No, jsem tady, abych vám řekl, že se vám může stát.
Tato webová stránka byla napadena minulým Štědrý den. Co se stalo, je součástí většího a znepokojivého trendu, v němž jsou malé a velké webové stránky a blogy napadány a ohroženy. Stránky WordPress se zdají být konkrétním cílem.
$config[code] not foundRozhodla jsem se podělit o svůj příběh, v naději, že vám pomůže vyhnout se hackingu, nebo pokud se to stane, rychle se zotavte.
Ošklivé detaily
Na vánoční ráno jsem se pokoušel otevřít tuto stránku, jako obvykle, co ráno dělám první věc, jen abych udělal rychlou kontrolu.
Domovská stránka webu byla zcela prázdná! Nic. Nada. Také jsem nemohl zveřejnit nic nového. Uvědomil jsem si, že nějaký praskliník napadl místo. Jak jsem zkoušel později ten den, objevil jsem docela trochu škody na místě, včetně:
- Všechny pluginy WordPress byly deaktivovány
- Počet stránek byl smazán, včetně adresáře Experts, Newsletter, About page a dalších.
- Blogroll byl kompromitován a asi tucet odkazů bylo vloženo do webů pro dospělé a pharma stránek.
- Téměř 50 skrytých odkazů na weby pro dospělé, farmaceutické weby a další nevyžádané stránky bylo rozptýleno v záhlaví a zápatí. Odkazy nebyly vidět z pohledu na web prostřednictvím standardního prohlížeče, jako je Internet Explorer, protože byly úmyslně skryty pomocí kódu HTML. Vyhledávače však samozřejmě "vidí" odkazy.
S tím, že jsem dovolenou, udělal jsem to, co jsem mohl sám, aby obnovil místo, a další den dostal pomoc. Naštěstí používám profesionální hostingovou společnost s vynikající telefonickou podporou. A náš smluvní webmaster, Tim Grahl, byl skvělý a hodil vše, aby odpověděl.
Pracovat jako tým, podařilo se nám dostat stránky do fungování a vypadat znovu viditelné až do konce podnikání 26. prosince.
Nicméně jsem věděl jen málo, že utrpení ještě neskončilo. Právě jsem viděl špičku ledovce první den. Brzy jsem zjistil, co hackeři opravdu udělali.
Hackeři hrají vyhledávače
Od začátku jsem se stále zajímala: "Proč by někdo hackoval tuto stránku?" V tom není nic hodnotného (hackerovi). Žádné čísla kreditních karet. Žádné důvěrné údaje. Žádné informace o zákaznících.
Nejdřív jsem to chrlila do vandalismu.
Když se situace rozvinula a objevila jsem více škod, uvědomila jsem si, že to není jen vandalismus. Spíše se jedná o hackerskou aktivitu únos malých firemních webových stránek a blogů , a jejich použití vytvářet odkazy na jiné stránky hra vyhledávače .
Hackeři naleznou bezpečnostní otvor a dostanou se do vašeho webu. Oni převzali kontrolu skripty, které změní vaše stránky na link-generující drone. Odkazy generované na vašem webu (bez vašeho vědomí) jsou uvedeny na jiných stránkách, ve snaze získat tyto další stránky na vrchol výsledků vyhledávače.
Zachyceno v prstenci Spl
Den poté, co jsem objevil hacking, jsem se naučil nejhorší: hackeři unesli část této stránky do prstenu splog (spam blog).
První známka přišla od společnosti Technorati.com, když jsem viděl, že počet příchozích odkazů je takový Trendy malých firem přeskočilo přes pár tisíc odkazů přes noc. "Ach, jak hezké," pomyslela jsem si - asi 3 sekundy! Moje potěšení se obrátilo k odporu, když jsem viděl, že všechny odkazy používají ukotvený text, jako je "viagra", "roztomilé vyzváněcí tóny" a další nejrůznější nevyžádané pošty.
Odkazy pocházely z "splogů". Každý splog se skládal ze seznamů tisíců - doslova tisíců odkazů směřujících na stránky na jiných webových stránkách, včetně stovek falešných stránek, které byly vytvořeny v adresáři tmp tohoto webu.
Tehdy jsem si uvědomil, co hackeři opravdu udělali. Oni zanechali skript, který automaticky vytvořil stovky falešných stránek na tomto webu. Tyto falešné stránky byly následně přesměrovány na pharma, dospělé a vyzváněcí weby. Neviděli jste falešné stránky, když jste se dívali na tuto stránku, ale byli tam.
Pak hackeři vytvořili kroužky z jiných webů, především blogů, které odkazují na falešné stránky Trendy malých firem. Všechno bylo navrženo tak, aby konečně posílalo kombinaci váhy na pharma, dospělé a vyzváněcí weby, které chtěly hodně postavit ve vyhledávačích.
Zde je návod, jak to funguje:
Splog A >>> odkazuje na falešnou stránku na uneseném webu B >>> která falešná stránka byla přesměrována na internetový obchod prodávající OxyContin.
Opláchněte a opakujte. Tisíce časů.
Výsledek = rychlý nárůst hodnocení vyhledávačů pro web prodávající OxyContin.
Jak vidíte, nebyl to izolovaný útok na jediném místě. Byl to nějaký orchestrální plán stovky Pokud ne tisíce stránek. Můj právě se stalo jedním z mnoha míst, které byly ukryty.
Jak se hackeři dostali
Myslíme si, že hackeři se dostali prostřednictvím nejisté verze WordPress přes server. Kromě toho nebudu říkat víc, abych neposkytl plán, jak crackovat další stránky. Zdálo se, že útok pochází z ruské IP adresy.
Útok využíval časování svátků, protože můj hostitel měl pracovníci kostry pracující na Štědrý večer. Úžasně, méně než 2 dny po prvním útoku, když jsme byli uprostřed zabíjení krveprolití, hackeři se vrátili! Tentokrát se pokusu o hackerství zabránilo rychlým akcí ze strany hostitelské společnosti, blokování adresy IP, která šíleně šíří stránky.
Jak jsem zkoumal další hackery, byl jsem ohromen, když zjistil, že existuje více než tucet verzí WordPress se známými zranitelnostmi. Odhaduje se, že 2 až 3 miliony blogů používají WordPress, což znamená, že mnoho blogů je potenciálně ohroženo. Webové stránky a blogy, které byly v minulosti a důvěryhodné weby, jsou ty, které by mohly být napadeny.
Stačí provést vyhledávání v Googlu a zjistíte, že zprávy o dalších blogech WordPress, které jsou napadány, včetně těch nejlepších a nejjasnějších. Dokonce i blog Al Gore byl hacknut.
Navíc můj výzkum odhalil nejméně půl tuctu způsobů, jak kompromitovat blogy WordPress. A pro každou metodu, kterou jsem viděl, jsem si jistý, že špatní lidé znají dvacet dalších.
Nápravná opatření
Učinili jsme několik kroků k zabezpečení webu, včetně:
- Aktualizováno na nejnovější verzi aplikace WordPress.
- Odstraněno jeden plugin, který výzkum naznačil, že by mohl mít bezpečnostní chyby a aktualizoval všechny zbývající pluginy, pokud existují nové verze.
- Vyčistili všechny suroviny, které hackeři zanechali, odstranili skripty a neoprávněné odkazy a stránky. Nejen jsme museli vyčistit vlastní kód místa, ale potřebovali jsme naši hostingovou společnost, aby to udělala pro celý server.
- Vrátil se do čisté zálohy databáze MySQL před útokem.
- Blokovaná vlastní registrace na tomto webu.
- Změna hesel; zkontroloval protokoly serverů pro podezřelé adresy IP a zablokoval je; a měnila řadu dalších věcí, kterým nechci upozornit.
Někdo se zeptal, jestli jsem měl v úmyslu přejít z aplikace WordPress na jiný software. Ne, chci s tím držet. WordPress je dobrý softwarový balík a byl 99% času bez bolesti hlavy. Chápu, že vývojová komunita WordPress pracuje na řešení bezpečnostních problémů - doufáme, že tak učiní předtím, než WordPress vyvine nevratný špatný rap.
Nicméně jsem spustil bezpečnostní opatření pár zářezů. Věřím, že rozhodný hacker může najít způsob, jak se dostat dovnitř žádný pokud skutečně chtějí. Ale proč se stát snadným cílem?
Takže právě teď se asi ptáte, co můžete udělat pro ochranu vašeho blogu nebo webových stránek. Mám pro vás nějaké ukazatele. Ale protože tento článek je již dlouhý, dal jsem je do samostatného článku: Jak chránit vaše stránky WordPress.
56 komentářů ▼
