Forum członków i sympatyków PTTK
login:  
hasło:  

Zgłoszenie do moderatora

Jeżeli uważasz, że ta wiadomość łamie regulamin naszego forum lub netykietę albo w inny sposób narusza zasady dyskusji - zgłoś to do moderatora.

Zgłaszana wiadomość

Temat: Skompromitowane hasła w domenie PTTK
Autor: Łukasz Aranowski
Data: 2021-03-22 09:56:53

Cześć.

W ostatni weekend po nieudolnych i niekompetentnych działaniach admina serwera PTTK zostały skompromitowane hasła w domenie PTTK. Na skutek błędów w konfiguracji SSL-a po wejściu na stronę Oddziału Międzyuczelnianego PTTK w Warszawie za pomocą protokołu HTTPS zamiast za pośrednictwem interpretera PHP serwowane były bezpośrednio pliki z kodem w wersji tekstowej. Oznacza to, że można było obejrzeć cały kod Wordpressa na którym stoi strona oddziału łącznie ze wszystkimi hasłami - również do bazy danych.
[plik:74]
Po wejściu na stronę Chromem kod wyświetlał się od razu. Po wejściu Firefoksem - trzeba było podejrzeć źródło strony (CTRL+U). Dwie minuty wystarczały aby dotrzeć do plików konfiguracyjnych [b]wp-config.php[/b] i innych.
[plik:75]
Nie wiem jakie są rozmiary awarii. Czy dotyczy ona jednej poddomeny, czy wszystkich? Czy zostały narażone dane osobowe? W normalnej sytuacji należałoby [u]natychmiast[/u] wyłączyć serwery WWW oraz bazodanowy i zaudytować problem, co pozwoliłoby oszacować szkody. Ale w PTTK nie ma normalnych sytuacji...

Awaria została zauważona w niedzielę 20 marca o godzinie 18:22 przez jednego z forumowiczów (mam nadzieję, że dostanie on oddzielnym kanałem podziękowania od władz oddziału) i zgłoszona do mnie. Jak tylko odczytałem maila, dzięki szybkiemu wsparciu dwóch kolegów i za ich pośrednictwem (dzięki!) powiadomiłem aktualne władze Oddziału Międzyuczelnianego PTTK w Warszawie oraz Prezydium ZG PTTK. Ostrzegłem wszystkich, że należy działać błyskawicznie.

W chwili gdy piszę tego posta jest ranek następnego dnia. Minęła cała noc, biuro ZG pracuje od prawie dwóch godzin.
I wiecie co?
Wszystko jest jak było. Baza danych nie została wyłączona, usterka nie została naprawiona, komunikatu w tej sprawie nie wydano.
Jednym słowem: [b]"trwanie i kontynuacja"[/b].

Miałem poczekać z publikacją tego posta na usunięcie awarii. Ale skoro wszyscy mają to w dupie, to czemu ja miałbym nie mieć? W sumie - nie mój cyrk, nie moje małpy. Nie będę nawet zamazywał haseł na zrzutach ekranu - w końcu i tak każdy może sobie wejść i sam je odczytać.

Z pozdrowieniami,
Łukasz Aranowski

Formularz zgłoszenia

Przedstaw się
Podaj swój e-mail
Wpisz rok założenia PTTK
zabezpieczenie antyspamowe
Uzasadnienie
Dlaczego zgłaszasz tą wiadomość?