Па, ја сам овде да вам кажем да вам се може догодити.
Овај веб сајт је био хакован прошлог Бадњака. Оно што се догодило је дио већег и узнемирујућег тренда у којем се веб странице и блогови малих предузећа нападају и компромитују. Чини се да су ВордПресс локације посебна мета.
$config[code] not foundОдлучио сам подијелити своју причу, у нади да ће вам помоћи да избјегнете хакирање или ако се догоди, брзо се опоравите.
Тхе Угли Детаилс
На божићно јутро, покушао сам да отворим овај сајт као што обично радим прво ујутру, само да обавим брзу проверу.
Почетна страница сајта је била потпуно празна! Ништа. Нада. Ништа нисам могао да поставим. Схватио сам да је крекер хаковао сајт. Док сам истраживао касније тог дана, открио сам доста штете на локацији, укључујући:
- Сви ВордПресс додаци су деактивирани
- Избрисан је одређен број страница, укључујући именик стручњака, страницу билтена, страницу О нама и друге.
- Блогрол је био компромитован, са десетак линкова уметнутих на сајтове за одрасле и пхарма сајтове.
- Скоро 50 скривених веза са сајтовима за одрасле, фармацеутским сајтовима и другим јунк сајтовима било је разбацано у заглављу и подножју. Не можете да видите везе на сајту преко стандардног претраживача као што је Интернет Екплорер, јер су намерно сакривене помоћу ХТМЛ кода. Међутим, претраживачи су могли да "виде" везе, наравно.
Будући да је то био празник, сам сам урадио оно што сам могао да обновим локацију, а сутрадан сам добио помоћ. Срећом користим професионалну хостинг компанију са одличном телефонском подршком. И наш вебмастер, Тим Грахл, био је супер и оставио све да одговори.
Радећи као тим, успели смо да до краја радног дана, 26. децембра, поново функционишемо и изгледамо репрезентативно.
Међутим, мало сам знао да искушење још није завршено. Управо сам видио врх леденог брега првог дана. Убрзо сам открио шта су хакери заиста урадили.
Хакери играју претраживаче
Од самог почетка сам се питао: "Зашто би неко хаковао овај сајт?" У њему нема ништа вриједно (хакеру). Нема бројева кредитних картица. Нема поверљивих података. Нема информација о клијенту.
Испрва сам то приписао вандализму.
Али како се ситуација одвијала и открила више штете, схватила сам да то није само вандализам. Уместо тога, ова хацкинг активност је све у реду отмице сајтова и блогова малих предузећа , и користе их цреате линкс на друге локације игра у претраживачима .
Хакери проналазе сигурносну рупу и улазе у ваш сајт. Они преузимају контролу преко скрипти које ваш сајт претварају у дроне који стварају везе. Линкови генерисани на вашем сајту (без вашег знања) су усмерени на друге сајтове, у настојању да се те друге локације доведу на врх резултата тражилице.
Упуцао Сплог прстен
Дан након што сам открио хакирање, научио сам најгори део: хакери су отели део овог сајта у сплог (спам блог) прстен.
Први траг је дошао из Тецхнорати.цом када сам видео да се улазни линк рачуна на Трендови малог бизниса скочио је за пар хиљада веза преко ноћи. "Ох, како је то лепо", помислио сам - око 3 секунде! Моје задовољство се претворило у гадјење када сам видјела да сви линкови користе сидрени текст као што су "виагра", "слатке мелодије" и друге сортиране смеће.
Линкови су били из "сплогс". Сваки сплог се састојао од листа хиљада - дословно хиљада - линкова који упућују на странице на другим веб страницама, укључујући стотине лажних страница које су постављене у тмп директорију овог сајта.
Тада сам схватио шта су хакери заиста урадили. Оставили су скрипту која је аутоматски генерисала стотине лажних страница на овом сајту. Ове лажне странице су редом преусмерене на пхарма, адулт и рингтоне сајтове. Нисте могли да видите лажне странице да гледају овај сајт, али су биле тамо.
Тада су хакери креирали прстенове других сајтова, углавном блогова, да би се повезали са лажним страницама Трендови малог бизниса. Све је дизајнирано да на крају пошаље комбиновану тежину везе на сајтове за фарму, одрасле и мелодије звона које су желели да високо рангирају у претраживачима.
Ево како то ради:
Сплог >>> линкови на лажну страницу на отетој страници Б >>> која је лажна страница преусмерена на пхарма сајт који продаје ОкиЦонтин.
Исперите и поновите. Хиљаде пута.
Резултат = брзо повећање рангирања претраживача за сајт који продаје ОкиЦонтин.
Као што видите, ово није био изоловани напад на једном месту. Ово је била оркестрирана шема која је укључивала на стотине ако не хиљаде локација. Мине се десило да је један од многих сајтова.
Како су хакери стигли
Сматрамо да су хакери прошли кроз несигурну верзију ВордПресс-а преко сервера. Осим тога, више нећу рећи више, да не бих дао мапу како да испуцам друге сајтове. Изгледа да је напад дошао са руске ИП адресе.
Напад је искористио вријеме одмора, јер је мој домаћин имао скелетно особље које је радило на Бадње вече. Запањујуће, мање од 2 дана након првог напада, док смо били усред поправљања покоља, хакери су се вратили! Овог пута, хакерски покушај је био спречен брзом акцијом од стране хостинг компаније, блокирајући ИП адресу која је лудо спидирала сајт.
Док сам истраживао друге хаковање, био сам запањен открићем да постоји више од десетак верзија ВордПресс-а са познатим рањивостима. Са процијењеним бројем блогова од 2 до 3 милиона који користе ВордПресс, то значи много блогова који су потенцијално угрожени. Вероватно да ће бити нападнуте веб странице и блогови који су већ неко време постојали и поуздани сајтови.
Само извршите претрагу у Гоогле-у и наћи ћете извештаје других ВордПресс блогова које су хакиране, укључујући неке од најбољих и најсјајнијих. Чак је и Ал Гореов блог био хакован.
Штавише, моје истраживање је открило најмање пола туцета начина компромитовања ВордПресс блогова. И за сваки метод који сам видео, сигуран сам да лоши момци знају још два туцета.
Корективне мере
Направили смо неколико корака да осигурамо локацију, укључујући:
- Надоградња на најновију верзију ВордПресс-а.
- Искључио је један чеп који је предложио истраживање можда има сигурносне пропусте и ажурирао све преостале додатке ако постоје нове верзије.
- Очистио је све што су оставили хакери, избрисали њихове скрипте и неауторизоване линкове и странице. Ми не само да смо морали да претражујемо наш сопствени код сајта, већ је требало да наша хостинг компанија то уради за цео сервер.
- Вратио се на чисту МиСКЛ базу података од пре напада.
- Блокирана саморегистрација на овом сајту.
- Промењене лозинке; прегледали логове сервера за сумњиве ИП адресе и блокирали их; и променио низ других ствари на које не желим да скрећем пажњу.
Неко је питао да ли планирам да пређем са ВордПресс-а на други софтвер. Не, планирам да се држим тога. ВордПресс је добар софтверски пакет који је 99% времена без главобоља. Разумијем да ВордПресс развојна заједница ради на рјешавању сигурносних питања - надајмо се да ће то учинити прије него што ВордПресс развије неповратан лош рап.
Међутим, ја сам подигао сигурносне мјере неколико зареза. Верујем да одлучан хакер може да пронађе начин да уђе било који ако заиста желе. Али зашто си себи лакша мета?
Дакле, сада се вероватно питате шта можете да урадите да бисте заштитили свој блог или веб локацију. Имам неке смернице за вас. Али пошто је овај чланак већ дугачак, ставио сам их у посебан чланак: Како заштитити вашу ВордПресс локацију.
56 Цомментс ▼
