No, olen täällä kertoa teille, että se voi tapahtua sinulle.
Tämä sivusto oli hakattu tätä jouluaattona. Se, mikä tapahtui, on osa suurempaa ja häiritsevää suuntausta, jossa pienyritysten verkkosivuja ja blogeja hyökätään ja vaarantetaan. WordPress-sivustot näyttävät olevan erityinen kohde.
$config[code] not foundOlen päättänyt jakaa tarinani, toivoen, että se auttaa välttämään hakkerointia tai jos näin tapahtuu, toipu nopeasti.
Ruma yksityiskohdat
Joulun aamuna yritin avata tämän sivuston, koska tavallisesti teen aamulla ensimmäisenä, vain nopean tarkistuksen tekemiseksi.
Sivuston kotisivu oli täysin tyhjä! Ei mitään. Nada. En myöskään voinut lähettää mitään uutta. Tajusin, että krakkausyksikkö oli hakkeroinut sivustoa. Kuten myöhemmin selvitin, löysin melko vähän vahinkoa sivustolle, mukaan lukien:
- Kaikki WordPress-laajennukset oli poistettu käytöstä
- Useita sivuja oli poistettu, mukaan lukien Asiantuntija-hakemisto, Uutiskirjeen sivu, Tietoja-sivu ja muut.
- Blogroll oli vaarantunut, ja noin kymmenen linkkiä lisättiin aikuisille ja pharma-sivustoille.
- Otsikkoon ja alatunnisteeseen oli hajallaan lähes 50 piilotettua linkkiä aikuisille, farmaseuttisille sivustoille ja muille roskapaikille. Et voi nähdä linkkejä tarkastelemasta sivustoa tavallisella selaimella, kuten Internet Explorerilla, koska ne piilotettiin tarkoituksella HTML-koodilla. Hakukoneet voivat kuitenkin nähdä linkit tietysti.
Kun se oli loma, tein sen, mitä voisin omalla voidakseni palauttaa sivuston, ja seuraavana päivänä sain apua. Onneksi käytän ammattitaitoista hosting-yritystä, jolla on erinomainen puhelintuki. Ja sopimuksemme ylläpitäjä Tim Grahl oli super ja hylkäsi kaiken vastauksen.
Tiiminä työskentelemällä onnistuimme saamaan toimipaikan toimimaan ja etsimään jälleen läsnäoloa joulukuun 26. päivän loppuun mennessä.
Vähän tiedän, että koettelemus ei ollut vielä ohi. Olin juuri nähnyt jäävuoren kärjen ensimmäisenä päivänä. Löysin pian mitä hakkerit todella olivat tehneet.
Hakkerit Hakukoneiden pelaaminen
Aloitin miettimään, ”Miksi joku hakaisi tämän sivuston?” Siinä ei ole mitään arvoa (hakkereille). Ei luottokorttien numeroita. Ei luottamuksellisia tietoja. Ei asiakastietoja.
Aluksi puhuin sen vandalismiin.
Mutta kun tilanne avautui ja löysin enemmän vahinkoa, tajusin, että tämä ei ollut pelkkä vandalismi. Pikemminkin tämä hakkerointi on kyse pienten yritysten sivustojen ja blogien kaappaaminen , ja käyttää niitä luoda linkkejä muille sivustoille peli hakukoneissa .
Hakkerit löytävät tietoturva-aukon ja pääsevät sivustosi sisälle. He hallitsevat skriptejä, jotka kääntävät sivustosi linkin tuottavaksi droneeksi. Sivustollasi luodut linkit (tietämättäsi) on osoitettu muille sivustoille, jotta muut sivustot saataisiin hakukoneen tulosten yläreunaan.
Snared in Splog Ring
Päivä sen jälkeen kun löysin hakkeroinnin, sain tietää pahimman osan: hakkerit olivat kaapanneet osan tästä sivustosta splog-blogirenkaaseen.
Ensimmäinen vihje tuli Technorati.comista, kun näin saapuvan linkin määrän Small Business Trends oli hyppäsi pari tuhatta linkkiä yön yli. ”Voi kuinka mukavaa,” ajattelin - noin 3 sekuntia! Minun ilo kääntyi inhottavaksi, kun näin, että kaikki linkit käyttivät ankkuritekstiä, kuten "viagra", "söpö soittoääni" ja muita valikoituja roskia.
Linkit olivat "splogs". Jokainen splog koostui tuhansista listoista - kirjaimellisesti tuhansista - linkeistä, jotka osoittavat sivuille muilla sivustoilla, mukaan lukien satoja väärennettyjä sivuja, jotka oli asetettu tämän sivuston tmp-hakemistoon.
Silloin tajusin, mitä hakkerit todella olivat tehneet. He olivat jättäneet jälkeensä komentosarjan, joka tuotti automaattisesti satoja väärennettyjä sivuja tällä sivustolla. Nämä väärennössivut puolestaan siirrettiin lääkkeiden, aikuisten ja soittoäänien sivustoille. Et voi nähdä väärennettyjä sivuja katsomasta tätä sivustoa, mutta he olivat siellä.
Sitten hakkerit olivat luoneet muiden sivustojen, lähinnä blogien, renkaat linkittämään väärennettyjä sivuja Small Business Trends. Kaikki suunniteltiin lähettämään yhdistetyn linkin painon pharman, aikuisten ja soittoäänien sivustoihin, joita he halusivat sijoittaa korkealle hakukoneissa.
Näin se toimii:
Splog A >>> -linkit väärennettyyn sivuun kaapatulla sivustolla B >>>, joka on väärennetty sivulle suunnattuun OxyContin-sivustoon.
Huuhtele ja toista. Tuhansia kertoja.
Tulos = OxyContinia myyvän sivuston hakukoneiden sijoitusten nopea kasvu.
Kuten näette, tämä ei ollut yksittäinen hyökkäys yhdelle sivustolle. Tämä oli järjestetty järjestely, johon osallistui sadat jos ei tuhansia sivustoja. Kaivos sattui olemaan yksi monista sivustoista, jotka olivat kärsineet.
Miten hakkerit pääsivät sisään
Uskomme, että hakkerit pääsivät palvelimen kautta WordPressin turvattomaan versioon. Tämän lisäksi en sano enempää, jotta et anna etenemissuunnitelmaa muiden sivustojen rikkomisesta. Hyökkäys näytti tulleen venäläisestä IP-osoitteesta.
Hyökkäys hyödynsi loma-ajoitusta, sillä isäntäni oli luuranko-henkilökunta, joka työskenteli jouluaattona. Hämmästyttävästi, vähemmän kuin kaksi päivää ensimmäisen hyökkäyksen jälkeen, kun olimme keskellä kiinnittämistä verilöylyä, hakkerit tulivat takaisin! Tällä kertaa isäntäyrityksen nopeat toimet estivät hakkerointiyrityksen estäen IP-osoitteen, joka oli hämmentävän sivustoa.
Kun tutkin muita hakkuutarvikkeita, olin hämmästynyt huomatessani, että WordPressilla on yli kymmenen versiota, joilla on tunnettuja haavoittuvuuksia. Arvoltaan noin 2–3 miljoonaa blogia, jotka käyttävät WordPressia, merkitsevät paljon blogeja, jotka saattavat olla vaarassa. Verkkosivustot ja blogit, jotka ovat olleet noin jonkin aikaa, ja luotettavat sivustot ovat niitä, jotka todennäköisesti hyökkäävät.
Tee vain hakuja Googlesta ja löydät raportteja muista WordPress-blogeista, joista on hakkeroitu, mukaan lukien joitakin parhaista ja kirkkaimmista. Jopa Al Goren blogi oli hakattu.
Lisäksi tutkimuksessani on paljastettu ainakin puoli tusinaa tapoja kompromisoida WordPress-blogeja. Ja jokaisesta nähdystäni menetelmästä olen varma, että pahat pojat tietävät 2 tusinaa muuta.
Korjaava toimenpide
Suoritimme useita toimia suojataksemme sivuston, mukaan lukien:
- Päivitetty WordPressin uusimpaan versioon.
- Suoritti yhden pluginin, jossa ehdotetulla tutkimuksella saattaa olla tietoturva-aukkoja, ja päivitti kaikki jäljellä olevat laajennukset, jos uusia versioita on olemassa.
- Puhdistetaan kaikki hakkerien jättämä raaka, poistamalla niiden skriptejä ja luvattomia linkkejä ja sivuja. Meidän ei tarvinnut vain huuhdella omaa sivustokoodiamme, vaan tarvitsimme hosting-yhtiömme tekemään sen koko palvelimelle.
- Palautettiin puhtaan MySQL-tietokannan varmuuskopioon ennen hyökkäystä.
- Estetty itsensä rekisteröinti tällä sivustolla.
- Muutetut salasanat; tarkistetut palvelinlokit epäilyttävistä IP-osoitteista ja estivät ne; ja muutti useita muita asioita, joihin en halua kiinnittää huomiota.
Joku kysyi, aion vaihtaa WordPressista toiseen ohjelmistoon. Ei, aion pitää kiinni siitä. WordPress on hyvä ohjelmistopaketti ja se on ollut päänsärky-99% ajasta. Ymmärrän, että WordPress-kehitysyhteisö pyrkii käsittelemään turvallisuuskysymyksiä - toivotaanpa, että he tekevät niin, ennen kuin WordPress kehittää peruuttamattoman huonon rapin.
Olen kuitenkin käynnistänyt turvatoimet pari lovea. Uskon, että määritetty hakkeri voi löytää tavan päästä sisään minkä tahansa sivusto, jos he todella haluavat. Mutta miksi tehdä itsestäsi helppo tavoite?
Joten juuri nyt olet luultavasti ihmetellyt, mitä voit tehdä suojataksesi blogisi tai verkkosivustosi. Minulla on sinulle viitteitä. Mutta koska tämä artikkeli on jo pitkä, olen asettanut ne erilliseen artikkeliin: Miten suojata WordPress-sivustoasi.
56 Kommentit ▼
