Vlákno názorů k článku Čistění napadeného WordPressu: jak jsem hledal a vyhodil útočníka z webu od miho - Napínavé čtení. V databázi WP je spousta míst,...

Napínavé čtení. V databázi WP je spousta míst, kam se dá ledacos schovat. Obnova stavu před napadením ze zálohy by byla jistější. Kontrolovali jste alespoň články zda tam není nějaká škodná? A jak to dopadlo s tím adminem, který zanedbal aktualizace? Byl propuštěn pro hrubé porušení povinnosti, nebo přišel o prémie? Nebo, jak to tak u státních zaměstnanců bývá, žádné důsledky vyvozeny nebyly?

> Obnova stavu před napadením ze zálohy by byla jistější.
Urcite jistejsi, a mozna i rychlejsi ;-)

Souhlas. A pokud by někdo mermomoci chtěl čistit, tak to chtělo mít něco, co umí detekovat změněné souvory, třeba wazuh - https://wazuh.com/blog/how-to-perform-wordpress-security-assessment-with-wazuh/

Články kontrolovali, bylo to v pořádku. Napadení bylo hodně staré takže čisté zálohy byly už přepsané.

Kdyby měl být vyhozen každý kdo zanedbává aktualizace tak by v žádné firmě/organizaci nikdo nezbyl. Soukromé firmy, jako dodavatelé, jsou na aktualizace ještě horší.

Nejtěžší pro mě bylo neaktualizovování aplikací akceptovat jako fakt se kterým se nedá nic dělat. Podobně jako dodržování dopravních předpisů.

Jako společnost jsme se stali závislími na internetu, ale neumíme ho bezpečně provozovat.

16. 1. 2024, 07:30 editováno autorem komentáře

Se soukromou firmou jako dodavatelem ma mit odberatel smlouvu ve ktere je definovana odpovednost. Neaktualizujes a napadnou nas? Neses naklady. Ze na to spousta firem a instituci prdi je bezne.

Smlouvu píše většinou dodavatel a rozhodně tam nedá nic co by ho položilo.

Tohle je hezká akademická teorie.
V praxi to dopadne tak, že dodavatel prohlásí, že supportuje tuhle verzi, a pokud zákazník trvá na časté aktualizaci, tak tady je nacenění, náš zákazník náš pán.
Načež milý kravaťák si uvědomí, že za tu cenu těžko budou prémie za znížení OPEXu, a tak podepíše bez aktualizací. Bohužel.

Pak je dobre dat do smlouvy upozorneni a vzdani se zodpovednosti.

Nedelal bych si iluze. Pokud to byl web nejake vyzkumne skupiny nebo predmetu, tak tak na 90% nic jako admin webu neexistuje a ten wp spis instaloval clovek, pro ktereho je to tak na hrane jeho schopnosti a je rad, ze to vubec rozjel. Chtel byste snad vyhodit vyzkumnika nebo ucitele za to, ze neumi spravovat wp?

Ano, pro takove pripady by bylo lepsi mit centralni instalaci wp, za kterou uz by skolni ajtak zodpovidal. Ale vime, jak je to s penezi na skolach. Ne, ze by nebyly, ale malokdy maji spravne barvicky, aby se daly pouzit prave na to, co je zrovna potreba.

Jsem celkem zvedavy, jaky dopad v tomhle smeru bude mit na skoly nis2. Ale treba u nas na CVUT jsme ani na nis2 cekat nemuseli, stacil jisty podzimni incident a najednou se zakazuje ssh pristup ze sveta a dalsi podobne lahudky, ktere sice lidem usnadnovaly zivot, ale dlouho jsem si rikal, jak je to bezpecnostne udrzitelne...

Když to neumí, tak ať outsourcuje. SaaS WP na custom doméně stoji 85Kč na měsíc.

Presne. Ale kde tech 85 Kc vzit, kdyz z grantu vam je casto nikdo na tohle neda a z penez na skolni pomucky se to taky zaplatit neda?

Ale jinak uznavam, ze spravne pojata skolni sit by spis mela nabidnout tu centralni spravu wp. Na katederni/fakultni urovni uz by se z toho stal normalni naklad na IT. Ale na urovni jednotlivcu/skupin se to resi blbe.

Jednotlivci by nemeli mit wordpress web kdyz to neumi, pak se muzeme bavit o zneuziti univerzitnich prostredku k ucelum ktere nejsou v grantu. Pokud jsou v grantu tak se ty penize v grantu na to najdou.

A tam se to nemusi aktualizovat? Kdyz pominu ze WP je jak reseto derave setrvale, tak aktualizace cehokoli typicky vzdy neco rozbije. V pripade WP je to pak spis pravidlo. Pak se neni cemu divit, ze spousta tech, kteri by to potencielne udrzovat mohli, od toho da s radosti ruce pryc, protoze to vedi.

zjavne netusite o com hovorite.

Ono je to jednoduche:
- ak chcete zosobnovat nedostatky zamestnanca, tak jednoducho musite platit viac zakladnu mzdu
- a sucasne zavediete brutalnu byrokraciu

Nikto sudny uvedene dve veci nechce, takze pokial mozno sa take nekona.

Prosim ukazte mi univerzitu kde plati zamestnancum v IT zakladni mzdu. Ze nekdo jde do univerzitniho prostredi delat za min penez muze byt kvuli absenci stresu, pracovni dobe, dostupnosti, atd.

Správce toho webu pravděpodobně nebyl IT pracovník. IT pracovník jen řešil důsledek - to napadení.

Tahle snaha se hnedka povozit po adminoj je hrozně úsměvná a nechápu, jak může nasbírat tolik palců. Pominuli, že šlo o nějaký side web pro jeden z mnoha projektů, které na té univerzitě běží, tak bych tě chtěl vidět třeba v nějaké firmě, kde ti napadnou web a ty se rozhodneš vyvodit důsledky na člověku co to instaloval.

Ten totiž obratem přestane řešit tebe a začne si hledat novou práci. Ty se ze dne na den ocitneš bez admina a protože ses zachoval jak si se zachoval, tak s ním ztratíš i část informací jak o tomhle systému tak o dalších, na které někdy sáhl. Přitom celou dobu je problém v tom, že si špatně definoval co vlastně chceš a nenastavil kontrolní procesy, které by tomu zabránily. Tohle je přesně ten důvod, proč se práce v malé firmě může stát peklem. Ve vedení se tam překrývají role, ideálně všechno řídí majitel a některé oblasti jsou pak prostě pokryté bez zkušeností a bez naděje to změnit.

Jenze ono neni treba nic pomijet ...

Vykopnuty za to nema byt admin, ale ten kdo za to odpovida = dekan/rektor.

A terpve kdyz od nadevsi pochybniost prokaze, ze delegoval nejen povinosti ale predevsim pravomoc a adekvatni finance, muze se z toho vyvleci.

Vyhodit děkana za to, že nejel nějakej bezvýznamenej web někde na serveru pod stolem v kabinetu? Když jsem byl na univerzitě, shodou okolností na té z článku, tak tam úplně běžně nejel systém na sestavování rozvrhu. Nikdo za to neletěl a to je prioritně o vesmír úplně jinde než projekt z článku.

Ten bezvyznamenj server je jak tu Xkrat zaznelo dira do cele site. A ani autor toho clanku vlasne nevi, protoze na to neprisel, jestli hacker pokracoval nekam dal do dalsich systemu.

Kdyz sem chodil na FEL tak si studenti bezne mohli sami editovat znamky ze zkousek ... a taky za to nikoho nevykopli. A to je presne to, co je spatne. A presne proto se to bude opakovat.