Piratejat: no podia passar mai al meu lloc (famoses últimes paraules)

Anonim

Amb els milions de llocs web disponibles, creus que sou segur. Creus que les estadístiques estan a favor vostre. Que el vostre lloc web mai no hacke.

Bé, estic aquí per dir-te que et pot passar.

Aquest lloc web va ser piratejat aquesta vespra de Nadal. El que passa és part d'una tendència més gran i inquietant en la qual els llocs web i els blocs de petites empreses estan sent atacats i compromesos. Els llocs de WordPress semblen ser un objectiu concret.

$config[code] not found

He decidit compartir la meva història, amb l'esperança que us ajudi a evitar un hacking o si un passa, es recuperi ràpidament.

Els detalls lleig

El matí de nadal, he intentat obrir aquest lloc, ja que normalment faig el primer cop al matí, només per fer un xec ràpid.

La pàgina d'inici del lloc estava completament en blanc! Res. Nada. No vaig poder publicar res nou, tampoc. Em vaig adonar que un cracker havia piratejat el lloc. Com vaig investigar més tard aquell dia vaig descobrir una mica de dany al lloc, incloent:

  • Tots els connectors de WordPress s'han desactivat
  • S'han suprimit diverses pàgines, incloent el directori Experts, la pàgina del butlletí, la pàgina About i altres.
  • El blogroll s'ha vist compromès, amb aproximadament una dotzena d'enllaços inserits en llocs per a adults i llocs farmacèutics.
  • Gairebé 50 enllaços ocults a llocs per a adults, llocs farmacèutics i altres llocs no desitjats s'havien dispersat a l'encapçalament i al peu de pàgina. No va poder veure els enllaços de mirar el lloc a través d'un navegador estàndard com Internet Explorer, perquè es van ocultar intencionadament amb codi HTML. No obstant això, els motors de cerca podrien "veure" els enllaços, és clar.

Amb el fet de ser una festa, vaig fer el que vaig poder per restaurar el lloc, i l'endemà vaig aconseguir ajuda. Afortunadament faig servir una empresa d'allotjament professional amb un excel·lent suport telefònic. I el nostre administrador de contractes, Tim Grahl, era súper i va deixar caure tot per respondre.

Treballant com a equip, hem aconseguit que el lloc funcioni i es vegi presentable de nou a final d'any el 26 de desembre.

No obstant això, poc sabia que la prova encara no havia acabat. Acabo de veure la punta de l'iceberg el primer dia. Aviat vaig descobrir què havien fet els pirates informàtics.

Hackers Gaming els motors de cerca

Des del principi, em vaig preguntar: "Per què algú ha piratejar aquest lloc?" No hi ha res de valor (per a un hacker) en ell. No hi ha números de targetes de crèdit. No hi ha dades confidencials. No hi ha informació del client.

Al principi, el vaig aclarir al vandalisme.

Però a mesura que la situació es va desenvolupar i vaig descobrir més danys, em vaig adonar que això no era un simple vandalisme. Al contrari, aquesta activitat de pirateig es tracta segrest de llocs web i blocs de petites empreses i fer-los servir genera enllaços a altres llocs per joc dels motors de cerca .

Els pirates informàtics troben un forat de seguretat i entren al vostre lloc. Es prenen el control mitjançant scripts que converteixen el vostre lloc en un avió que genera enllaços. Els enllaços generats al vostre lloc (sense el vostre coneixement) s'apunten a altres llocs, amb l'objectiu d'aconseguir que aquests altres llocs arribin a la part superior dels resultats del motor de cerca.

S'ha enganxat a un anell de Splog

Un dia després d'haver descobert el pirateig, vaig aprendre el pitjor: els pirates informàtics havien segrestat part d'aquest lloc en un anell de "splog" (spam blog).

La primera pista va venir de Technorati.com quan vaig veure que el recompte d'enllaç entrant Tendències de petites empreses havia saltat per un parell de milers d'enllaços durant la nit. "Oh què bonic", vaig pensar - durant uns 3 segons! El meu plaer es va tornar a molestar quan vaig veure que tots els enllaços usaven textos d'àncora com ara "viagra", "bonics tons de trucada" i altres escombraries assortits.

Els enllaços van ser de "splogs". Cada splog consistia en llistes de milers, literalment, milers d'enllaços que apuntaven a pàgines d'altres llocs web, incloent centenars de pàgines falses que s'havien configurat al directori tmp d'aquest lloc.

Vaig llavors quan em vaig adonar del que realment havien fet els pirates informàtics. Havien deixat enrere un script que generava automàticament centenars de pàgines falses en aquest lloc. Aquestes pàgines falses al seu torn van ser redirigides als llocs farmacèutics, adults i de tons de trucada. No podia veure que les pàgines falses no consultessin aquest lloc, sinó que hi eren.

A continuació, els pirates informàtics havien creat anells d'altres llocs, principalment blogs, per enllaçar a les pàgines falses Tendències de petites empreses. Tot va ser dissenyat per, finalment, enviar un pes combinat d'enllaç als llocs farmacèutics, adults i de to que volguessin classificar en els motors de cerca.

A continuació s'explica com funciona:

Splog A >>> vincula a una pàgina falsa al lloc segrestat B >>>, la pàgina falsa s'ha redirigit a un lloc farmacèutic que ven OxyContin.

Esbandida i repeteix. Milers de vegades.

Resultat = augment ràpid dels rànquings dels motors de cerca del lloc que ven OxyContin.

Com podeu veure, aquest no era un atac aïllat en un sol lloc. Es tracta d'un esquema orquestrat que implica centenars sinó milers dels llocs. Mina acaba d'esdevenir un dels molts llocs enganyats.

Com han entrat els hackers

Creiem que els hackers van aconseguir una versió insegura de WordPress a través del servidor. Més enllà d'això no vaig a dir més, per no donar un full de ruta sobre com trencar altres llocs. L'atac semblava provenir d'una adreça IP de Rússia.

L'atac es va aprofitar del temps de vacances, ja que el meu amfitrió tenia un personal d'esquelets que treballava Eve de Nadal. Sorprenentment, menys de dos dies després del primer atac, mentre estàvem enmig d'arreglar la carnisseria, els hackers van tornar! En aquesta ocasió, l'intent de pirateig va ser impedit per una acció ràpida per part de l'empresa d'allotjament, i va bloquejar l'adreça IP que estava arrelant el lloc.

Quan vaig investigar altres pirates informàtics, em vaig sorprendre descobrir que hi ha més de dotze versions de WordPress amb vulnerabilitats conegudes. Amb un valor aproximat de 2 a 3 milions de blocs que utilitzen WordPress, això significa que molts blocs poden estar en risc. Els llocs web i els blocs que han estat durant un temps, i els llocs de confiança, són els que poden atacar-se.

Només feu una cerca a Google i trobareu informes d'altres blogs de WordPress que es hacken, inclosos alguns dels millors i més brillants. Fins i tot el bloc d'Al Gore va ser piratejat.

A més, la meva investigació ha descobert almenys una mitja dotzena de maneres de comprometre els blogs de WordPress. I per cada mètode que he vist, estic segur que els dolents coneixen dues dotzenes d'altres.

Acció correctiva

Hem pres diversos passos per garantir el lloc, incloent:

  • Actualitzat a la darrera versió de WordPress.
  • S'ha eliminat un connector que suggereix una investigació que podria tenir vulnerabilitats de seguretat i que actualitzava tots els connectors restants si existien versions noves.
  • Netegeu tots els problemes que deixen els pirates informàtics, eliminant els seus scripts i enllaços i pàgines no autoritzats. No només hem hagut de fer servir el nostre propi codi de lloc, però necessitem que la nostra empresa de hosting ho faci per a tot el servidor.
  • S'ha tornat a una còpia de seguretat de base de dades MySQL neta abans de l'atac.
  • Autocorreguda bloquejada en aquest lloc.
  • Contrasenyes canviades; revisar els registres del servidor per a adreces IP sospitoses i bloquejar-les; i va canviar una sèrie d'altres coses que no vull cridar l'atenció.

Algú va preguntar si tenia previst canviar de WordPress a un altre programari. No, penso quedar-me amb ell. WordPress és un bon paquet de programari i ha estat lliure de mal de cap el 99% del temps. Entenc que la comunitat de desenvolupament de WordPress treballa per solucionar els problemes de seguretat: esperem que ho facin abans que WordPress desenvolupi un rap irreversible.

No obstant això, he fet un cop d'ull a les mesures de seguretat d'un parell de muesques. Crec que un determinat hacker pot trobar una manera d'entrar cap lloc, si realment volen. Però, per què fer-te un objectiu fàcil?

Així que, ara mateix, probablement us preguntareu què podeu fer per protegir el vostre bloc o el vostre lloc web. Tinc algunes indicacions per a vostè. Però com que aquest article ja és llarg, els he posat en un article separat: Com protegir el vostre lloc de WordPress.

56 Comentaris ▼