Cóż, jestem tutaj, aby powiedzieć ci, że MOŻESZ przydarzyć się tobie.
Ta strona została zhakowana podczas Wigilii. To, co się stało, jest częścią większego i niepokojącego trendu, w którym małe witryny i blogi są atakowane i narażane na szwank. Witryny WordPress wydają się być szczególnym celem.
$config[code] not foundPostanowiłem podzielić się moją historią, w nadziei, że pomoże ci ona uniknąć włamania lub jeśli się zdarzy, szybko odzyskać zdrowie.
Brzydkie szczegóły
W Boże Narodzenie starałem się otworzyć tę stronę, jak zwykle rano, aby dokonać szybkiego sprawdzenia.
Strona główna witryny była całkowicie pusta! Nic. Nada. Nie mogłem też opublikować niczego nowego. Zrozumiałem, że jakiś włamywacz włamał się na stronę. Jak zbadałem później tego samego dnia, odkryłem sporo uszkodzeń witryny, w tym:
- Wszystkie wtyczki WordPress zostały dezaktywowane
- Usunięto wiele stron, w tym katalog ekspertów, stronę biuletynu, stronę informacji i inne.
- Blogroll został skompromitowany, z kilkoma linkami wstawionymi do witryn dla dorosłych i stron farmaceutycznych.
- Prawie 50 ukrytych linków do witryn dla dorosłych, witryn farmaceutycznych i innych śmieci zostało rozproszonych w nagłówku i stopce. Nie można było zobaczyć linków od przeglądania witryny za pomocą standardowej przeglądarki, takiej jak Internet Explorer, ponieważ zostały one celowo ukryte za pomocą kodu HTML. Jednak wyszukiwarki mogą oczywiście "zobaczyć" linki.
Ponieważ był to urlop, zrobiłem, co mogłem, aby przywrócić witrynę, a następnego dnia otrzymałem pomoc. Na szczęście korzystam z profesjonalnej firmy hostingowej z doskonałą obsługą telefoniczną. A nasz webmaster kontraktu, Tim Grahl, był super i upuścił wszystko, aby odpowiedzieć.
Pracując jako zespół, udało nam się sprawić, że strona funkcjonowała i wyglądała na jeszcze lepszą do końca 26 grudnia.
Jednak niewiele wiedziałem, że gehenna jeszcze się nie skończyła. Właśnie zobaczyłem wierzchołek góry lodowej pierwszego dnia. Wkrótce odkryłem, co hackerzy NAPRAWDĘ zrobili.
Hakerzy Grając w wyszukiwarkach
Od samego początku zastanawiałem się: "Dlaczego ktoś miałby włamać się na tę stronę?" Nie ma w niej nic wartościowego (dla hakera). Brak numerów kart kredytowych. Brak poufnych danych. Brak informacji o kliencie.
Najpierw naszkicowałem to wandalizmowi.
Ale gdy sytuacja się rozwinęła i odkryłem więcej obrażeń, zdałem sobie sprawę, że to nie był zwykły wandalizm. Raczej ta działalność hakerska jest o wszystko przejmowanie witryn i blogów dla małych firm i używanie ich do generowanie linków do innych stron do gry w wyszukiwarkach .
Hakerzy znajdują lukę w zabezpieczeniach i wchodzą do Twojej witryny. Przejmują kontrolę za pomocą skryptów, które zmieniają twoją witrynę w dron generujący link. Linki generowane w Twojej witrynie (bez Twojej wiedzy) są wskazywane na innych stronach, aby zachęcić te witryny do wyników wyszukiwania.
Snared w Pierścieniu Splog
Dzień po tym, jak odkryłem hackowanie, nauczyłem się najgorszego: hakerzy przejęli część tej strony na ring z napogami (spam).
Pierwsza wskazówka pochodzi z Technorati.com, kiedy zobaczyłem liczbę linków przychodzących Trendy dla małych firm przeskoczył o kilka tysięcy linków na noc. "Och, jak miło" pomyślałem - przez około 3 sekundy! Moja przyjemność zmieniła się w obrzydzenie, kiedy zobaczyłem, że wszystkie linki używają tekstu kotwicy, takiego jak "viagra", "słodkie dzwonki" i inne różne śmieci.
Linki pochodziły z "makabrycznych". Każdy z nich składał się z list tysięcy - dosłownie tysięcy - linków wskazujących strony na inne strony, w tym setki fałszywych stron, które zostały ustawione w katalogu tmp na tej stronie.
Wtedy zdałem sobie sprawę z tego, co naprawdę zrobili hakerzy. Zostawili skrypt, który automatycznie generował setki fałszywych stron na tej stronie. Te fałszywe strony z kolei zostały przekierowane do witryn farmaceutycznych, dorosłych i dzwonków. Nie można było zobaczyć fałszywych stron od przeglądania tej witryny, ale one tam były.
Następnie hakerzy stworzyli pierścienie z innych stron, głównie blogów, aby połączyć się z fałszywymi stronami Trendy dla małych firm. Wszystko zostało zaprojektowane tak, aby docelowo przesłać łączną masę linków do witryn farmaceutycznych, dorosłych i dzwonków, które chciały osiągnąć wysoką pozycję w wyszukiwarkach.
Oto jak to działa:
Splog A >>> linki do fałszywej strony na porwanej stronie B >>> która strona została przekierowana do strony pharma sprzedającej OxyContin.
Wypłukać i powtórzyć. Tysiące razy.
Wynik = szybki wzrost rankingów wyszukiwarek dla witryny sprzedającej OxyContin.
Jak widać, nie był to odosobniony atak na pojedynczą witrynę. Był to zinstrumentowany plan z udziałem setki Jeśli nie tysiące witryn. Mój był jednym z wielu snaredowanych stron.
Jak hakerzy się dostali
Uważamy, że hakerzy dostali się przez niezabezpieczoną wersję WordPressa za pośrednictwem serwera. Poza tym nie powiem nic więcej, tak aby nie dać mapy drogowej, aby jak złamać inne witryny. Atak wydawał się pochodzić z rosyjskiego adresu IP.
Atak wykorzystał czas wakacji, ponieważ mój gospodarz miał szkieletowy personel pracujący w Wigilię. Co zaskakujące, mniej niż 2 dni po pierwszym ataku, podczas gdy byliśmy w trakcie naprawiania rzezi, hakerzy wrócili! Tym razem próba hakowania została powstrzymana przez szybkie działanie ze strony firmy hostingowej, blokując adres IP, który szaleńczo przeglądał witrynę.
Gdy badałem inne ataki hakerskie, byłem oszołomiony odkryciem, że istnieje kilkanaście wersji WordPressa ze znanymi lukami. Szacuje się, że około 2 do 3 milionów blogów używa WordPressa, co oznacza, że wiele blogów jest potencjalnie zagrożonych. Witryny i blogi, które były już od jakiegoś czasu, i zaufane witryny, to te, które mogą zostać zaatakowane.
Po prostu wyszukaj w Google, a znajdziesz raporty o innych hakowanych blogach WordPress, w tym o najlepszych i najzdolniejszych blogach. Nawet blog Al Gore'a został zhackowany.
Co więcej, moje badania ujawniły przynajmniej pół tuzina sposobów na łamanie zabezpieczeń blogów WordPress. I dla każdej metody, którą widziałem, jestem pewien, że źli ludzie znają 2 tuziny innych.
Działania naprawcze
Podjęliśmy szereg kroków, aby zabezpieczyć witrynę, w tym:
- Zaktualizowano do najnowszej wersji WordPress.
- Wyeliminowano jedną wtyczkę, która według sugerowanych badań może zawierać luki w zabezpieczeniach, i zaktualizowała wszystkie pozostałe wtyczki, jeśli istniały nowe wersje.
- Oczyszczono wszystkie pozostałości po hakerów, usuwając ich skrypty i nieautoryzowane linki i strony. Nie tylko musieliśmy przeszukać nasz własny kod, ale potrzebowaliśmy naszej firmy hostingowej, aby zrobić to dla całego serwera.
- Przywrócono do czystego backupu bazy danych MySQL przed atakiem.
- Zablokowana autorejestracja na tej stronie.
- Zmieniono hasła; sprawdzono dzienniki serwera pod kątem podejrzanych adresów IP i zablokowano je; i zmieniłem wiele innych rzeczy, na które nie chcę zwracać uwagi.
Ktoś zapytał, czy planuję przełączyć się z WordPressa na inne oprogramowanie. Nie, zamierzam się z tym uporać. WordPress jest dobrym pakietem oprogramowania i przez 99% czasu był wolny od bólu głowy. Rozumiem, że społeczność programistów WordPress pracuje nad rozwiązaniem problemów związanych z bezpieczeństwem - miejmy nadzieję, że zrobią to, zanim WordPress rozwinie nieodwracalny zły rap.
Jednak podniosłem środki bezpieczeństwa o kilka stopni. Wierzę, że zdeterminowany haker może znaleźć sposób na wejście każdy strona, jeśli naprawdę chcą. Ale dlaczego warto być łatwym celem?
Tak więc, teraz prawdopodobnie zastanawiasz się, co możesz zrobić, aby chronić swojego bloga lub stronę. Mam dla ciebie kilka wskazówek. Ale ponieważ ten artykuł jest już długi, umieściłem je w osobnym artykule: Jak chronić swoją witrynę WordPress.
56 komentarzy ▼
