Nos, itt vagyok, hogy elmondjam, hogy történhet veled.
Ezt a honlapot a múlt karácsony estéjén szaggatták. Ami történt, egy nagyobb és zavaró tendencia része, amelyben a kisvállalkozások honlapjait és blogjait támadják meg és veszélyeztetik. Úgy tűnik, hogy a WordPress webhelyek egy konkrét cél.
$config[code] not foundÚgy döntöttem, hogy megosztom a történetemet, abban a reményben, hogy ez segít elkerülni a hackelést, vagy ha valaki megtörténik, akkor gyorsan helyreáll.
A csúnya részletek
Karácsony reggelen próbáltam megnyitni ezt a weboldalt, ahogy reggel szoktam először csinálni, csak azért, hogy gyorsan ellenőrizhessem.
A webhely kezdőlapja teljesen üres! Semmi. Nada. Egyáltalán nem tettem közzé semmit. Rájöttem, hogy egy krakkoló csapkodott a helyszínre. Amint azt később is megvizsgáltam, egy kicsit kiderült, hogy károsodott a webhely, beleértve:
- Minden WordPress bővítmény deaktivált
- Számos oldalt töröltek, beleértve a Szakértők könyvtárát, a Hírlevél oldalt, a Névjegyet és másokat.
- A blogrollot veszélyeztették, körülbelül tucatnyi linket helyeztek a felnőtt oldalakra és a pharma oldalakra.
- A fejlécben és a láblécben szinte 50 rejtett linket találtak felnőtt oldalakra, gyógyszerészeti helyekre és más szemétlerakókra. Nem látta, hogy a linkek egy webböngészőn, például az Internet Exploreren keresztül nézhessék meg az oldalt, mert szándékosan elrejtették őket HTML kód használatával. A keresőmotorok természetesen „láthatják” a linkeket.
A nyaralás miatt csináltam, amit én tudtam, hogy helyreállítsam a webhelyet, és a következő napon segítséget kaptam. Szerencsére professzionális hosting céget használok kiváló telefonos támogatással. Szerződéses webmesterünk, Tim Grahl, szuper volt, és mindent eldobott, hogy válaszoljon.
Csapatként dolgoztunk, és sikerült a helyszín működését végigvinni, és az üzleti év végéig ismét megjelenni.
Keveset tudtam azonban, hogy a megpróbálás még nem ért véget. Épp most láttam a jéghegy csúcsát az első napon. Hamarosan rájöttem, hogy a Hackerek valóban megtették.
Hackerek a keresőmotorok játékában
A kezdetektől fogva azon tűnődtem, hogy „Miért hackelne valaki ezt a webhelyet?” Nincs benne semmi érték (a hacker számára). Nincs hitelkártyaszám. Nincsenek bizalmas adatok. Nincs ügyfélinformáció.
Először a vandalizmushoz vezettem.
De ahogy a helyzet kibontakozott és több kárt fedeztem fel, rájöttem, hogy ez nem pusztán vandalizmus. Inkább ez a hackelési tevékenység a kisvállalati webhelyek és blogok leküzdése , és használd őket linkek létrehozása más webhelyekre játék a keresőmotorok .
A hackerek biztonsági rést találnak, és belépnek a webhelyére. Átveszi az irányítást a szkriptek segítségével, amelyek a webhelyet link-generáló dronevá alakítják. A webhelyén létrehozott linkek (az Ön tudta nélkül) más oldalakra mutatnak, annak érdekében, hogy a többi webhely a keresőmotor eredményeinek tetejére kerüljön.
Egy Splog gyűrűben nyúlt
Egy nappal azután, hogy felfedeztem a szaggató köhögést, megtanultam a legrosszabb részt: a hackerek a webhely egy részét splog (spam blog) gyűrűbe foglalták.
Az első nyom a Technorati.com-ból származik, amikor láttam a bejövő linket Kisvállalati trendek egy pár ezer linket egy éjszakán át ugrott. - Ó, milyen szép - gondoltam - körülbelül 3 másodpercre! Örömmel undorodtam, amikor láttam, hogy az összes hivatkozás olyan horgonyszöveget használ, mint a „viagra”, „aranyos csengőhangok” és más válogatott szemét.
A linkek „splogs-ből” származnak. Minden egyes splog több ezer - szó szerint ezer - linkekből állt, amelyek más weboldalakra mutató oldalakra mutatnak, beleértve a hamis oldalak százait, amelyek a webhely tmp könyvtárában lettek beállítva.
Ekkor rájöttem, hogy a hackerek valóban megtették. Egy olyan forgatókönyvet hagytak hátra, amely automatikusan létrehozott több száz hamis oldalat ezen az oldalon. Ezeket a hamis oldalakat viszont a gyógyszer-, felnőtt- és csengőhang-oldalakra irányították át. Nem látta a hamis oldalakat, hogy nézhessenek ezen az oldalon, de ott voltak.
Ezután a hackerek más webhelyek, főként blogok gyűrűit hozták létre a hamis oldalakhoz való kapcsolódáshoz Kisvállalati trendek. Mindent úgy terveztek, hogy végül egy kombinált súlyt küldjön a pharma-, felnőtt- és csengőhang-oldalakra, amelyeket a keresőmotorokban magasra akartak rangsorolni.
Így működik:
Splog A >>> linkek a hamis oldalra a B >>> elrontott webhelyen, melyet a hamis oldal átirányított egy OxyContin-ot értékesítő gyógyszer webhelyre.
Öblítse le és ismételje meg. Több ezer alkalommal.
Eredmény = a keresőmotorok rangsorának gyors növekedése az OxyContin-t értékesítő webhelyen.
Amint láthatjuk, ez nem egy külön támadás egyetlen webhelyen. Ez egy összehangolt rendszer volt száz ha nem Több ezer oldalak. Az enyém csak az volt, hogy egyike volt a sok oldalnak.
Hogyan kerültek a Hackerek
Úgy gondoljuk, hogy a hackerek a WordPress bizonytalan változatán keresztül jutottak el a szerveren keresztül. Ezen túlmenően nem fogok többet mondani, hogy ne adjunk útitervet más oldalak megtöréséhez. A támadás egy orosz IP-címből származott.
A támadás kihasználta az ünnepi időzítést, mivel a házigazdámnak volt egy csontváz munkatársa, aki karácsony estéjén dolgozott. Meglepő módon, az első támadás után kevesebb, mint 2 nappal, miközben a közegben találtuk a vérontást, a hackerek visszatértek! Ezúttal a hackelési kísérletet a hosting cég gyors fellépése megakadályozta, blokkolva az IP-címet, amely a helyszínen őrülten pörgött.
Amint más hackeleket is kutattam, megdöbbentem, hogy felfedezem, hogy több, mint egy tucatnyi WordPress verzió van ismert sebezhetőséggel. A becslések szerint 2-3 millió blogot használnak a WordPress használatával, ami azt jelenti, hogy sok blog van veszélyben. Azok a webhelyek és blogok, amelyek egy ideig tartózkodtak, és a megbízható webhelyek, amelyek valószínűleg támadnak.
Csak csináljon keresést a Google-on, és olyan jelentéseket is találhatsz, amelyeket más WordPress blogokról kaptál, köztük a legjobb és legvilágosabb. Még Al Gore blogja is csapkodott.
Továbbá, a kutatásom legalább fél tucat módon fedezte fel a WordPress blogok kompromisszumát. És minden módszerrel, amit láttam, biztos vagyok benne, hogy a rosszfiúk 2 tucat mást tudnak.
Korrekciós intézkedéseket
Számos lépést tettünk a webhely biztosításához, beleértve a következőket:
- Frissítve lett a WordPress legújabb verziójára.
- Egy olyan plugint adott ki, amelyre a javasolt kutatások biztonsági résekkel rendelkeznek, és minden új plugint frissített, ha új verziók léteznek.
- Tisztították a hackerek által elhagyva, a parancsfájlokat és a jogosulatlan hivatkozásokat és oldalakat. Nem csak a saját webhelykódunkat kellett kitisztítanunk, hanem a hosting cégünknek is meg kellett tennie, hogy ezt a teljes kiszolgálón végezze el.
- Visszatérve egy tiszta MySQL adatbázis biztonsági mentéshez a támadás előtt.
- Blokkolt önregisztráció ezen az oldalon.
- Megváltozott jelszavak; felülvizsgált szervernaplók a gyanús IP-címekhez és letiltották őket; és megváltoztatott néhány más dolgot, amelyeket nem akarok felhívni.
Valaki megkérdezte, hogy tervezem-e a WordPress-ről egy másik szoftverre váltani. Nem, azt tervezem, hogy ragaszkodom hozzá. A WordPress egy jó szoftvercsomag, és az idő 99% -a fejfájástól mentes. Megértem, hogy a WordPress fejlesztői közösség dolgozik a biztonsági problémák megoldása érdekében - reméljük, hogy ezt megteszik, mielőtt a WordPress visszafordíthatatlan rossz rap-ot alakít ki.
Mindazonáltal pár biztonsági rést hoztam fel. Azt hiszem, egy meghatározott hacker megtalálja a módját, hogy bejusson bármilyen helyszínen, ha igazán akarnak. De miért csinálod magadnak könnyű célpontot?
Szóval, most már valószínűleg azon tűnődsz, vajon mit tehetsz a blogod vagy a weboldal védelme érdekében. Van néhány mutatóm neked. De mivel ez a cikk már régóta van, egy külön cikkben helyezem el őket: Hogyan védjük meg a WordPress webhelyet.
56 Megjegyzések ▼
