Pa, ovdje sam da ti kažem da ti se može dogoditi.
Ova je web-stranica bila provaljena prošlog Badnjaka. Ono što se dogodilo dio je većeg i uznemirujućeg trenda u kojem su web-mjesta i blogovi malih tvrtki napadani i kompromitirani. WordPress stranice izgledaju kao posebna meta.
$config[code] not foundOdlučio sam podijeliti svoju priču, u nadi da će vam pomoći da izbjegnete hakiranje ili da se dogodi, da se brzo oporavite.
Ružni detalji
Na božićno jutro, pokušao sam otvoriti ovu stranicu kao što obično radim ujutro, samo da bih napravio brzu provjeru.
Početna stranica stranice bila je potpuno prazna! Ništa. Nada. Ništa nisam mogao objaviti. Shvatio sam da je kreker hakirao mjesto. Dok sam istraživao kasnije tog dana, otkrio sam dosta štete na mjestu, uključujući:
- Svi WordPress dodaci su deaktivirani
- Broj stranica je izbrisan, uključujući imenik stručnjaka, stranicu biltena, stranicu O programu i druge.
- Blogroll je bio kompromitiran, s oko desetak linkova umetnutih na web-lokacije za odrasle i pharma web-lokacije.
- Gotovo 50 skrivenih veza s web-lokacijama za odrasle, farmaceutskim stranicama i drugim bezvrijednim web-mjestima bilo je razbacano u zaglavlju i podnožju. Ne možete vidjeti veze gledajući web-lokaciju putem standardnog preglednika kao što je Internet Explorer, jer su namjerno skriveni pomoću HTML koda. Međutim, tražilice bi, naravno, mogle "vidjeti" veze.
Budući da je to bio praznik, sam sam učinio ono što sam mogao da obnovim mjesto, a sutradan sam dobio pomoć. Srećom koristim profesionalnu hosting tvrtku s izvrsnom telefonskom podrškom. I naš webmaster, Tim Grahl, bio je super i ostavio sve da odgovori.
Radeći kao tim, uspjeli smo ponovno uspostaviti radnu površinu i izgledati reprezentativno do kraja poslovnog dana 26. prosinca.
Međutim, malo sam znala da iskušenje još nije završeno. Upravo sam vidio vrh ledenog brijega prvog dana. Ubrzo sam otkrio što su hakeri stvarno učinili.
Hakeri igraju tražilice
Od samog početka sam se pitao: "Zašto bi netko hakirao ovu stranicu?" U njemu nema ništa vrijedno (hakeru). Nema brojeva kreditnih kartica. Nema povjerljivih podataka. Nema podataka o klijentu.
Isprva sam to pripisao vandalizmu.
Ali kako se situacija odvijala i otkrila više štete, shvatila sam da to nije samo vandalizam. Umjesto toga, ova aktivnost hakiranja je sve u redu otmice web-lokacija i blogova malih tvrtki , i pomoću njih generirati veze na druge stranice igra tražilicama .
Hakeri pronalaze sigurnosnu rupu i ulaze u vašu stranicu. Oni preuzimaju kontrolu putem skripti koje vašu web-lokaciju pretvaraju u drone koji stvaraju veze. Linkovi stvoreni na vašoj web-lokaciji (bez vašeg znanja) ukazuju na druge web-lokacije, u nastojanju da ta druga mjesta dođu na vrh rezultata tražilice.
Upucao Splog prsten
Dan nakon što sam otkrio hakiranje, naučio sam najgori dio: hakeri su oteli dio ove stranice u prsten za splog (spam).
Prvi trag je došao iz Technorati.com kad sam vidio da se ulazni link računa na Trendovi u malom poslovanju skočio je za par tisuća veza preko noći. "Oh, kako je to lijepo", pomislio sam - oko 3 sekunde! Moje zadovoljstvo se pretvorilo u gađenje kad sam vidjela da svi linkovi koriste sidreni tekst kao što su "viagra", "slatke melodije" i druge vrste smeća.
Linkovi su bili iz "splogs". Svaki splog sastojao se od popisa tisuća - doslovno tisuća - linkova koji upućuju na stranice na drugim web stranicama, uključujući stotine lažnih stranica koje su postavljene u tmp direktoriju ove stranice.
Tada sam shvatio što su hakeri doista učinili. Ostavili su skriptu koja je automatski generirala stotine lažnih stranica na ovoj stranici. Te lažne stranice su pak bile preusmjerene na web-mjesta za pharma, adult i ringtone. Niste mogli vidjeti lažne stranice da gledaju ovu stranicu, ali bile su tu.
Tada su hakeri stvorili veze s drugim stranicama, uglavnom blogovima, kako bi se povezali s lažnim stranicama Trendovi u malom poslovanju, Sve je osmišljeno kako bi naposljetku poslalo kombiniranu težinu veze na web-mjesta pharme, adult i ringtone koje su željeli visoko rangirati u tražilicama.
Evo kako to radi:
Splog >>> veze na lažnu stranicu na otetoj web-lokaciji B >>> koja je lažna stranica preusmjerena na pharma web-lokaciju koja prodaje OxyContin.
Isperite i ponovite. Tisuće puta.
Rezultat = brzo povećanje u tražilice ljestvici za mjesto prodaje OxyContin.
Kao što možete vidjeti, to nije bio izolirani napad na jednom mjestu. To je bila orkestrirana shema stotine ako ne tisuća mjesta. Moj se slučajno dogodio da je jedan od mnogih mjesta zarobljen.
Kako su hakeri stigli
Smatramo da su hakeri došli kroz nesigurnu verziju WordPressa preko poslužitelja. Osim toga, više neću reći više, kako ne bih dao plan kako da razbijem druge web-lokacije. Čini se da je napad došao s ruske IP adrese.
Napad je iskoristio vrijeme odmora, jer je moj domaćin imao skeletno osoblje koje je radilo na Badnju večer. Zapanjujuće, manje od 2 dana nakon prvog napada, dok smo bili usred popravljanja pokolja, hakeri su se vratili! Ovaj je put pokušaj hakiranja spriječen brzim djelovanjem tvrtke za hosting, blokirajući IP adresu koja je ludo spidirala web-lokaciju.
Kao što sam istraživao druge hakiranje, bio sam zapanjen otkrivši da postoji više od desetak verzija WordPressa s poznatim ranjivostima. S procijenjenih 2 do 3 milijuna blogova koji koriste WordPress, to znači mnogo blogova koji su potencijalno ugroženi. Web-lokacije i blogovi koji su već neko vrijeme postojali i pouzdana web-mjesta vjerojatno su napadnuta.
Dovoljno je napraviti pretragu u Googleu i naći ćete izvješća drugih WordPress blogova koji su hakirani, uključujući neke od najboljih i najsjajnijih. Čak je i Al Goreov blog bio hakiran.
Nadalje, moje istraživanje otkrilo je najmanje šest načina kompromitiranja WordPress blogova. I za svaku metodu koju sam vidio, siguran sam da loši momci znaju dvadesetak drugih.
Korektivne mjere
Poduzeli smo nekoliko koraka kako bismo osigurali web-lokaciju, uključujući:
- Nadogradnja na najnoviju verziju WordPressa.
- Isključio je jedan čep koji je predložio istraživanje možda ima sigurnosne ranjivosti i ažurirao sve preostale dodatke ako postoje nove verzije.
- Očistio je sve što su ostavili hakeri, izbrisali njihove skripte i neovlaštene veze i stranice. Mi ne samo da smo morali pretražiti naš vlastiti kod stranice, već je i naša tvrtka za hosting trebala to učiniti za cijeli poslužitelj.
- Vratio se na čistu MySQL bazu podataka prije napada.
- Blokirana samoregistracija na ovoj web-lokaciji.
- Promijenjene zaporke; pregledali su logove poslužitelja za sumnjive IP adrese i blokirali ih; i promijenio niz drugih stvari na koje ne želim skrenuti pozornost.
Netko me je pitao planira li se prebaciti s WordPress na drugi softver. Ne, planiram se držati toga. WordPress je dobar softverski paket i ima 99% vremena bez glavobolje. Razumijem da WordPress razvojna zajednica radi na rješavanju sigurnosnih pitanja - nadajmo se da će to učiniti prije nego WordPress razvije nepovratan loš rap.
Međutim, pokrenuo sam sigurnosne mjere nekoliko zareza. Vjerujem da odlučni haker može pronaći način da uđe bilo koji ako to stvarno žele. Ali zašto si lakši cilj?
Dakle, sada se vjerojatno pitate što možete učiniti kako biste zaštitili svoj blog ili web-lokaciju. Imam neke naputke za vas. Ali budući da je ovaj članak već dugačak, stavio sam ih u zasebni članak: Kako zaštititi vašu WordPress stranicu.
56 Komentari ▼
