Forum członków i sympatyków PTTK
login:  
hasło:  

Skompromitowane hasła w domenie PTTK

Autor: Łukasz Aranowski [213.241.35.242]
Data: 2021-03-22 09:56:53
Tematyka: PTTK w internecie

Cześć.

W ostatni weekend po nieudolnych i niekompetentnych działaniach admina serwera PTTK zostały skompromitowane hasła w domenie PTTK. Na skutek błędów w konfiguracji SSL-a po wejściu na stronę Oddziału Międzyuczelnianego PTTK w Warszawie za pomocą protokołu HTTPS zamiast za pośrednictwem interpretera PHP serwowane były bezpośrednio pliki z kodem w wersji tekstowej. Oznacza to, że można było obejrzeć cały kod Wordpressa na którym stoi strona oddziału łącznie ze wszystkimi hasłami - również do bazy danych.
strona_om_pttk_pl_kod_01.png
Efekt wejścia pod adres https://om.pttk.pl/ (2021-03-21)

Po wejściu na stronę Chromem kod wyświetlał się od razu. Po wejściu Firefoksem - trzeba było podejrzeć źródło strony (CTRL+U). Dwie minuty wystarczały aby dotrzeć do plików konfiguracyjnych wp-config.php i innych.
strona_om_pttk_pl_kod_03.png
Plik konfiguracyjny z hasłem do bazy danych OM (2021-03-21)

Nie wiem jakie są rozmiary awarii. Czy dotyczy ona jednej poddomeny, czy wszystkich? Czy zostały narażone dane osobowe? W normalnej sytuacji należałoby natychmiast wyłączyć serwery WWW oraz bazodanowy i zaudytować problem, co pozwoliłoby oszacować szkody. Ale w PTTK nie ma normalnych sytuacji...

Awaria została zauważona w niedzielę 20 marca o godzinie 18:22 przez jednego z forumowiczów (mam nadzieję, że dostanie on oddzielnym kanałem podziękowania od władz oddziału) i zgłoszona do mnie. Jak tylko odczytałem maila, dzięki szybkiemu wsparciu dwóch kolegów i za ich pośrednictwem (dzięki!) powiadomiłem aktualne władze Oddziału Międzyuczelnianego PTTK w Warszawie oraz Prezydium ZG PTTK. Ostrzegłem wszystkich, że należy działać błyskawicznie.

W chwili gdy piszę tego posta jest ranek następnego dnia. Minęła cała noc, biuro ZG pracuje od prawie dwóch godzin.
I wiecie co?
Wszystko jest jak było. Baza danych nie została wyłączona, usterka nie została naprawiona, komunikatu w tej sprawie nie wydano.
Jednym słowem: "trwanie i kontynuacja".

Miałem poczekać z publikacją tego posta na usunięcie awarii. Ale skoro wszyscy mają to w dupie, to czemu ja miałbym nie mieć? W sumie - nie mój cyrk, nie moje małpy. Nie będę nawet zamazywał haseł na zrzutach ekranu - w końcu i tak każdy może sobie wejść i sam je odczytać.

Z pozdrowieniami,
Łukasz Aranowski
--
Łukasz Aranowski
Strona domowa: http://www.mendel.pl/
Facebook: https://www.facebook.com/laranowski

Skompromitowane hasła w domenie PTTK - cały wątek

wszystkich wiadomości w wątku: 3
data najnowszej wiadomości: 2021-04-02
pokaż wszystkie wiadomości

Skompromitowane hasła w domenie PTTK Autor: Łukasz Aranowski
Re: Skompromitowane hasła w domenie PTTK Autor: Łukasz Aranowski
 └Re: Skompromitowane hasła w domenie PTTK Autor: Amotolek