Ну, я тут, щоб сказати вам, що це може статися з вами.
Цей веб-сайт був зламаний минулим напередодні Різдва Христового. Те, що сталося, є частиною більшої та тривожної тенденції, коли веб-сайти та блоги малого бізнесу піддаються нападам та компрометуванню. Сайт WordPress, здається, є особливою метою.
$config[code] not foundЯ вирішив поділитися своєю історією, сподіваючись, що це допоможе вам уникнути хакерів або, якщо таке трапиться, швидко відновиться.
Потворні деталі
На різдвяний ранок, я намагався відкрити цей сайт, як я зазвичай роблю в першу чергу вранці, просто щоб зробити швидку перевірку.
Домашня сторінка сайту була повністю порожньою! Нічого. Нада. Я також не міг розмістити нічого нового. Я зрозумів, що хакер зламав сайт. Як я досліджував пізніше в цей день, я виявив чимало пошкоджень сайту, включаючи:
- Всі плагіни WordPress були деактивовані
- Кількість сторінок було видалено, включаючи каталог експертів, сторінку інформаційного бюлетеня, сторінку "Про компанію" та інші.
- Блогрол був скомпрометований, і близько десятка посилань вставлено на сайти для дорослих і на фармацевтичні сайти.
- Майже 50 прихованих посилань на сайти для дорослих, фармацевтичні сайти та інші небажані сайти були розкидані в заголовку і в нижньому колонтитулі. Ви не могли бачити посилання на сайт через стандартний веб-переглядач, як Internet Explorer, тому що вони були навмисно приховані за допомогою HTML-коду. Однак пошукові системи, звичайно, могли «бачити» посилання.
З його святом я зробив те, що міг сам, щоб відновити ділянку, а наступного дня отримав допомогу. На щастя, я використовую професійну хостингову компанію з відмінною телефонною підтримкою. І наш контрактний веб-майстер, Тім Грель, був супер і скинув все, щоб відповісти.
Працюючи в команді, нам вдалося змусити сайт функціонувати і знову виглядати презентабельно до кінця бізнесу 26 грудня.
Проте я мало знав, що випробування ще не закінчилося. Я тільки що побачив вершину айсберга перший день. Незабаром я виявив, що хакери дійсно зробили.
Хакери ігрових пошукових систем
З самого початку я продовжував дивуватися: «Чому хтось зламав би цей сайт?» У ньому немає нічого цінного (хакеру). Немає номерів кредитних карт. Немає конфіденційних даних. Немає інформації про клієнта.
Спочатку я підписав його на вандалізм.
Але коли ситуація розгорнулася, і я виявив більше збитків, я зрозумів, що це не просто вандалізм. Швидше за все, ця дія злому захоплення веб-сайтів і блогів малого бізнесу , і використовуючи їх генерувати посилання на інші сайти гри пошукових систем .
Хакери знаходять дірку безпеки і потрапляють всередину вашого сайту. Вони беруть контроль за допомогою скриптів, які перетворюють ваш сайт на безпілотник. Посилання, що генеруються на вашому сайті (без вашого відома), вказуються на інші сайти, намагаючись отримати ці інші сайти у верхній частині результатів пошуку.
Захопив кільце Splog
Через день після того, як я виявив хакерство, я дізнався найгірше: хакери захопили частину цього сайту в кільце зі спагом (спамом).
Перший підхід прийшов з Technorati.com, коли я побачив, що вхідні посилання долі Тенденції малого бізнесу вискочив на пару тисяч посилань на ніч. "Ах, як приємно", - подумав я, - приблизно 3 секунди! Моє задоволення перетворилося на огиду, коли я побачив, що всі посилання використовують якірний текст, такий як "viagra", "милі мелодії" та інші сорти.
Посилання були з "splogs". Кожен splog складався з списків тисяч - буквально тисячі - посилань, що вказують на сторінки на інших веб-сайтах, включаючи сотні фальшивих сторінок, створених у каталозі tmp цього сайту.
Саме тоді я зрозуміла, що справді зробили хакери. Вони залишили скрипт, який автоматично генерував сотні фальшивих сторінок на цьому сайті. Ці фальшиві сторінки в свою чергу були перенаправлені на сайти фармації, дорослих і рингтонів. Ви не могли бачити підроблених сторінок на сайті, але вони були там.
Потім хакери створили кільця інших сайтів, в основному блогів, для посилання на фальшиві сторінки на Тенденції малого бізнесу. Все було розроблено для того, щоб в кінцевому підсумку відправити комбіновану вагу посилання на сайти фармації, дорослих і рингтонів, які вони хотіли високо оцінити в пошукових системах.
Ось як це працює:
Splog >>> посилання на підроблену сторінку на захопленому сайті B >>>, яка підроблена сторінка була перенаправлена на фармацевтичний сайт, що продає OxyContin.
Промийте і повторіть. Тисячі разів.
Результат = швидке збільшення рейтингу пошукових систем для сайту, що продає OxyContin.
Як бачите, це не було ізольованою атакою на одному сайті. Це була організована схема за участю сотні якщо ні тисячі сайтів. Шахта просто виявилася однією з багатьох сайтів.
Як Хакери отримали
Ми вважаємо, що хакери потрапили через небезпечну версію WordPress через сервер. Крім того, я не скажу більше, щоб не дати дорожню карту для того, щоб розкрити інші сайти. Атака вийшла з російської IP-адреси.
Атака скористалася відпусткою часу, так як у мого господаря був скелет співробітників, що працювали напередодні Різдва. Дивно, але менше, ніж через 2 дні після першої атаки, поки ми знаходилися в середині фіксації бійні, хакери повернулися! Цього разу спроба хакерства була перешкоджена швидкими діями з боку хостингової компанії, блокуючи IP-адресу, яка безглуздо перекидала сайт.
Коли я досліджував інші злому, я був приголомшений тим, що з'явилося більше десятка версій WordPress з відомими вразливостями. Приблизно від 2 до 3 мільйонів блогів, що використовують WordPress, це означає багато блогів, які потенційно ризикують. Веб-сайти та блоги, які існували довгий час, і сайти, яким можна довіряти, можуть бути атаковані.
Просто виконайте пошук в Google, і ви знайдете звіти інших блогів WordPress, які були зламані, включаючи деякі з найкращих і найяскравіших. Навіть блог Альберта був зламаний.
Крім того, моє дослідження виявило принаймні півдюжини способів компромісу в блогах WordPress. І для кожного методу, який я бачив, я впевнений, що погані хлопці знають два десятки інших.
Коригувальні дії
Ми зробили ряд кроків для захисту сайту, включаючи:
- Оновлено до останньої версії WordPress.
- Усунуто один плагін, дослідження якого запропонували, можливо, є уразливості безпеки, і оновили всі інші плагіни, якщо нові версії існували.
- Очистив всю групу, що залишилася хакерами, видаливши їхні скрипти та несанкціоновані посилання та сторінки. Ми мали не тільки перебирати код нашого сайту, але й хотіли, щоб наша хостинг-компанія це зробила для всього сервера.
- Повернувся до чистої резервної копії баз даних MySQL з початку атаки.
- Заблокована самореєстрація на цьому сайті.
- Змінено паролі; розглянув журнали серверів для підозрілих IP-адрес і заблокував їх; і змінив ряд інших речей, на які я не хочу звертати уваги.
Хтось запитав, чи планую я перейти від WordPress до іншого програмного забезпечення. Ні, я планую дотримуватися його. WordPress - це хороший пакет програмного забезпечення, який був безболісним 99% часу. Я розумію, що спільнота розробки WordPress працює над вирішенням проблем безпеки - сподіваємося, що вони зроблять це до того, як WordPress розробить незворотний поганий реп.
Тим не менш, я підняв заходи безпеки декількох виїмок. Я вважаю, що рішучий хакер може знайти спосіб увійти будь-який сайту, якщо вони дійсно хочуть. Але навіщо зробити собі легку мету?
Отже, зараз ви, мабуть, знаєте, що ви можете зробити, щоб захистити свій блог або веб-сайт. У мене є кілька покажчиків для вас. Але оскільки ця стаття вже довга, я посилаю їх на окрему статтю: Як захистити ваш сайт WordPress.
56 Коментарі ▼
