קוראים יקרים שלום.
נודע לי היום שהאתר שלי (ועוד אתרים אחרים באחסון שלי), נחשפו לפריצה אשר החדירה קוד זדוני שמתקין ווירוס אצל גולשים המבקרים באתר.
לאלו מכם שיש אנטיווירוס מותקן ומעודכן על המחשב, תגלו שהוא חוסם את הווירוס בכניסתכם לאתר.
לאלו מכם שאין אנטיווירוס (נו נו נו לכם!), אל תלכו, תרוצו, להתקין אנטי ווירוס (כבר למעלה משנתיים אני משתמש מרוצה של AVAST, הדרך הקלה להוריד אותו היא מהלינק כאן)
לאנשי הוורדפרס מבינינו, הנה איך שגיליתי (ואיך שאני מתכנן) לפתור את הבעיה:
1) הגילוי – חברים עדכנו אותי (במייל ודרך טוויטר) שהאנטיווירוס שלהם מתלונן בכניסתו לאתר.
2) החקירה – לאחרונה פורסם פוסט בנושא פלאגיני אבטחה לוורדפרס (הנה הלינק) בבלוג לו אני מנוי. לאחר סקירה זריזה שלו החלטתי להתקין את הפלאגין WordPress Exploit Scanner והרצתי אותו לסרוק ולמצוא חריגות. הוא הצליח לאתר קוד זדוני שמושתל בקבצים ראשיים באתר שלי (קמצי ה- index וכן הלאה).
3) הפניה לעזרה – פניתי לשירות האחסון שלי (site5) בבקשה מהם לשחזר גיבוי קודם לקבצים ומחיקת כל משתמשי ה- FTP שלי. הם צפויים לעשות זאת בשעות הקרובות ואז אראה אם זה הספיק (אם לא, אני אצטרך לעבור ולמחוק את כל הלינקים שהושתלו בקבצי האתר. ואז אני אצטרך לחפש דרך לבצע search and replace המוני על האתר מבלי להוריד אלי את כל הקבצים מהשרת ואז להעלות אותם – הידד…)
4) הפתרון – עוד לא בוצע. כשיהיה, יהיה…. (ואני אעדכן אותו כאן)
ולסיום, שירות התמיכה של site5 שלחו לי שורה של "המלצות חמות" על מה כדאי שאבצע כדי להבטיח שלא יפרצו לאתר שלי, אני מצרף אותם כאן להנאתכם
Most account compromises are initiated by using a remote command inclusion vulnerability within an existing web application. This issue was likely the result of poor or lack of security on the part of one or more user accounts, including shared or weak passwords, insecure permissions on important configuration files ( allowing full read access globally ), and other factors. Please be sure that the following steps are taken to assist in preventing further intrusions:
– Perform a complete audit of your account and applications. Ensure that all content available was made available only by yourself and that any information, including applications login credentials that don't match up are removed.
– Any PHP scripts should be chmod 600 at the very least. Any PHP scripts that contain important information, such as MySQL database connection information should be chmod 400. By Default these files are likely permissioned to 644 which will allow global read access to the file by any user on the system.
– Any applications that are connecting to MySQL database should be doing so with their own individual MySQL database login credentials. Never should a set of credentials be recycled or used elsewhere. You should also avoid using your system username and password as an authorization point for these applications.
– Passwords should be 16+ characters in length and contain a mixed case of letters and numbers and should be modified on a regular basis ( twice monthly at the very least ). A password should never be used for more than one service or provider, ever!
– Any 3rd party or custom PHP, Perl and other web applications should be kept up to date at all times. Subscribe to the software vendors security or update notifications mailing list. If an application is no longer required or in use, remove it completely. Disabling the application is not always a sure fire means of disallowing intrusion attempts.
If you have trouble keeping track of your passwords, you may want to look into using a solution such as the following, which I personally find to be quite useful in both generating passwords and securely saving these details: http://keepass.sourceforge.net/
טל,
איזשהו רעיון על איך האתר נפרץ?
קשה לדעת.
מסוג הפגיעה, ברור שלבוט היה הרשאה ל- FTP על פני הרבה מהאתרים. אז זה אומר שהיה לו גישה להרשאת ה- FTP הראשי. והסיסמא שלו הייתה יחסית קצרה. אז החלפתי סיסמא. יכול להיות שפשוט פרצו בכוח את הסיסמא.
עכשיו נחכה ונראה אם החלפת הסיסמא תעזור
יש הוסטינג שמאפשר סגירת IP בשלושה נסיונות כושלים לזיהוי סיסמה + התראה (אליך) במייל, שווה לבדוק. זה מעצבן אבל חשוב לדעת.
בהנחה שהחברה יודעים לפרוץ ולשתול פריים בוורדפרס, לא יהיה להם די קל לחבל לך בודג'ט שמוצא את הבעיות בבלוג?
ליאור – המזל היה שאני לא חושב שהבוט היה מכוון לוורדפרס, אלא עשה סוג של פעולה כללית על כל סוג של קובץ.
אילו זה היה בוט חכם – הוא היה מעתיק את הנתונים שעל הקובץ wp-config, ועושה בדטה בייס שלי מה שהוא רוצה…
הוא לא בהכרח צריך או רוצה להתעסק אצלך בדאטהבייס, לשנות קובץ PHP או להוסיף פלאגאין יכול להיות חכם יותר..
שאלה קטנה – אני נכנסתי לאתר הזה אתמול בבוקר (כלומר, ב21.6 בבוקר) והמקאפי שלי לא התריע על שום וירוס או שום דבר אחר. האם עליי לחשוש?
שאלה טובה.
גם ה- NOD32 של אח שלי לא התריע על כלום.
אני לא יודע אם הסיבה היא שהוירוס לא פעיל או שהוא ממש חמקן (והתחמק מהאנטי וירוס שלך).
סביר שזה האופציה הראשונה והכל בסדר.
אבל זו הזדמנות טובה להריץ סריקה על המחשב…
טלג'י יקירי,
ראשית – צר לי לשמוע על הפריצה כמובן. שנית – אני די בטוח שאסור להשתמש במילה 'זדוני' מחוץ להקשר של ספרי קומיקס (וגם שם, צריך להיות סופר-גיבור די ראשי כדי לקבל אישור שימוש בה :] ).
(ניימן. חייב לספר בדיחות גרועות. כל אחד וה – OCD שלו..)