הצד הטכני של התקפת הסייבר

avr416

Upress זה לאו דווקא חרדים, אלא אחסון מנוהל שמותאם לוורדפרס עם חוות שרתים בישראל.
מה שמשפיע על המהירות ולכן יש להם הרבה הרבה לקוחות ישראלים למיטב ידיעתי, כולל חילונים למהדרין..

כמו ש@dovid אמר כנראה פרצו לשרתים עצמם..

nigun

מישהו יודע האם מדובר רק בשרתים שיתופיים או גם בVPS?
אם זה רק שיתופי זה נראה לי די פשוט להבין מה הם עשו אחרי שהם פרצו.
אם זה גם VPS אז מעניין מה הם עשו שם?

dovid

@nigun מה ההבדל?

WWW

@dovid אמר בהצד הטכני של התקפת הסייבר:

@nigun מה ההבדל?

כנראה הכוונה איך פרצו לכל המכונות.

dovid

@WWW אז שיתופי הוא מתכוון שכל האתרים על אותו מכונה.
אם ככה יש להם מכונה לא רעה כי מדובר באתרים גדולים.
בכל אופן אם מדובר ברשת מקומית ויש גישה ממחשב למחשב, והגישה והאתר רצים באותו רמת משתמש, אז כן - יש גישה לעשרים מכונות ביחד.

nigun

@dovid
אם מדובר בשרת מכונה משותפת
עם אפאצי וכדו
רק צריך להגדיר בכל הכתובות הפניה לדף בודד
אבל אם מדובר בVPS הם צריכים לכאורה להיכנס להגדרות של כל מכונה בנפרד ולהגדיר שם את אותה הגדרה
האם יש הבדל או שברגע שאתה על השרת אתה יכול לגשת לכל המכונות באופן חופשי

או שאני אשאל את זה באופן אחר
זה ברור לי שמנהל אחסון שרתים שיתופי עם CPANEL
יכול לגשת ברגע לכל הנתונים שלי
ואם מישהו מצליח לפרוץ את החשבון מנהל
הוא שולט ברגע על כל האתרים
האם זה כך גם בVPS?

dovid

@nigun בVPS יש לו גישה פיזית לקבצים, אז כן הוא יכול.
אמנם קבצים מוצפנים הוא לא יכול לקרוא, אבל אני לא מכיר איך מצפינים בלינוקס (בwindows זה לסמן וי במאפיינים), וגם לא ראיתי שעושים זאת. וגם זה לא יעור מאומה מכתיבה דורסת של קובץ PHP אחר.
לפי מה ששמעתי על התקיפה לא בטוח שהיה להם בשום שלב גישה ממש לשרת, אלא רק לקבצי הPHP. הם תיאורטית הצליחו לעלות גירסה אחרת של קובץ הרצה שהסב נזקים. השאלה איך הם עשו את זה לכל האתרים בשלב הראשון לא קשה כי ייתכן שכולם חלקו את אותה פירצה (שהיא אולי שילוב בין תוסף לבין חולשה במכונות של uPress, או נטו תוסף אבל שרק לקוחות uPress שמו - הבנתי שאכן היה כזה דבר) והם עשו זאת לאחד אחרי השני,
אבל בהתקפה השניה ואלה שאחריה נראה שכן היה גישה פיזית.

nigun

@dovid
לא מספיק לפרוץ את החשבון מנהל של השרת?
לא צריך גישת SSH בשביל להפיל שרת PHP.

WWW

@dovid פורסם שזה גם מתקפת כופר על הנתונים, (כולל אי מכירה למתחרים), כך שזה כבר כן קצת מתוחכם...

dovid

@nigun אמר בהצד הטכני של התקפת הסייבר:

@dovid
לא מספיק לפרוץ את החשבון מנהל של השרת?
לא צריך גישת SSH בשביל להפיל שרת PHP.

למיטב ידעתי הם לא הפילו, הם שוב כתבו קובץ PHP.
מי שהפיל זה uPress כדי להפסיק את ההתקפה.
לא הבנתי מה הקשר גישת ssh, לא היה להם בשום שלב מן הסתם גישה לssh.

nigun

@dovid
כדי לפרוץ לשרת שמחזיק מכונות VPS צריך לכאורה גישת SSH או משהו כזה
ולא רק לקובץ ניהול בPHP

chagold

@nigun אמר בהצד הטכני של התקפת הסייבר:

לכאורה

זוכרני מפעם שיש איזו טכניקה להריץ פקודות sh עם php ע"י שהקובץ php פונה לקובץ בסיומת sh ואז זה כאילו שהורץ בטרמינל. אז לא צריך גישת ssh ממש. השאלה היא יותר שהרי אמור להיות שלכל יוזר יש את ההרשאות שלו וא"כ איך הצליחו להגיע לכל הרשת.

אולי לפי מה ש@dovid כתב אז בפעם הראשונה הפריצה היתה עם התוסף - ואז אולי הם קיבלו את הפרטים של הגישה, (כנראה שהסיסמאות הם לא חד צידיות). וככה יכלו לגשת בפעם השניה בצורה ישירה.

יתכן?

dovid

@nigun אמר בהצד הטכני של התקפת הסייבר:

@dovid
כדי לפרוץ לשרת שמחזיק מכונות VPS צריך לכאורה גישת SSH או משהו כזה
ולא רק לקובץ ניהול בPHP

לא צריך SSH ולא צריך קובץ ניהול...
אם יש לך גישה פיזית לכתוב קובץ PHP, אתה מריץ במכונה כל מה שאתה רוצה.
אתה מריץ בו כל מה שהיית מריץ בSSH באותה רמת משתמש (מה שהוגדר בשרת האינטרנט כמו האפאצ'י למשל שבברירת מחדל מוגדר המשתמש www-data).
יש לך גם גישה למכונות אחרות אם יש למשתמש ההוא היה גישה אליהם.

nigun

@dovid
אז אם הם קיבלו גישה לקובץ PHP במכונה אחת
גם אם מישהו החליט שהוא משום מה נותן הרשאות ROOT הפורץ לא אמור לקבל גישה לכל המכונות האחרות
אא"כ המנהל אבטחה שם החליט להשתגע לגמרי
ולתת הרשאות ממכונה למכונה

ש.ב.ח.

שלום
האתרים שלי חזרו לפעילות...
התוסף הבעייתי כנראה "התוסף היעודי של יופרס לאבטחה" (זה התוסף היחיד שנמחק מהאתרים לאחר חזרת לשגרה)

והנה ההצהרות הישנות...

nigun

@ש-ב-ח
האם היה פריצות גם למי שלא היה את התוסף?