Mój WordPress został zhackowany!
#wordpress #backdoor #joomlaNa szczęście jeszcze do tego nie doszło, ale wszystko przed nami :) Nie mniej jest to chyba jedna z codziennych dyskusji w biurze; czy, kto i ilu klientów posiadających dziś WordPress na swoim hostingu padło łupem hackerów.
W hostit.pl monitorujemy na bieżąco aktywność procesów uruchamianych przez klientów; wykorzystanie RAM, CPU, ruch UDP/TCP. Skanowanie zawartości folderów domowych to automatyczna codzienność. Oczywiście skanujemy zawartość plików pod względem, zainfekowanych plików czy też zmodyfikowanych skryptów.
Niestety liczba włamań na skrypty typu Joomla czy WordPress jest po prostu przytłaczająca. Efekt jest zawsze ten sam; rozsyłanie spamu czy ataki DOS. W konsekwencji blokada konta do czasu usunięcia przyczyny przez właściciela serwera. W większości przypadków, udaje się nam wraz z właścicielami kont odnaleźć złoty środek i pomóc w oczyszczeniu serwera z zainfekowanych plików.
W sytuacji podobnej do opisanej powyżej, jedyne co możemy zrobić to powiadomić klienta, iż jego skrypt wysyła X Mbit/s na dany port, czy też rozsyła sam; wskazać lokalizacje zainfekowanych plików i poprosić o przeinstalowanie oprogramowania. Wiele osób próbuje po prostu usnąć wgrane pliki bez aktualizacji oprogramowania, po czym beztrosko zgłasza, że problem został usunięty.
Niestety, tak nie jest. W przypadku gdy skrypt pozwolił na wgranie na serwer nieporządnych plików, ich usunięcie jest tylko posprzątaniem po skutku dziurawego skryptu – nie usuwa jednak przyczyny. Wznowienie działanie takiego skryptu jest zagrożeniem dla pozostałych klientów, którzy na skutek takiego zdarzenia, mogą mieć problem z dostępnością swoich witryn.
Wyjściem z tej sytuacji, jest niestety, usunięcie całej zwartości FTP – najlepiej zmiany haseł do serwera FTP i MySQL i jeżeli umożliwia to posiadany plan hostingowy, przełączenie na połączenia SFTP. W przypadku połączeń SFTP nawet gdy nasz komputer jest zainfekowany przechwycenie hasła (przez trojana zainstalowanego na naszym komputerze), jest praktycznie nie możliwe.
Kolejnym krokiem jest wgranie najnowszej wersji oprogramowania i zaktualizowania wszystkich zainstalowanych wtyczek do najnowszej wersji. Jeżeli to wszystko zostało zrobione, mamy pewność, że kolejne kilka dni powinny być spokojne. Jakkolwiek powinniśmy postarać się zaktualizować wykorzystywane oprogramowanie w miarę szybko, gdy pojawi się jego najnowsza wersja.
W większości przypadków do zainfekowania serwera użytkownika dochodzi na skutek:
- Instalacji szablonów nieznanego pochodzenia – często jest to bezpłatny szablon, który można pobrać zupełnie bezpłatnie ze wskazanego adresu
- Instalacja wtyczek od niezaufanych wydawców, czy też serwisów, których celem jest dostarczenie wtyczki z tzw. back doorem – dziurą, która umożliwia przejęcia kontroli nad skryptem
- W końcu: brakiem aktualizacji zainstalowanego skryptu do najnowszej wersji oprogramowania udostępnianego przez producenta.
Najrzadszym przypadkiem (niestety występującym) jest zainfekowany komputer, z którego dokonujemy połączeń FTP. W takiej sytuacji zainstalowany wirus na komputerze użytkownika, nasłuchuje połączeń FTP/POP3/IMAP3/SMTP i jeżeli są one nawiązywane bez pomocy SSL – po prostu przechwytuje hasło wysyłane do serwera hostit.pl i przekazuje je do nadzorcy botneta, który w sposób w pełni zautomatyzowany potrafi wykorzystać, tak pozyskane hasło do przejęcia kontroli na Twoim serwerem.
Zhackowany Wordpress
WordPress czy Joomla to dwa najpopularniejsze skrypty, które są wykorzystywane do włamania na serwer. Powodem tego stanu rzeczy jest nieświadomość użytkowników. Wspominane instalacje dodatków z niewiadomego pochodzenia czy też brak aktualizacji przeprowadzanych przez właścicieli witryn, powoduje, że botnety przeczesują codziennie tysiące hostów w poszukiwaniu znaków rozpoznawczych dla tych skryptów (stopki, specyficzne URLe np. /wp-admin czy /administrator).
Podatny na ataki skrypt, jest niebezpieczny zarówno dla operatora, jak i pozostałych klientów. Gdy Twój skrypt umożliwia „wejście” na serwer, dostępności usług pozostałych klientów jest po wielkim znakiem zapytania. Wiem, że chciałbyś, aby Twoja witryna była wolna od błędów innych współużytkowników serwera, jeżeli jednak dostępność Twojej strony byłaby uzależniona od harców innego użytkownika, wymagałbyś od nas natychmiastowej reakcji. Dlatego w sytuacji, gdy dany skrypt może zagrażać działaniu usług pozostałych klientów, wdrażamy natychmiastowe procedury, których zadaniem jest zagwarantowanie Twojej witrynie najwyższej dostępności.