Diit.cz - Novinky a informace o hardware, software a internetu

Jak jsem byl navržen k vypnutí

Poslyšte příhodu lyricko-epicko-webově-bezpečnostní…
blog
i-logout.cz - hacked by…

Pět dní tomu nazad, co mi v mailu přistál od administrátora mého poskytovatele virtuálního serveru e-mail následujícího znění:

Dobrý den,

web, který provozujete (i-logout.cz) byl dle http://support.clean-mx.de/clean-mx/portals.php?email=abuse@wedos.com&response=alive napaden. Toto napadení, svědčí o tom, že redakční systém, který používáte, v sobě má bezpečnostní díru. Ta byla aktuálně využita pouze proto, aby byl na server přes PHP nahrán obsah upozorňující na tuto skutečnost. Žádáme Vás proto, aby jste chybu neprodleně odstranili. Pokud tak neučiníte, budete vystaveni nebezpečí, že Vaši službu odstavíme.
To se může stát, když bude na webhosting nahrán skript pro UDP útoky, spamming nebo phishing.

Děkujeme za pochopení,

Letmý pohled na linkovaný web objasnil, že toto obvinění se týká stránky http://i-logout.cz/index.php?page=hacked%20by%20microsoft-Dz, u které někdo dle „závadného“ textu v URL, tagu <title> nebo jiného výskytu na stránce usoudil, že stránka byla hacknuta. Pojal jsem podezření, že jde o falešný poplach. Na svém soukromém webu totiž provozuji wikisystém LionWiki, který funguje tak, že jakákoliv hodnota parametru page je vytvořena jako nová stránka a nabídnuta k editaci. Tuto editaci lze uložit jen pod heslem, které mám jen já. Pro jistotu jsem prověřil data v adresářové struktuře (nejde o wiki pracující s databází) a když jsem ani tam nic nenašel, zahrál jsem si na nechápavého a poslal adminovi odpověď:

Dobrý den,

nejsem si zcela jist že tomu dobře rozumím, ale datum v linkované
tabulce je přes rok staré a na odkazu, který je v ní uveden nemám
nahráno vůbec nic, natožpak nějaký hacknutý obsah. Pokud to špatně
chápu, prosím o upřesnění, moje telefonní číslo je 724XXXXXX.

Děkuji,

Myslel jsem si, že admin pochopil, protože se mi dostalo velmi promptní odpovědí, z níž jsem nabyl pocitu jistoty a bezpečí:

Dobrý den,

pro mě je spíše matoucí proč se tam ten záznam visí. Pokud jste si jist tím, že na webu problém není, tak to berte jako vyřízenou věc. Kdyby se něco dělo, budeme Vás informovat.

Děkujeme za spolupráci,

Přesto ale jako u každého, kdo ví, že technologie nejsou dokonalé, u mě drobný červíček podezření zůstal, takže jsem zareagoval odpovědí:

No já si tím jist nejsem, když se ale přes FTP podívám na obsah (jde o
nedatabázovou wiki), tak tam kromě mého nic není. Taktéž stránka,
která se otevře po kliknutí je prázdná, připravená k vytvoření. Čili
nevím, zda nedělám něco špatně, ale já tam potíž nevidím.

Doufal jsem, že takto formulovaný e-mail třeba admina přiměje k tomu, aby se problémem více zabýval, má-li k tomu nějakou motivaci. Doufal jsem ale celkem marně. Místo produktivní konverzace v započatém stylu mi po víkendu přišel další mail:

Dobrý den,

Váš webhosting na VPS je napaden. Detaily se dozvíte v přiložené zprávě. Očekáváme od Vás odstranění tohoto problému, zamezení jeho opakování a popis všech kroků, které jste proto učinili. Tento popis nám zašlete jako odpověď na tento email. Pokud tak neučiníte, budeme nuceni Vaši službu odstavit

Jsem si vědom toho, že jsme si nedávno opět psali. Kontrola Vašeho webu však proběhla 25.7.2012 s negativním výsledkem.

S přáním hezkého dne,

Přiložená zpráva zněla:

This is an automated email alert; please do not reply to this email as replies will not be answered. To get in contact with us, use the links and contact details, mentioned in the text below instead!

************************************************************************

TO WHOM IT MAY CONCERN:

The security experts of cyscon GmbH like to ask you to remove/review the below mentioned file from/on your servers. At least one of our scanners detect it, and we consider it as malicious:

#########################################################
# begin logs

IP: 46.28.108.225
URL: http://i-logout.cz/index.php?page=hacked%20by%20microsoft-Dz
Port: 80
Tested on: Wed, 25 Jul 2012 09:17:30 +0200
Result: CYSC.HTML.DEF.8

# end logs
#########################################################

Tedy naprosto stejná písnička, navíc opepřená tím, že uvedená kontrola ze dne 25.7.2012 se odehrála jeden kalendářní den před naší původní konverzací, čili prakticky vůbec nic nového nepřinesla. Na mém virtuálním serveru je můj vlastní web docela nepodstatný, mnohem více by mě mrzelo vypnutí VPS jako celku, protože tam jede i tento blog (s řádově 30x vyšší návštěvností), blog Factora6, je na něm hostováno několik Google gadgetů, mám tam videocast který je v iTunes atd. Proto jsem zareagoval zazálohováním a smazáním celého wikisystému. Jelikož mě ale nepotěšil podle mě docela konfrontační podtón mailu, odpověděl jsem s trochou sarkasmu:

Dobrý den,

sice stále nesouhlasím, protože odkazovaná stránka prostě v mém
redakčním systému neexistuje, jak bylo možné se přesvědčit prostým
kliknutím na odkaz, ale vyřešil jsem problém smazáním celého
redakčního systému, abych předešel dalším výhrůžkám odstavení VPS.

Nevím, co je podstatou oné „kontroly“ zabezpečení mého webu, ale pokud
jde o to, že nějaký skript automaticky doplňuje do URL text
„hacked%20by%20microsoft-Dz“ pak v případě wikisystému jde o zjevný
nesmysl, neboť každý text doplněný za querystringový parametr page=
zakládá novou stránku připravenou k editaci, ovšem pro její uložení je
nutné zadat mé, poměrně bezpečné heslo. Zároveň opakuji, že systém
nevykazoval žádné znaky toho, že by do něj kdokoliv jakkoliv zasáhl,
jsem ochoten zaslat všechen obsah k analýze. Použitý wiki systém
neumožňuje nahrávání souborů, pouze zadávání textu, v němž není
dokonce možné ani používat html tagy.

Doufám, že vzhledem k faktu, že se na mém webu nachází momentálně
pouze úvodní stránka Apache, nebude už tato „kontrola“ hlásit problém.

S pozdravem,

Sarkasmus se asi minul účinkem, protože jsem dostal velmi strohou reakci, která mě přinutila otevřít ústa a nebylo to kvůli výborné odpolední kávě:

Děkujeme za vstřícnou reakci. Osobně přesně nevíme, na základě čeho byla Vaše stránka takto vyhodnocena. Pokud by jste měl zájem o další informace, konzultujte to prosím přímo s cyscon.de.

Děkujeme za pochopení,

Chápu to tedy dobře, že já – platící zákazník – jsem byl na základě informace německé společnosti (se kterou nemám nic společného a nemám s ní žádný smluvní vztah) propasírované adminem s plurálem majestaticus vyzván k jednání a odstranění neexistujícího problému, jehož podstatu vyzyvatel nechápe? No, tedy napíšeme do Německa!

Hello,

my hosting provider – has informed me on basis of your
e-mail, that my site is infected. As they threatened me to shutdown my
website, I want explanation directly from you, original author of that
security warning. The original mail is quoted on the end of this
message.

Let me ask – what was the basis of this warning? Was it solely
presence of string „hacked%20by%20microsoft-Dz“ in my URL? Because I
run a wiki site on my web (or I had runned until today) and this wiki
automaticaly accepts whatever is after querystring parameter page.
Link you provided, directed to blank empty page with editation form and
since nobody else has my password, nobody else could do there any
harm. My wiki system even did not supported uploading of files, so no
harmful code could have been uploaded and indeed – none was found in
directory containing all content of my site.

So again – can you, please, explain to me, how was page
http://i-logout.cz/index.php?page=hacked%20by%20microsoft-Dz harmful?
Because I had to delete my website to prevent your warnings and it
will take my precious time to restore it with other software.

Sincerely,

Popravdě nečekal jsem odpověď a už jsem byl smířen s prohrou jednotlivce vůči levné hostingovce, kde jednotlivec může maximálně mlčet a akceptovat co mu za ty prachy nabídnou. Ovšem Němci odpověděli během necelé minuty a byl jsem vyzván k obnovení webu za účelem prověření security warningu. Učinil jsem tak a pro jistotu to oznámil i adminovi. Za dalších pár minut jsem dostal tento mail:

Hi,

ok, this is a false positive. The problem was the string in the title, not the url. We have reworked this pattern.

Thank you for your feedback!

Sláva, měl jsem od počátku pravdu, ostatně nedalo až tolik mentální námahy se k tomuto dobrat i bez přístupu k zdroji redakčního systému, sám jsem se do něj nepodíval ani jednou, s výjimkou úplně počátečního pohledu do adresářové struktury a i ten byl jen pro úplné uklidnění. Oznámil jsem to adminovi a čekal alespoň nějakou sympatickou odpověď. Marně:

Je těžké posoudit z naší strany, zda na stránce není nějaký exploit. U VPS nemáme přístup ke zdrojovým kódům a i kdybychom měli, tak se v nám neznámém redakčním systému hledá díra opravdu těžko. V rámci našeho postupu jsme kryti, pokud by došlo k případným problémům. Pokud s námi zákazník komunikuje, nemusí se obávat, že bychom mu službu vypnuli. Upozornění posíláme několik a ve finále píšeme i smsky.

S přáním hezkého dne,

Nevím, jaký je byznys plán této společnosti, jaká je interní metodika vyhodnocování bezpečnostních hrozeb. Fandím jim, postavit na zelené louce velké hostingové centrum chtělo odvahu, nabídnout dobré ceny chtělo ještě větší. Nicméně myslím, že admin by minimálně už po první konverzaci mohl provést ono ověření v Německu sám. Takto se celá komunikace odehrávala ve stylu „Nevím proč, ale společnost, po které vám nic není, tvrdí, že máte někde chybu. Já tomu sám nerozumím, ale něco s tím dělejte, jinak bude zle.“
Naštěstí šlo jen o soukromý web, nejsem společnost, která na webu závisí svoji podnikatelskou činností a která by měla s řešením jistě vyšší náklady než hodinu čistého času z života jednoho člověka.

Každopádně, pokud se něco takového stane i vám, klidně adminovi pošlete odkaz na tento článek. Nedejte se, ptejte se, když někdo tvrdí, že je někde problém, měl by to být schopen doložit a pokud možno doložit lépe než odkazem na německý web. Takových webů si za víkend založím 128 a všechny budou tvrdit, že wedos.com obsahuje škodlivý kód. Smažou se pak admini sami?

(Původně vyšlo na blogu autora - blog.i-logout.cz.)

Další články na podobné téma:

Server diit.cz je nebezpečný, říká Norton Safe Web. Nemá pravdu (26. 2. 2010)

Odpověď firmy Symantec na problém s vyhodnocením serveru diit.cz (9. 4. 2010)

Tagy: 

Martin "logout" Kukač

Většinu dne trávím tím, že přeměňuju kofein na kód. Když s tím skončím a ještě není čas jít spát, tak zbylý čas nerovnoměrně dělím mezi rodinu, sbírku počítačového harampádí, vysílání na volně přístupných pásmech a geocaching.

Blog

více článků, blogů a informací o autorovi

Diskuse k blogu Jak jsem byl navržen k vypnutí

Neděle, 7 Říjen 2012 - 07:28 | Josef Grill | Dobrý den, pokud jde o cenu, tak my máme jasně...
Pátek, 10 Srpen 2012 - 16:07 | Bullhead Bullheadovič | Upřimně. BACHA NA WEDOS! Cena není vše. Byl jsem...
Čtvrtek, 9 Srpen 2012 - 08:25 | Paxan | Sám se stavím na stranu tvůrce článku, to jak se...
Středa, 8 Srpen 2012 - 10:58 | ANDREW | .. oboji .. ..a v lokalite se konkurence zatim...
Středa, 8 Srpen 2012 - 10:51 | mikeczcom | k posledni vete, jo to dela. u jednoho naseho...
Středa, 8 Srpen 2012 - 10:50 | mikeczcom | Nevím jak ostatní, ale takový ISP by v mém...
Středa, 8 Srpen 2012 - 10:49 | ANDREW | .. jeste tady dodatek .. stupidita administratora...
Středa, 8 Srpen 2012 - 10:44 | ANDREW | .. tak tohle se mi stalo neco podobneho taky...
Čtvrtek, 2 Srpen 2012 - 22:01 | Luboš | Možná ti to nedošlo, ale tento web je určený...
Čtvrtek, 2 Srpen 2012 - 15:45 | BTJ | No tak jasne, ale nastesti se to vyresilo. Proste...

Zobrazit diskusi