Tukaj sem, da vam povem, da se vam lahko zgodi.
Ta spletna stran je bila vdrla v preteklost božiča. Kar se je zgodilo, je del večjega in zaskrbljujočega trenda, v katerem so napadene in ogrožene spletne strani in spletni dnevniki malih podjetij. Zdi se, da so WordPress spletna mesta poseben cilj.
$config[code] not foundOdločil sem se, da bom delil svojo zgodbo, v upanju, da vam bo pomagal preprečiti vdor ali če se bo to zgodilo, hitro okrevajte.
Ugly Details
Na božično jutro sem poskušal odpreti to spletno mesto, kot ponavadi naredim zjutraj.
Domača stran je bila popolnoma prazna! Nič. Nada. Tudi ne morem objaviti ničesar novega. Zaznala sem, da je kreker zlomil mesto. Kot sem raziskal kasneje tisti dan, sem odkril precej škode na mestu, vključno z:
- Vsi vtičniki WordPress so bili deaktivirani
- Izbrisano je bilo več strani, vključno z imenikom strokovnjakov, stranjo z novicami, stranjo About in drugimi.
- Blogroll je bil ogrožen, saj je bilo na spletne strani za odrasle in na farmacevtskih spletnih mestih vstavljenih približno ducat povezav.
- Skoraj 50 skritih povezav do spletnih mest za odrasle, farmacevtskih spletnih mest in drugih junk spletnih mest je bilo razpršenih v glavi in nogi. Povezav ni bilo mogoče videti na spletnem mestu prek standardnega brskalnika, kot je Internet Explorer, ker so bile namerno skrite z uporabo kode HTML. Seveda pa lahko iskalniki »vidijo« povezave.
Ker je bil to praznik, sem naredil, kar sem lahko, sam, da bi obnovil mesto in naslednji dan sem dobil pomoč. Na srečo uporabljam profesionalno gostiteljsko podjetje z odlično telefonsko podporo. In naš pogodbeni webmaster, Tim Grahl, je bil super in odvrnil vse, da bi se odzval.
Delo v ekipi nam je uspelo, da smo do konca poslovnega dne 26.
Vendar malo vem, da preizkušnja še ni končana. Pravkar sem videl vrh ledene gore prvi dan. Kmalu sem odkril, kaj so storili hekerji.
Hekerji iščejo iskalnike
Od vsega začetka sem se spraševala, "Zakaj bi nekdo hakiral to spletno stran?" V njem ni ničesar vrednostnega (za hekerja). Ni številk kreditnih kartic. Ni zaupnih podatkov. Ni podatkov o strankah.
Sprva sem jo pripisala vandalizmu.
Toda ko se je situacija razvila in sem odkrila več škode, sem spoznala, da to ni bil samo vandalizem. Namesto tega je ta hekerska dejavnost vsekakor namenjena ugrabitev spletnih mest in spletnih dnevnikov malih podjetij in za njihovo uporabo ustvarjanje povezav na druga spletna mesta igra iskalnikov .
Hekerji najdejo varnostno luknjo in pridejo v vašo spletno stran. Prevzamejo nadzor prek skript, ki spremenijo vašo spletno stran v drone, ki ustvarjajo povezave. Povezave, ustvarjene na vaši strani (brez vaše vednosti), so poudarjene na drugih spletnih mestih, da bi te druge spletne strani dobile na vrhu rezultatov iskalnika.
Spajal sem splog prstan
Dan po tem, ko sem odkril hekanje, sem se naučil najhujši del: hekerji so del te strani ugrabili v splog (spam blog).
Prvi namig je prišel iz Technorati.com, ko sem videl, da je vhodna povezava štela Trendi za mala podjetja čez noč skočil za nekaj tisoč povezav. "Oh, kako lepo," sem pomislil - za približno 3 sekunde! Moje veselje se je obrnilo na gnus, ko sem videla, da vse povezave uporabljajo sidrno besedilo, kot so »viagra«, »srčkane melodije« in druge izbrane junk.
Povezave so bile iz "splogs". Vsak splog je vseboval sezname na tisoče - dobesedno na tisoče - povezav, ki kažejo na strani na drugih spletnih straneh, vključno s stotinami ponarejenih strani, ki so bile postavljene v imeniku tmp te strani.
Takrat sem spoznal, kaj so hekerji res naredili. Zapustili so scenarij, ki je na tem spletnem mestu samodejno ustvaril na stotine ponarejenih strani. Te ponarejene strani so bile preusmerjene na spletna mesta za farmacijo, odrasle in zvonjenja. Na tej strani ni bilo videti lažnih strani, vendar so bile tam.
Nato so hekerji ustvarili obročke drugih spletnih strani, predvsem blogov, da bi se povezali s ponarejenimi stranmi Trendi za mala podjetja. Vse je bilo zasnovano tako, da je konec koncev poslalo kombinirano težo na spletna mesta, mesta za odrasle in melodije zvonjenja, ki so jih želeli uvrstiti visoko v iskalnikih.
Kako deluje:
Splog >>> povezave do ponarejene strani na ugrabljenem spletnem mestu B >>> katera ponarejena stran je bila preusmerjena na farmacevtsko spletno mesto, ki prodaja OxyContin.
Izperite in ponovite. Na tisoče krat.
Rezultat = hitro povečanje uvrstitve iskalnikov za spletno stran, ki prodaja OxyContin.
Kot lahko vidite, to ni bil izoliran napad na eno samo mesto. To je bila orkestrirana shema, ki je vključevala na stotine če ne tisoč območij. Mine se je zgodilo, da je bila ena od številnih spletnih mest.
Kako so se vdrli hekerji
Mislimo, da so hekerji vstopili skozi negotovo različico WordPressa prek strežnika. Poleg tega ne bom več povedal, da ne bom dal časovnega načrta za odpravo drugih spletnih mest. Videti je, da je napad prišel iz ruskega IP naslova.
Napad je izkoristil čas počitnic, saj je moj gostitelj imel skeletno osebje, ki je delalo božični večer. Presenetljivo, manj kot dva dni po prvem napadu, ko smo bili sredi popravljanja, so se hekerji vrnili! Tokrat je bil poskus hekiranja preprečen s hitrim ukrepanjem podjetja za gostovanje, ki je blokiral naslov IP, ki je zmešalo vrnitev na spletno mesto.
Ko sem raziskoval druge hekerje, sem bil osupel, ko sem odkril, da obstaja več kot ducat različic WordPressa z znanimi ranljivostmi. S približno 2 do 3 milijoni blogov, ki uporabljajo WordPress, to pomeni veliko blogov, ki so potencialno ogroženi. Spletna mesta in spletni dnevniki, ki so že nekaj časa prisotni in zaupanja vredna spletna mesta, so tisti, ki bodo verjetno napadeni.
Samo iskanje v Googlu in boste našli poročila o drugih blogih WordPress se hacked, vključno z nekaterimi najboljšimi in najsvetlejšimi. Tudi blog Al Gore je bil vdrl.
Poleg tega so moje raziskave odkrile vsaj pol ducata načinov za kompromise WordPress blogov. In za vsako metodo, ki sem jo videl, sem prepričan, da slabi fantje poznajo 2 ducata drugih.
Korektivni ukrepi
Za zaščito spletnega mesta smo naredili več korakov, med drugim:
- Nadgrajena na najnovejšo različico programa WordPress.
- Odstranil je en vtičnik, ki je predlagal raziskave, ki bi lahko imele varnostne ranljivosti, in posodobil vse preostale vtičnike, če bi obstajale nove različice.
- Očistil je vse kratek ostanek hekerjev, izbrisal njihove skripte in nepooblaščene povezave in strani. Ne samo, da smo morali preiskati lastno kodo spletnega mesta, temveč da je morala naša gostiteljska družba to narediti za celoten strežnik.
- Povrnila se je na čisto kopijo baze podatkov MySQL pred napadom.
- Blokirana samoregistracija na tem spletnem mestu.
- Spremenjena gesla; pregledali dnevnike strežnikov za sumljive naslove IP in jih blokirali; in spremenila številne druge stvari, na katere ne želim opozoriti.
Nekdo je vprašal, če načrtujem prehod iz WordPressa v drugo programsko opremo. Ne, nameravam se držati tega. WordPress je dober programski paket in je 99% časa brez glavobolov. Razumem, da si razvojna skupnost WordPress prizadeva rešiti varnostna vprašanja - upajmo, da to storijo, preden WordPress razvije nepopravljiv slab posnetek.
Vendar sem nekaj varnostnih ukrepov sprožil nekaj zarez. Verjamem, da lahko odločen heker najde način, da vstopi kaj strani, če to res želijo. Toda zakaj si lahka tarča?
Prav zdaj se verjetno sprašujete, kaj lahko storite, da zaščitite svoj spletni dnevnik ali spletno mesto. Imam nekaj napotkov za vas. Ker je ta članek že dolg, sem jih vstavil v poseben članek: Kako zaščititi svoje WordPress strani.
56 Komentarji ▼
