Informacijos apsauga .LT » Blog Archive » Administravimo aplinkos apsauga
Administravimo aplinkos apsauga
2008-10-30 13:36 parašė Audrius
1 Star2 Stars3 Stars4 Stars5 Stars (13 votes, average: 3.85 out of 5)
Loading ... Loading ...

Kažkaip tik dabar atkreipiau dėmesį, kad tinklaraštį rašau jau daugiau nei metus. Planas buvo rašyti maždaug kartą per savaitę. Tačiau vidurkis rodo, kad rašau rečiau. Taip pat atkreipiau dėmesį, kad per mažai rašau apie apsisaugojimo priemones. Tad šis įrašas bus skirtas tinklaraštininkų bendruomenei, kuri rašo dažniau už mane. Kaip pavyzdį naudosiu Wordpress platformą. Žinoma, rašysiu apie paprastas, tačiau efektyvias apsaugos rekomendacijas, kadangi jau anksčiau minėjau, kad šiame blog’e nerašysiu apie sudėtingus ir labai techninius dalykus.

Kiekvienoje turinio valdymo sistemoje (toliau - TVS) yra administravimo aplinka. Paprastai ji yra apsaugota prisijungimo vardu ir slaptažodžiu. Kaip pavyzdį šiame įraše naudosiu tarp tinklaraštininkų populiarią TVS Wordpress. Wordpress’e tokia aplinka būna adresu http://www.***.lt/wp-admin. Pvz. http://www.nezinau.lt/wp-admin. Daugelyje TVS’ų administravimo aplinka pasiekiama tiesiog “admin”, “admin.php”, “administrator” ar panašiais adresais, todėl net ir nežinant TVS’o, tą aplinką aptikti nebūna sunku. Žmonės nuspėjami, programuotojai irgi. :D

Paprasčiausias “laužimas”, kurį galima čia padaryti, tai atspėti autoriaus slaptažodį. Ne, nereikia to daryti rankiniu būdu. Tą galima automatizuoti. Šiek tiek paieškojus, internete galima rasti jau paruoštų slaptažodžių parinkimo priemonių šiai sistemai. Pvz., kad ir šis bash skriptas. Kodas visiškai neilgas, daugiau nei pusę jo sudaro komentarai ir visoks bereikalingas teksto išvedimas į ekraną ir t.t. Tad esminė funkcija yra vos kelios eilutės. Kaip supratot, kažką analogiško parašyti bet kuriam TVS’ui taip pat nebūtų sudėtinga.

Parinkinėjant slaptažodžius reikia dviejų dalykų. Pirmas jų - galimi slaptažodžiai. Tai gali būti iš anksto paruoštas populiarių slaptažodžių žodynas ar parinkinėjimo metu kažkokios generuojamos reikšmės ir pan. Minėtam skriptui reikia pateikti failą su galimais slaptažodžiais. Antras dalykas, kurį reikia žinoti, yra vartotojo vardas, kuriam bus parinkinėjami slaptažodžiai. Jei jis nežinomas, tai slaptažodžius galima parinkinėti kiek nori ir vis tiek nepasiseks. Bet čia jus galiu nuraminti, nes ir šiuo atveju žmonės yra nuspėjami. 90% atvejų TVS’uose bus sukurtas vartotojas vardu “admin” arba “administrator”. Kai kuriose sistemose galima patikrinti ar egzistuoja toks vartotojas neprisijungiant prie sistemos ir nežinant vartotojo slaptažodžio. Tokia sistema yra ir Wordpress. Einam į administravimo aplinką ir į vartotojo vardo vietą įvedam bet ką.

image

Bandom prisijungti ir gaunam tokį rezultatą.

image

O jei į vartotojo vardo vietą įvesim “admin”, tai klaidą gausim jau visiškai kitokią.

image

Štai tokiais paprastais metodais pats Wordpress išduoda, kad vartotojas “admin” iš tiesų yra sukurtas sistemoje ir yra aktyvus. Pasinaudodami klaidų pranešimais susirenkam mums reikalingą informaciją. Galim patikrinti kelis kitus tinklaraščius.

www.nezinau.lt - vartotojas “admin” egzistuoja.

www.zudykreklama.lt - vartotojas “admin” egzistuoja.

www.slave.lt - vartotojas “admin” egzistuoja.

www.pragarovirtuve.lt - vartotojas “admin” egzistuoja.

www.zilionis.net - vartotojas “admin” egzistuoja.

www.marketer.lt - vartotojas “admin” egzistuoja.

blog.programisiai.lt - vartotojas “admin” egzistuoja.

ir t.t. Ne visuose populiariuose tinklaraščiuose šis vartotojas aktyvus, tačiau didesnėje dalyje Wordpress’inių tinklaraščių jis aktyvus. Belieka imti minėtą skriptą ir pradėti parinkinėti slaptažodžius. Manot tokia “žiopla” galimybė gali būti tik visokiose nemokamose TVS kaip Wordpress ir pan.? Galiu pateikti kitą pavyzdį. Na, kad ir su interneto vardų registratoriumi www.domreg.lt. Einam į užsakovo sritį ir bandom bet ką.

image

O pabandom su “admin” ir gaunam jau kitą klaidą.

image

Taigi, sėkmingai parinkinėti vartotojų vardus galima ir čia. O žinant tikrai egzistuojantį vartotoją sistemoje, jau ir tikimybė gauti reikiamą rezultatą kur kas didesnė.

Nuo slaptažodžių parinkinėjimo apsaugos priemonių yra įvairių. Pvz. tam pačiam Wordpress’e galima įsidiegti plug-in’ą Login LockDown ir būti pakankamai ramiam. Tačiau jei naudojate ne Wordpress platformą, tai tokių įskiepių jai gali ir nebūti. O jei dar turite ir daug vartotojų, besijungiančių prie administravimo aplinkos ir negalite būti tikras dėl jų slaptažodžių sudėtingumo? Ką daryti tuomet? Tuomet tiesiog apribokite prisijungimą prie administravimo aplinkos tik iki tam tikrų IP adresų. Juk prie tos aplinkos dažniausiai jungiatės iš darbo ar namų. Wordpress atveju, kataloge “wp-admin”, reikia sukurti failą “.htaccess”. Tai katalogo taisyklių failas Apache serveriui. O jame įrašykite tokias eilutes:

order deny,allow
deny from all

allow from 111.222.333.444

allow from 444.333.222.111

Žinoma, vietoje 111.222.333.444 ir 444.333.222.111 turite įrašyti IP adresus, kuriems priėjimas turi veikti. Viskas, tik tiek. Net ir žinant prisijungimo duomenis pasinaudoti administravimo aplinka nepavyks bet kam, nes “wp-admin” turinys pasiekiamas bus tik nurodytiems IP adresams. Tokiu būdu blokuoti galima bet kurių TVS katalogų turinį, po kuriuos kitiem landžioti nevalia. Apie kitas “.htaccess” taisykles informacijos internete pilna net ir lietuviškai. Tikrai susirasit. Metodas paprastas, tačiau jūsų tinklaraščius ir tinklalapius iš karto padarys saugesniais. O jei jus domina, tai prie Wordpress saugumo didinimo bus galima sugrįžti ir vėliau.

» Temos: Apsauga, Gerietis
» Žymėtis: kaip.tik.ten :: topix.lt :: del.icio.us

Įrašo gairės:

« Nulaužtas tinklalapis ;)    ::    Labiausiai pažeidžiamos 2008 metų programos »

Komentarai
  1. 2008-10-30 14:04 niekonepazystu rašė:

    su tuo .htaccess tikrai neblogai sugalvota, pasidarai, kad tik is namu galetum prisijungt ir sedi ramus:)

  2. 2008-10-30 15:20 Aivaras rašė:

    O jeigu kartais nori prisijungti netik iš namų? Arba IP kintantis? O kadangi parodei tą skriptą dabar bus krūva bandymu “nulaužt” populiariausius blogus

  3. 2008-10-30 15:26 niekonepazystu rašė:

    @Aivaras
    nu jei nori ne tik is namu tai pasidarai ir is darbo:) o jei nori is bilekur jungtis, tai aisku kad netiks, bet daznai ir nera reikalo, o su dinaminiu ip tai nekas turbut :)

  4. 2008-10-30 15:52 tomas rašė:

    galima nusistatyti, kad būtų rodoma ne tik tam tikram IP, o kad reikalautų slaptažodžio.

    šiaip labai geras dalykas gaminant administravimo sistemos prisijungimą mesti klaidą “blogas prisijungimo vardas ir/ar slaptažodis” ir tada jau žinok ką tetaip parašei

  5. 2008-10-30 15:56 Audrius rašė:

    Jei IP dinaminis, tuomet galima įrašyti, kad priėjimas būtų tik iš tam tikro IP adresų rėžio. Tokiu atveju nerašomas paskutinis IP adreso skaičius. Pvz. 111.222.333.
    Tuomet priėjimas liks tik tavo interneto tiekėjo klientams.

  6. 2008-10-30 15:59 Audrius rašė:

    Aivarai, tie kas supras kaip pasinaudoti tuo skriptu, turbūt gali tokį pasirašyti ir patys. Pats blogiausias apsaugos būdas yra tiesiog tikėtis, kad niekas ko nors nežinos ir dėl to tai bus saugu. :)

  7. 2008-10-30 17:12 Armandas rašė:

    Jo, security through obscurity nėra pats geriausias variantas :)

  8. 2008-10-30 19:22 bal rašė:

    Kalbant apie prisijungimą prie adminstratoriaus aplinkos, Lietuvoj galima ir su senoviniu ‘ or 1=1 prisijungti :)

  9. 2008-10-30 21:13 Nesaugūs tinklaraščiai : nežinau.lt rašė:

    [...] Informacijos apsauga rašo, kad šis jūsų skaitomas ir daugelis kitų tinklaraščių, rašomų Wo…. Na, tai savaime aišku. Šiuo atveju bent jau pataisyti galima sąlyginai neskausmingai. Dėl dinaminio IP negaliu riboti prieigos pagal adresus, bet bent jau galiu įsidėti kokį papildomą įskiepį saugai… [...]

  10. 2008-10-30 22:35 Tomas Markauskas rašė:

    Vietoj IP adreso galima būtų nurodyt pvz. dyndns adresą ar kokį kitą, kuris net ir keičiantis IP adresui išlieka pastovus. Pvz.:

    Allow from petro-namai.dyndns.org

  11. 2008-10-31 01:21 Tomas rašė:

    “šiaip labai geras dalykas gaminant administravimo sistemos prisijungimą mesti klaidą “blogas prisijungimo vardas ir/ar slaptažodis” ir tada jau žinok ką tetaip parašei”

    Saugumo požiūriu taip, usability - nelabai

  12. 2008-10-31 21:54 mykolas rašė:

    Kaip ta sc sugeniruoti?
    bl, ten daug klaidu nera net kintamuju. Gal ir galima kaip nors sutvarkyti. padekit. O gal ka googlej parasyt. PLz padekit, nes mano wordpress acounta istryne dabar noriu atsikersiti. Tas zmogus naudojo ta pati koda.

  13. 2008-11-03 00:27 Dovilė rašė:

    Nereikia tyčiotis iš namų šeimininkių - joms nepriklauso žinoti visokių tokių apsaugos priemonių. Bent jau nereikėjo tol, kol norą nulaužti blogą turėjo vos keletas pyragus sudeginusių skaitytojų. O dabar taip negailestingai paviešinai mano blogo pažeidžiamumą.. Negana, kad nemiegosiu pusę nakties nerimaudama dėl jo saugumo, tai dar ir jo techninę pusę prižiūrintis asmuo gaus prašymą padirbėti.

  14. 2008-11-03 01:39 Audrius rašė:

    Dovile, nereikia suprasti klaidingai. Tai nėra pažeidžiamumas. Kad galima vienais ar kitais būdais susirinkti informaciją apie kažką, tai dar nereiškia, kad bus galima ir nulaužti. Pakaks, jei įsidiegsi “Login LockDown” ir eisi ramiai miegot. :)

  15. 2008-11-03 11:18 Dovilė rašė:

    Login LockDown įdiegtas. Dabar aš saugi namų šeimininkė :))

  16. 2008-11-04 21:55 Justinas rašė:

    Geras post’as apie WP sauguma, nieko sudetingo, bet patarimai vertingi. Buciau dekingas jei apie WP sauguma parasytum ir daugiau.

  17. 2008-11-05 18:43 Jei silpna širdis nespausk rašė:

    Na dėkui už straipsnį :-P

  18. 2008-12-12 15:47 Profas rašė:

    Šaunus straipsnelis, reikės būtinai pasinaudot šitais patarimais. :-)


Palikite komentarą