» »

Vdor v Wordpress.com

Vdor v Wordpress.com

Wordpress.com je priljubljen servis za brezplačno gostovanje blogov; glavni konkurent je Googlov blogger.com, pri nas pa tudi blog.siol.net.

Slo-Tech - Matt Mullenweg iz podjetja Automattic, ki upravlja s stranjo wordpress.com, je včeraj potrdil obsežen vdor v njihove strežnike. Napadalci naj bi dobili korenski (root) dostop, celotno izvorno kodo, bazo, gesla, ter api ključe za njihove aplikacije na Twitterju in Facebooku. Točen obseg škode, način vdora ter identiteto napadalcev še preiskujejo, so zapisali.

Wordpress.com je spletna stran za brezplačno gostovanje blogov (gosti npr. tudi Mikstonov blog), in jo je potrebno ločiti od wordpress.org, kjer je na voljo izvorna koda sistema Wordpress. S kodo naj bi bilo vse v redu, uporabniki gostovanja pa so pozvani, da zamenjajo svoja gesla, posebej če jih uporabljajo še kje drugje (npr. za e-pošto).

21 komentarjev

Blisk ::

Ali se mogoče ve, na kakše način so vdrli na strežnik?

FireSnake ::

Tule pa preprosti "Upssss" ne bo dovolj.

Štala :(
Poglej in se nasmej: vicmaher.si

Ma$terM|nd ::

Eno laično vprašanje: Kako so lahko dobili gesla če pa kolikor jaz vem je praksa da se take stvari shranjujejo v zgoščeni obliki (sha1, md5 ... hash al kaj je že)? Ali pa obstaja metoda s katero lahko kljub temu pridobiš gesla pa jaz zdaj tukaj sprašujem gluposti?
Kateri avto gre najlepše po gozdu???
Službeni!

alessio2 ::

Obstaja.

Blisk ::

Seveda z dictionary metodo in pa z poizkušanjem znakov, to je sicer dosti dolgotrajno.
Če vzameš geslo v hash kodi prav tako lahko prideš not.
Verjento pa so imeli kako res oreng luknjo, da jim je ratal!

Kurzweil ::

Čakaj ti se gre samo za official server od wordpress bloga? ...kar pomeni, da se nekoga, ki ga ima nameščenega na lasten server to ne tiče... dokler nebo s podobnim vdorom nekdo vdrl še na naš strežnik ;((

Še pred časom sem kolebal ali ga vzamem za CMS... no sedaj sem dobil jasen odgovor.

ADMIN/MOD: ko sem šel v fazo da pošljem sporočilo se trije vmes poslali sporočilo in očitno mi ga je postalo pred po teh treh userjih... poslal sem defacto samo enkrat.

Zgodovina sprememb…

  • spremenil: Kurzweil ()

RedDrake ::

Ah ziher so mel windows streznike da so jim vdrli not!
Opensource SW ze nima napak!

/troll off
(ArchLinux user here)

Sokrates ::

G.Matt Mullenweg naj da lepo odpoved ker očitno ni dorasel tej vlogi, ker drugače se to ne bi zgodilo..šalabajzer po domače. ni druge.
LP
Baracuda

joebanana ::

Ma$terM|nd je izjavil:

Eno laično vprašanje: Kako so lahko dobili gesla če pa kolikor jaz vem je praksa da se take stvari shranjujejo v zgoščeni obliki (sha1, md5 ... hash al kaj je že)? Ali pa obstaja metoda s katero lahko kljub temu pridobiš gesla pa jaz zdaj tukaj sprašujem gluposti?


Da se. Lohk uporabiš precalculirane md5 tabele. Seveda ob pogoju da ne uporabljajo soli(salt).

Rainbow tables @ Wikipedia

Če so pa pridobili vrednost soli, pa lahko probavajo npr. napad s slovarjem s tem da morajo primerjati dobljene hash vrednosti. Res pa je da je taka metoda zelo počasna.

Zgodovina sprememb…

jype ::

Blisk> Če vzameš geslo v hash kodi prav tako lahko prideš not.

Res? Raszsvetli nas.

joebanana ::

Direktno ne.

Zgodovina sprememb…

denial ::

Če vzameš geslo v hash kodi prav tako lahko prideš not.

Res? Raszsvetli nas.

Passing-the-Hash
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

techfreak :) ::

Tudi tukaj rabiš MITM oz. nek drug način za pridobitev hasha. Vendar zaradi različnega salta s tem ne moreš omogočiti vpogled v gesla drugih uporabnikov, ter dostop do drugih storitev s tem geslom.

poweroff ::

Hmm... če so dobili dostop do serverja so lahko samo lepo injectali kodo, ki je izvajala MITM ob prijavi vsakega userja...
sudo poweroff

Blisk ::

denial je izjavil:

Če vzameš geslo v hash kodi prav tako lahko prideš not.

Res? Raszsvetli nas.

Passing-the-Hash

Tnx!

jype je izjavil:

Blisk> Če vzameš geslo v hash kodi prav tako lahko prideš not.

Res? Raszsvetli nas.

Si dovolj svetel, ali še rabiš kako luč?

Zgodovina sprememb…

  • spremenil: Blisk ()

BigWhale ::

Blisk je izjavil:

denial je izjavil:

Če vzameš geslo v hash kodi prav tako lahko prideš not.
Res? Raszsvetli nas.

Passing-the-Hash

Tnx!

jype je izjavil:

Blisk> Če vzameš geslo v hash kodi prav tako lahko prideš not.
Res? Raszsvetli nas.

Si dovolj svetel, ali še rabiš kako luč?


Ne ni, k za Wordpress je tole irrelevant. Nucas se enga sredinca.

Blisk ::

BigWhale je izjavil:

Blisk je izjavil:

denial je izjavil:

Če vzameš geslo v hash kodi prav tako lahko prideš not.
Res? Raszsvetli nas.

Passing-the-Hash

Tnx!

jype je izjavil:

Blisk> Če vzameš geslo v hash kodi prav tako lahko prideš not.
Res? Raszsvetli nas.

Si dovolj svetel, ali še rabiš kako luč?


Ne ni, k za Wordpress je tole irrelevant. Nucas se enga sredinca.


Će ti eden ni dovolj, potem kar povej, dobiš še kakšnega.
Vprašanje je bilo kako, in ne ali se to da v wordpresu.

Če ti je dolgčas raje počni kaj pametnega, ne da se delaš pameten.

techfreak :) ::

Pri zgornjem primeru je bolj problem v tem, da se hashanje izvaja na clientu in ne na strežniku.

Blisk ::

techfreak :) je izjavil:

Pri zgornjem primeru je bolj problem v tem, da se hashanje izvaja na clientu in ne na strežniku.

Pa se vsaj približn ve, kako so vdrli? Nisem bral celotne zgodbe, me pa zanima?

Ales ::

Tvoj prvi post pravi da te zanima, dan kasneje te še vedno zanima, najbrž te bo tudi jutri in pojutrišnjem... Kaj če bi nehal nam trolat o tem in šel prebrat novice?

BigWhale ::

Blisk je izjavil:

Će ti eden ni dovolj, potem kar povej, dobiš še kakšnega.
Vprašanje je bilo kako, in ne ali se to da v wordpresu.

Če ti je dolgčas raje počni kaj pametnega, ne da se delaš pameten.


Ce pa gre za Wordpress. Kaj ti bo hash gesla od wordpress accounta, ce si z njim ne mores pomagati? V kaksni drugi situaciji bi ti hash recimo koristil. Tukaj so pa tako ali tako ze imeli dostop do baze in je to, da so imeli hashe cist brez veze.

Aja, pa ker se ze glih delam pameten, pridevnik si postavil v napacno obliko.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Domena + Wordpress Blog

Oddelek: Izdelava spletišč
234502 (1607) scipascapa
»

WORDPRESS.ORG - vzdrževanje strani ?

Oddelek: Izdelava spletišč
111811 (22) Gandalfar
»

Informacije o wordpress.com

Oddelek: Izdelava spletišč
6960 (902) m0LN4r
»

Pisanje bloga

Oddelek: Loža
82928 (2613) techfreak :)
»

Mesto za blog

Oddelek: Loža
213096 (2537) dronyx

Več podobnih tem