23. september 2008 - 16:23Der er
13 kommentarer og 1 løsning
Hackeradgang til filer igennem CMS
Kære eksperter,
Jeg har et problem med et CMS-system. Problemet er, at der er hackerangreb, der overskriver nogle filer, når browseren efterlades åben (og der er logget ind).
Jeg har fundet ud af, at det vist er et generelt problem for CMS-systemer, hvor man skriver direkte i filer? Er det sandt?
Hvad kan jeg gøre for at undgå dette en anden gang?
Jeg har selv følgende forslag: - der sættes timeout på en åben browser (det vil ikke fjerne angreb, der finder sted, når der arbejdes på dokumenterne) - hjemmesiden kodes helt om, så der ikke skrives direkte i filer men i stedet for gennem formularer (vil dette afhjælpe problemet?) - måske kan der sættes et eller andet filter/program/... på serveren, som kan afvige hackerangrebene, så de ikke kommer ind? - andre forslag?
Teknologi, AI og forretning er i centrum på Computerworlds Cloud og AI Festival i København d. 18. og 19. september. Se hele programmet for den store konference om strategisk brug af Cloud og AI på: www.cloud-festival.dk
Jeg tvivler på at der er større problemer i at skrive direkte i filer fremfor fx en database - så den tanke kan du godt glemme. Hvis problemet skyldes at folk ikke logger ud så er der ikke så meget at gøre udover at sætte timeout på sessions ned eller oplære folk i at logge ud når ikke de er til stede (bør alligevel være normal kotyme) - skyldes det et sikkerhedshul, fx sql-injection, skal system bare sikres (=kodes) bedre.
Kan du evt prøve at beskrive systemets setup lidt bedre samt ikke mindst hvornår du mener problemet opstår (fx, hvorfor mener du at browseren skal efterlades åben for at misbruges skal ske)?
Angrebet er lykkedes ved, at systemet har været åbent (og logget på med brugernavn og password). Hackeren har på en eller anden måde fået adgang til pc'en, som vi den åbne session (brugernavn og password) har fået adgang videre ind til serveren.
Jeg tror umiddelbart ikke at det er en sql-fejl, for der bruges ikke databaseadgang til denne del.
Systemets setup: Man logger blot på med brugernavn og password og går ind og skriver i forskellige filer. Det er såmænd det eneste, som systemet går ud på. Jeg kender desværre ikke videre til serverens opbygning, hvis det er denne du også søger. Ellers må du meget gerne sige, hvad du specielt gerne vil vide, for så kan jeg evt. spørge efter dataene.
Jeg har blot hørt, at hackerne går specielt efter CMS-systemer og de filer, som man skriver direkte i på serveren ... men mere ved jeg ikke om dette?
hackere kan ikke på forhånd se om et system er bygget op med database, xml eller "dumme" filer - så den tror jeg stadig ikke på, det er hverken lettere, sværere eller mere/mindre skadeligt på nogen måde. Hvis login-delen af systemet bygger over en database ville der her sagtens kunne benyttes sql-injection til at give utilsigtet adgang til systemet - det samme vil være tilfælde hvis der fx på jeres frontend er formularer der kommunikere med en database.
Hvis en bruger har været logget på systemet og forladt computeren er der ikke noget at gøre - det kan man jo ikke sikre sig imod. Man kan som nævnt sætte en lav timeout på sessionen men det risikerer bare også at ramme dem der reelt bruger systemet - så brugerne må lære at logge af. Hvis dette er måden systemet er udnyttet er det vel heller ikke sikkert at personen har haft adgang til serveren - det kan vel også være at personen bare har udnyttet de muligheder som jeres normale brugere har, bare på en knap så pæn måde selvfølgelig.
I sidste ende kan der selvfølgelig også sagtens være et sikkerhedshul på selve serveren og så skal i have fat i webhotellet/administratoren - men det lyder mere som en brist i jeres system eller dårlig omgang med systemet af jeres brugere. Det er desværre svært at komme med noget mere konkret ud fra hvad du skriver.
En kollega har fortalt mig, at det sker igennem en tændt intern pc - men angrebet er fra en anden pc (afsender har skrevet om sin tilstedeværelse i filer ... noget med at xxx var her).
Filerne redigeres direkte på serveren via en fil der hentes frem i browseren og redigeres direkte i browseren. Dvs. ikke gennem formfelt, men direkte i filen på serveren:)
Systemet er et internt system, så jeg kan desværre ikke give et link.
Det jeg har fået at vide er, at hackeren har fundet sig adgang via en en tændt computer (som stod logget ind på det pågældende system). Den kan jeg godt følge, fordi sessionen så stadig kører - så er der jo adgang fra computeren til serveren. Umiddelbart vil jeg jo så sige, at der må være et hul ind i computeren og at det evt. ikke er selve programmet, der er noget galt med.
Måske er Windows Firewall ikke nok? Hvad kan man mere gøre for at beskytte sig udefra?
(det er blot min egen vurdering, at der må være et hul fra nettet til den interne computer ... ved ikke om denne er rigtig)
hvis "indbruddet" sker som du beskriver er der ikke umiddelbart meget at gøre ved selve systemet - udover måske at sætte timeout på (såfremt der benyttes session) eller en max levetid (hvis der benyttes cookies) så brugere smides af efter fx 20 minutters inaktivitet - så er det sikkerheden i jeres hardware der skal gøres noget ved og det er ikke min stærke side, men en firewall ville nok kunne være en mulighed.
Jeg har desværre ikke nok viden på dette felt til at kunne rådgive dig - så tror jeg du skal over i en anden kategori og samtidig fortælle lidt mere om jeres setup.
Problemet er ikke helt simpelt. Desværre er mange CMS'er skrevet af ukyndige folk (både gratis og betalte CMS'er), så der kan være rigtig mange sikkerhedshuller.
Uanset, hvor sikkert man laver et system, kan man dog aldrig gardere sig mod tåbelig brug af systemet - og det er komplet tåbeligt ikke at logge sig ud, når man forlader maskinen. Glem alt om firewalls og andre tekniske tiltag. Lær i stedet brugerne at anvende en PC på internettet. Selv ikke den bedste billås kan holde biltyve ude, hvis den ikke bliver brugt - men hvem i alverden ville også forlade bilen ulåst midt på Nørrebrogade? ;o)
En timeout, som keysersoze foreslår, vil dog kunne dæmme op for de mest PC-handicappede =)
Ok - men det er vel alligevel bedst at være mest mulig sikret for uvedkommende indtrængen :-) Så jeg tænkte, at man måtte kunne stille et eller andet op - også ud over timeout.
Det lyder ikke til at der umiddelbart er nogle tiltag, men hvis der kommer nogle op hen ad vejen, hører jeg stadig meget gerne om dem.
Det er sandsynligt, der gør det. Løsningen på problemet indbrud har alle dage været at lukke og låse døren. Lader man døren stå åben, er der fri adgang - og det bliver der nok ved med at være ;o)
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
