взломанная учетка в DSM дает доступ к остальным компонентам системы. Взломанная учетка фотостанции ограничит повреждения только внутри альбомов. Я вижу опасность так-же в разрешении авторизации по внешним учеткам (Facebook, Google и пр) и разрешением на создание личных альбомов. Возможно создание и загрузка какой-то гадости под видом картинки и выполнение скрипта на сервере. Если у выполняющего скрипт есть права в DSM или административные, то теоретически возможен больший урон.

Кстати у @Vadim как раз учетки фотостанции возможно предотвратили худшие последствия.

Link to comment
Share on other sites

5 hours ago, XPEH said:

Эта настройка показана только для админа. Для других пользователей с правами администратора не видна.

 

А если у меня админ выключен, то все, поменять эту настройку можно только  через последовательность: включение админа -> смена настройки -> выключение админа? Прикольно :-)...

Link to comment
Share on other sites

5 hours ago, XPEH said:

Устойчивость к взлому наверное одинаковая, поскольку обеспечивается основными компонентами веб сервера и дырами в них. Разница в последствиях взлома.

 

Да, логично... Спасибо.

Link to comment
Share on other sites

On 29.04.2018 at 11:56 PM, Архип said:

 

 

и что тогда вам в этом случае предложить

или может кому нибуть по бысторому поставить DSM 4.3 и ваши баги сымитировать чтобы понять суть проблемы

 

К чему такие жертвы ) Пост больше для предупреждения тех у кого такая же ситуация, ну и заодно и по возможность разобраться в проблеме от знающих людей и принять соответствующие меры (обновление не в счёт, не всем вариант подойдёт)

Link to comment
Share on other sites

On 30.04.2018 at 6:22 AM, XPEH said:

Я с Вами не соглашусь. Пользователям фотостанции нечего делать на DSM. А вот вдумчиво рассмотреть (и отключить) все ненужные фишки, авторизацию по внешним акаунтам и точно раздать права и явные запреты надо обязательно. Ну и естественно последние заплатки нельзя игнорировать. Они создаются не для пропихивания мусора, а реально закрывают найденные дыры.

К DSM 4.3 теперь у Вас претензии должны бы появиться. "Давно на ней сижу" аргумент довольно слабый.

Пользователям прекрасно урезаются все права на доступ к любым папкам, а к нужным оставляются права на чтение. Авторизация  по внешним аккаунтам закрыта. Заплатки на официальную версию это не проблема, но для хренологии это чревато очередным гемороем. К 4.3 претензий нет никаких, ни по безопасности, ни по функционалу, пользуюсь 4 года, всем доволен. Если бы на момент создания двух своих сайтов была бы версия выше, то конечно перешел бы на неё, но сейчас эксперементировать очень не хочется.

Edited by Vadim
Link to comment
Share on other sites

On 30.04.2018 at 9:38 AM, SergeS said:

А есть какая то информация, говорящая о том, что авторизация по учетным записям фотостанции - менее устойчива к взлому, чем чем авторизация по пользователям DSM? А то я что-то логики не уловил...

Нет, лично я такой информацией не обладаю. Но изхожу  из здравой логики.  

Если бы был взломан пароль моей админской учётки и под ней был бы совершен вход в фотостанцию, то тот кто это сделал на 100% воспользовался бы моей учёткой для входа в сам DSM (на тот момент у меня не стояла двухэтапная авторизация), но там никаких следов входа (судя по логам) на тот момент обнаружено не было, а значит взлом фотостанции и создание там двух пользователей происходило возможно только через базу данных фотостанции (повторюсь что она у неё своя), а значит отношения к DSM взлом не имеет иначе подломили бы сразу мою админскую учётку со всеми вытекающими. Вот как то так наверное.

Link to comment
Share on other sites

On 01.05.2018 at 1:04 AM, XPEH said:

Устойчивость к взлому наверное одинаковая, поскольку обеспечивается основными компонентами веб сервера и дырами в них. Разница в последствиях взлома. Взломанная учетка в DSM дает доступ к остальным компонентам системы. Взломанная учетка фотостанции ограничит повреждения только внутри альбомов. Я вижу опасность так-же в разрешении авторизации по внешним учеткам (Facebook, Google и пр) и разрешением на создание личных альбомов. Возможно создание и загрузка какой-то гадости под видом картинки и выполнение скрипта на сервере. Если у выполняющего скрипт есть права в DSM или административные, то теоретически возможен больший урон.

Кстати у @Vadim как раз учетки фотостанции возможно предотвратили худшие последствия.

Фиг его знает, я конечно не специалист в этих делах, и даже не продвинутый юзер, но мне всё таки кажется что база у фотостанции гораздо дырявее чем  у DSM, поэтому больше склоняюсь к тому, что пользовательские учётки DSM защищены лучше.  Личных альбомов я не использую и вход по внешним аккаунтам так же закрыт.

Спасибо большое за участие мужики. Буду держать Вас в курсе в этой теме если что то новое всплывёт.

Link to comment
Share on other sites

9 hours ago, Vadim said:

Фиг его знает, я конечно не специалист в этих делах, и даже не продвинутый юзер, но мне всё таки кажется что база у фотостанции гораздо дырявее чем  у DSM, поэтому больше склоняюсь к тому, что пользовательские учётки DSM защищены лучше.

Сама "база", на самом деле список учетных записей, напрямую не видна. Для доступа к ней необходимо сначала использовать дырки в веб сервере (Apache, PHP и пр.). От попытки грубого перебора паролей возможно лучше защищена DSM, если включен режим блокировки после нескольких неудачных попыток. В любом случае, хорошо что Вы понимаете важность использование всех уровней защиты и инструментов включенных в систему для усиления безопасности.

Удачи!

 

Link to comment
Share on other sites

15 hours ago, XPEH said:

Сама "база", на самом деле список учетных записей, напрямую не видна. Для доступа к ней необходимо сначала использовать дырки в веб сервере (Apache, PHP и пр.). От попытки грубого перебора паролей возможно лучше защищена DSM, если включен режим блокировки после нескольких неудачных попыток. В любом случае, хорошо что Вы понимаете важность использование всех уровней защиты и инструментов включенных в систему для усиления безопасности.

Удачи!

Все возможные способы защиты для входа в DSM конечно же включены на максимум , двухэтапная авторизация вообще вещь незаменимая на мой взгляд , для безопасности сайтов вход на страницу авторизации phpMyAdmin был исключён по айпи через файл .htacess , а теперь  phpMyAdmin вообще отключен из админки DSM. В общем и целом думаю этого должно хватить, хотя сломать можно любую защиту, вопрос только в целесообразности данного предприятия. Удачи Вам так же ! Спасибо !

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...