Nuž, som tu, aby som vám povedal, že sa vám môže stať.
Táto webová stránka bola napadnutá minulým Štedrým večerom. Čo sa stalo, je súčasťou väčšieho a rušivého trendu, v ktorom sú webové stránky a blogy malých podnikov napadnuté a ohrozené. Stránky WordPress sa zdajú byť konkrétnym cieľom.
$config[code] not foundRozhodla som sa zdieľať môj príbeh, v nádeji, že vám pomôže vyhnúť sa hackingu alebo ak sa niekto stane, rýchlo sa zotavte.
Ošklivé detaily
Na vianočnom ráne som sa pokúsil otvoriť túto stránku, ako som zvyčajne urobil prvú vec ráno, len aby som urobil rýchlu kontrolu.
Domovská stránka stránky bola úplne prázdna! Nič. Nada. Nemohol som ani uverejniť nič nové. Uvedomil som si, že cracker bol na mieste. Ako som vyšetroval neskôr ten deň som objavil docela trochu škody na mieste, vrátane:
- Všetky doplnky WordPress boli deaktivované
- Počet stránok bol odstránený, vrátane adresára odborníkov, stránky Newsletter, O stránke a ďalších.
- Blogroll bol kompromitovaný a asi tucet odkazov bolo vložených na webové stránky pre dospelých a na stránky s farmaceutickými službami.
- Takmer 50 skrytých odkazov na webové stránky pre dospelých, farmaceutické stránky a iné stránky s nevyžiadanou poštou bolo rozptýlené v hlavičke a zápätí. Odkazy sa vám nepodarilo zobraziť na webe prostredníctvom štandardného prehliadača, ako je Internet Explorer, pretože boli úmyselne skryté pomocou kódu HTML. Avšak, vyhľadávače by mohli "vidieť" odkazy, samozrejme.
Vzhľadom na to, že som bol dovolenkou, urobil som to, čo som mohol sám, aby obnovil miesto, a ďalší deň dostal pomoc. Našťastie používam profesionálnu hostingovú spoločnosť s vynikajúcou telefonickou podporou. A náš zmluvný webmaster, Tim Grahl, bol skvelý a odpustil všetko, aby odpovedal.
Pracujeme ako tím, podarilo sa nám zabezpečiť funkčnosť stránky a znova sa do konca obchodovania pozrieť do 26. decembra.
Mal som však len málo vedomostí, že utrpenie ešte neskončilo. Práve som videl prvý deň špičky ľadovca. Skoro som zistil, čo hackeri skutočne urobili.
Hackeri hrajú vyhľadávače
Od začiatku som sa stále pýtal: "Prečo by niekto hackoval túto stránku?" Nie je nič v hodnote (v hacke) v nej. Žiadne čísla kreditných kariet. Žiadne dôverné údaje. Žiadne informácie o zákazníkoch.
Spočiatku som to chrličoval až k vandalizmu.
Ale keď sa situácia rozvinula a zistil som viac škôd, uvedomil som si, že to nie je len vandalizmus. Skôr je táto hackingová činnosť skôr únos malých podnikových webových stránok a blogov , a ich použitie vytvárať odkazy na iné stránky hra vyhľadávače .
Hackeri nájdu bezpečnostný otvor a dostanú sa do vášho webu. Oni prevezmú kontrolu prostredníctvom skriptov, ktoré premieňajú vaše stránky na link-generujúce drone. Odkazy generované na vašich stránkach (bez vášho vedomia) sú uvedené na iných stránkach, v snahe dostať tieto iné stránky na začiatok výsledkov vyhľadávača.
Prilepené v kruhu Spl
Deň potom, čo som objavil hacking, som sa naučil najhoršiu časť: hackeri unesli časť tejto stránky do ringu (spam blog).
Prvá známka pochádza od spoločnosti Technorati.com, keď som videl počet prichádzajúcich odkazov Trendy pre malé firmy skočil cez pár tisíc odkazov cez noc. "Ach, ako pekné," myslela som - asi 3 sekundy! Moja potešenie sa obrátilo k odporu, keď som videl, že všetky odkazy používajú ukotvený text ako "viagra", "roztomilé vyzváňacie tóny" a iné najrôznejšie nevyžiadanej pošty.
Odkazy boli z "splogs". Každá splog pozostávala zo zoznamov tisícov - doslova tisíce odkazov smerujúcich na stránky na iných webových stránkach vrátane stoviek falošných stránok, ktoré boli vytvorené v adresári tmp tejto stránky.
Keď som si uvedomil, čo hackeri skutočne urobili. Zanechali skript, ktorý automaticky vytvoril stovky falošných stránok na tejto stránke. Tieto falošné stránky boli zase presmerované na stránky pharma, adult a ringtone. Falošné stránky sa nedali vidieť na týchto stránkach, ale boli tam.
Potom hackeri vytvorili krúžky z iných stránok, hlavne blogov, aby sa pripojili k falošným stránkam Trendy pre malé firmy, Všetko bolo navrhnuté tak, aby v konečnom dôsledku posielali kombinovanú váhu odkazu na pharma, dospelých a zvonenia, ktoré chcú zaradiť vo vyhľadávačoch.
Tu je postup, ako to funguje:
Splog A >>> odkazuje na falošnú stránku na unesenom mieste B >>> ktorá falošná stránka bola presmerovaná na internetovú stránku s predajom lieku OxyContin.
Opláchnite a zopakujte. Tisíce krát.
Výsledok = rýchle zvyšovanie rebríčkov vyhľadávačov pre stránky predávajúce OxyContin.
Ako môžete vidieť, nebol to izolovaný útok na jednu lokalitu. Bola to zladená schéma stovky Ak nie tisíce stránok. Moja práve sa stala jedným z mnohých miest.
Ako sa dostali hackeri
Myslíme si, že hackeri sa dostali cez neistú verziu programu WordPress cez server. Okrem toho nehovorím viac, aby som neposkytol plán, ako crackovať iné stránky. Zdá sa, že útok pochádza z ruskej IP adresy.
Útok využil časový harmonogram dovolenky, keďže môj hostiteľ mal pracovnú plochu, ktorá pracovala na Štedrý večer. Úžasne, menej ako 2 dni po prvom útoku, keď sme boli uprostred vyriešenia krviprelievania, hackeri sa vrátili! Tentokrát sa pokusu o hackerstvo zabránilo rýchlym krokom zo strany hostiteľskej spoločnosti, čím zablokovala IP adresu, ktorá šialene sprevádzala miesto.
Keď som skúmal ďalšie hackery, bol som ohromený, keď zistil, že existuje viac ako tucet verzií WordPress so známymi zraniteľnosťami. S odhadovaným 2 až 3 miliónmi blogov používajúcich WordPress to znamená veľa blogov potenciálne ohrozených. Webové stránky a blogy, ktoré boli v minulosti a dôveryhodné stránky, sú tie, ktoré by mohli byť napadnuté.
Stačí vykonať vyhľadávanie v službe Google a nájdete správy o ďalších blogoch WordPress, ktoré sú napadnuté, vrátane niektorých z najlepších a najjasnejších. Dokonca aj blog Al Gore bol hacknutý.
Okrem toho môj výskum odhalil najmenej päťdesiat spôsobov, ako kompromitovať blogy WordPress. A pre každú metódu, ktorú som videl, som si istý, že zlý chlapíci vedia 2 desiatky ďalších.
Nápravné opatrenia
Vykonali sme niekoľko krokov na zabezpečenie stránky vrátane:
- Inovované na najnovšiu verziu programu WordPress.
- Odstránil jeden doplnok, ktorý výskum naznačoval, že by mohol mať bezpečnostné chyby a aktualizoval všetky zostávajúce doplnky, ak existujú nové verzie.
- Vyčistili všetky suroviny, ktoré hackeri nechali, odstránili skripty a neoprávnené odkazy a stránky. Museli sme nielen vyčistiť vlastný kód lokality, ale potrebovali našu hostingovú spoločnosť, aby to urobila pre celý server.
- Vrátil sa do čistej zálohy databázy MySQL pred útokom.
- Zablokovaná vlastná registrácia na tejto stránke.
- Zmenené heslá; skontroloval protokoly serverov o podozrivých adresách IP a zablokoval ich; a zmenil rad ďalších vecí, ktoré nechcem upozorniť.
Niekto sa ma spýtal, či som sa rozhodol prejsť z programu WordPress na iný softvér. Nie, chcem s tým držať. WordPress je dobrý softvérový balík a bol 99% času bez bolesti hlavy. Rozumiem, že vývojová komunita WordPress pracuje na riešení bezpečnostných problémov - dúfajme, že to urobia predtým, než WordPress vyvine nevratný zlý rap.
Napriek tomu som spustil bezpečnostné opatrenia pár zárezov. Verím, že odhodlaný hacker môže nájsť spôsob, ako sa dostať dovnútra akýkoľvek stránky, ak naozaj chcú. Ale prečo sa stať ľahkým cieľom?
Takže práve teraz ste pravdepodobne premýšľali, čo môžete urobiť pre ochranu vášho blogu alebo webových stránok. Mám pre vás niektoré ukazovatele. Ale keďže tento článok je už dlhý, dal som ich do samostatného článku: Ako chrániť svoje stránky WordPress.
56 Komentáre ▼
