Na, aš čia noriu pasakyti, kad tai gali atsitikti su jumis.
Ši svetainė buvo nulaužta praeitą Kalėdų vakarą. Tai, kas atsitiko, yra didesnės ir nerimą keliančios tendencijos, kuria užpultos ir kompromituojamos smulkaus verslo svetainės ir tinklaraščiai, dalis. „WordPress“ svetainės atrodo kaip konkretus tikslas.
$config[code] not foundNusprendžiau pasidalinti savo istorija, tikėdamasis, kad tai padės išvengti įsilaužimo arba jei taip atsitiktų, greitai atsigauna.
Bjaurios detalės
Kalėdų rytą aš bandžiau atidaryti šią svetainę, nes paprastai aš ryte pirmą kartą darysiu, kad galėčiau greitai patikrinti.
Svetainės pagrindinis puslapis buvo visiškai tuščias! Nieko. Nada. Taip pat negalėjau skelbti nieko naujo. Supratau, kad krekeriai įsilaužė į svetainę. Kaip tyrinėjau vėliau tą pačią dieną, sužinojau, kad svetainėje buvo padaryta daug žalos, įskaitant:
- Visi „WordPress“ įskiepiai buvo išjungti
- Buvo ištrinta keletas puslapių, įskaitant ekspertų katalogą, naujienlaiškio puslapį, apie puslapį ir kitus.
- Dienoraštis buvo pažeistas, su maždaug dvylika nuorodų įtraukta į suaugusiųjų svetaines ir farmacijos svetaines.
- Antraštėje ir poraštėje buvo išsklaidytos beveik 50 paslėptų nuorodų į suaugusiųjų svetaines, farmacijos vietas ir kitas šiukšlių vietas. Jūs negalėjote matyti nuorodų į svetainę per standartinę naršyklę, pvz., „Internet Explorer“, nes jos buvo sąmoningai paslėptos naudojant HTML kodą. Tačiau paieškos sistemos, žinoma, gali „pamatyti“ nuorodas.
Kadangi tai buvo šventė, aš padariau tai, ką galėjau, kad atkurčiau svetainę, o kitą dieną gavau pagalbą. Laimei, aš naudoju profesionalią kompaniją, turinčią puikią paramą telefonu. Ir mūsų sutarčių administratorius Tim Grahl buvo super ir atsisakė atsakyti.
Dirbdami komandoje pavyko pasiekti, kad svetainė veiktų ir vėl ateitų iki verslo pabaigos gruodžio 26 d.
Tačiau mažai žinojau, kad bandymas dar nebuvo baigtas. Aš ką tik matiau ledkalnio viršūnę pirmą dieną. Aš netrukus sužinojau, ką iš tikrųjų padarė įsilaužėliai.
Hakeriai Žaidimų paieškos
Nuo pat pradžių stebėjau: „Kodėl kažkas nulaužė šią svetainę?“ Joje nieko nėra vertinga (įsilaužėlis). Nėra kredito kortelių numerių. Jokių konfidencialių duomenų. Nėra klientų informacijos.
Iš pradžių aš suskaldiau jį į vandalizmą.
Tačiau, kai susidarė padėtis ir aš pastebėjau daugiau žalos, supratau, kad tai nėra tik vandalizmas. Greičiau ši įsilaužimo veikla yra susijusi mažų įmonių svetainių ir tinklaraščių užgrobimas ir naudokite juos sukurti nuorodas į kitas svetaines žaidimų paieškos .
Įsilaužėliai suranda saugos skylę ir patenka į jūsų svetainę. Jie priima valdymą per scenarijus, kurie paverčia jūsų svetainę į nuorodą generuojančią droną. Svetainėje sukurtos nuorodos (be jūsų žinios) nurodomos kitose svetainėse, siekiant, kad šios kitos svetainės būtų paieškos rezultatų viršuje.
Apsuptas „Splog Ring“
Vieną dieną po to, kai atradau įsilaužimą, sužinojau blogiausią dalį: įsilaužėliai užgrobė dalį šios svetainės į „splog“ („spam“ dienoraštį) žiedą.
Pirmasis raktas atėjo iš „Technorati.com“, kai pamačiau į gaunamą nuorodą Smulkiojo verslo tendencijos per naktį šoktelėjo pora tūkstančių nuorodų. „O kaip gražiai,“ maniau - apie 3 sekundes! Mano malonumas sukėlė pasibjaurėjimą, kai pamačiau, kad visos nuorodos naudojo inkaro tekstą, pvz., „Viagra“, „cute ringtones“ ir kitas asortimentas.
Nuorodos buvo gautos iš „splogs“. Kiekvienas splog'as susideda iš tūkstančių - pažodžiui tūkstančių - sąrašų, rodančių nuorodas į kitus tinklalapius, įskaitant šimtus netikrų puslapių, kurie buvo sukurti šios svetainės tmp kataloge.
Štai tada supratau, ką iš tikrųjų padarė įsilaužėliai. Jie paliko scenarijų, kuris automatiškai generavo šimtus netikrų puslapių šioje svetainėje. Šie suklastoti puslapiai savo ruožtu nukreipti į farmacijos, suaugusiųjų ir skambėjimo tonų svetaines. Neturėjote netikrų puslapių žiūrėti į šią svetainę, bet jie buvo ten.
Tada įsilaužėliai sukūrė kitų svetainių žiedus, daugiausia tinklaraščius, kad susietų su suklastotais puslapiais Smulkiojo verslo tendencijos. Viskas buvo sukurta tam, kad galiausiai nusiųstų kombinuoto ryšio svorį į farmacijos, suaugusiųjų ir skambėjimo tonų svetaines, kurias jie norėjo reitinguoti aukščiau paieškos sistemose.
Štai kaip jis veikia:
Splog A >>> nuorodos į netikrą puslapį užgrobtoje svetainėje B >>>, kurią suklastotas puslapis buvo nukreiptas į farmacijos svetainę, kurioje parduodamas „OxyContin“.
Nuplaukite ir pakartokite. Tūkstančiai kartų.
Rezultatas = greitas paieškos variklių reitingų padidėjimas svetainėje „OxyContin“.
Kaip matote, tai nebuvo atskiras užpuolimas vienoje svetainėje. Tai buvo organizuota schema, apimanti šimtai jei ne tūkstančiai svetainių. Kas tik atsitiko, buvo viena iš daugelio svetainių.
Kaip įsilaužėliai įsiliejo
Manome, kad įsilaužėliai per serverį pateko į nesaugią „WordPress“ versiją. Be to, aš daugiau nesakysiu, kad nebūtų pateikiamas planas, kaip įveikti kitas svetaines. Atrodo, kad ataka kilo iš Rusijos IP adreso.
Išpuolis pasinaudojo atostogų laiku, nes mano šeimininkui teko skulptūrų darbuotojai, dirbantys Kalėdų išvakarėse. Stebėtina, kad mažiau nei 2 dienas po pirmojo atakos, o mes buvome viduryje, kai mes nustatėme mėsą, įsilaužėliai sugrįžo! Šį kartą įsilaužimo bandymas buvo užkirstas už greitą prieglobos įmonės veiksmą, užblokuodamas IP adresą, kuris buvo beprotiškai spidering svetainėje.
Kai tyrinėjau kitus įsilaužimus, buvau nustebintas, kad pastebėjau, jog yra daugiau nei dešimt „WordPress“ versijų su žinomomis spragomis. Apskaičiuojant 2–3 milijonus dienoraščių naudojant „WordPress“, tai reiškia, kad yra daug blogų, kuriems gali kilti pavojus. Tinklalapiai ir dienoraščiai, kurie buvo maždaug tam tikru metu, ir patikimos svetainės yra tikėtinos atakos.
Tiesiog atlikite paiešką „Google“ ir rasite pranešimų apie kitus „WordPress“ tinklaraščius, kuriuose yra įsilaužimų, įskaitant geriausius ir ryškiausius. Net Al Gore dienoraštis buvo nulaužtas.
Be to, mano tyrimai atskleidė bent pusę dešimties būdų, kaip kompromisuoti „WordPress“ tinklaraščius. Ir dėl kiekvieno metodo, kurį matiau, esu tikras, kad blogi vaikinai žino 2 tuzinus kitų.
Korekciniai veiksmai
Saugojome svetainę, įskaitant:
- Atnaujinta į naujausią „WordPress“ versiją.
- Įdiegė vieną papildinį, kurio siūlomi tyrimai gali turėti saugumo spragų, ir atnaujino visus likusius įskiepius, jei egzistavo naujos versijos.
- Išvalyti visus įsilaužėlių paliktus stambius, ištrinti jų scenarijus ir neleistinas nuorodas ir puslapius. Turėjome ne tik nuvalyti savo svetainės kodą, bet ir reikalavome, kad mūsų kompanija veiktų visą serverį.
- Grįžo į švarią „MySQL“ duomenų bazės atsarginę kopiją prieš ataką.
- Užblokuota registracija šioje svetainėje.
- Pakeisti slaptažodžiai; peržiūrėti įtartinų IP adresų serverio žurnalai ir blokuoti juos; ir pakeitė keletą kitų dalykų, į kuriuos nenoriu atkreipti dėmesio.
Kažkas paklausė, ar planuoju pereiti nuo „WordPress“ į kitą programinę įrangą. Ne, aš planuoju su juo laikytis. „WordPress“ yra geras programinės įrangos paketas ir 99% laiko buvo be galvos skausmo. Suprantu, kad „WordPress“ vystymo bendruomenė stengiasi spręsti saugumo problemas - tikėkimės, kad jie tai darys prieš „WordPress“ išsivystant negrįžtamą blogą rap.
Vis dėlto pora pjūvių aš sukūriau saugumo priemones. Manau, kad nustatytas įsilaužėlis gali rasti būdą įeiti bet svetainėje, jei jie tikrai nori. Bet kodėl padaryti save lengvu taikiniu?
Taigi, dabar jūs tikriausiai įdomu, ką galite padaryti, kad apsaugotumėte savo tinklaraštį ar svetainę. Turiu jums keletą patarimų. Tačiau kadangi šis straipsnis jau ilgas, juos įdėjau į atskirą straipsnį: Kaip apsaugoti „WordPress“ svetainę.
56 Komentarai ▼
