Ну, я здесь, чтобы сказать вам, что это может случиться с вами.
Этот сайт был взломан в канун Рождества. То, что произошло, является частью более масштабной и тревожной тенденции, когда сайты и блоги малого бизнеса подвергаются атакам и взлому. Сайты WordPress, похоже, являются определенной целью.
$config[code] not foundЯ решил поделиться своей историей, в надежде, что это поможет вам избежать взлома или, если это произойдет, быстро восстановиться.
Уродливые детали
В рождественское утро я пытался открыть этот сайт, как я обычно делаю утром, просто чтобы быстро проверить.
Домашняя страница сайта была абсолютно пустой! Ничего такого. Нада. Я не мог опубликовать ничего нового, либо. Я понял, что взломщик взломал сайт. Как я узнал позже в тот же день, я обнаружил довольно много повреждений сайта, в том числе:
- Все плагины WordPress были деактивированы
- Был удален ряд страниц, в том числе справочник экспертов, страница информационного бюллетеня, страница «О программе» и другие.
- Блогролл был скомпрометирован, с дюжиной ссылок, вставленных на сайты для взрослых и аптеки.
- Почти 50 скрытых ссылок на сайты для взрослых, фармацевтические сайты и другие нежелательные сайты были разбросаны в верхнем и нижнем колонтитуле. Вы не могли видеть ссылки при просмотре сайта через стандартный браузер, такой как Internet Explorer, потому что они были преднамеренно скрыты с помощью HTML-кода. Однако поисковые системы, конечно, могли «видеть» ссылки.
Поскольку это был выходной, я сделал все, что мог, чтобы восстановить сайт, и на следующий день получил помощь. К счастью, я использую профессиональную хостинговую компанию с отличной поддержкой по телефону. И наш контрактный веб-мастер, Тим Грал, был супер и отбросил все, чтобы ответить.
Работая как команда, мы смогли заставить сайт функционировать и снова выглядеть презентабельно к концу рабочего дня 26 декабря.
Однако я мало что знал, что испытание еще не закончилось. Я только что видел верхушку айсберга в первый день. Вскоре я обнаружил, что ДЕЙСТВИТЕЛЬНО сделали хакеры.
Хакеры, играющие в поисковые системы
С самого начала я продолжал задаваться вопросом: «Почему кто-то взломал этот сайт?» В этом нет ничего ценного (для хакера). Нет номеров кредитных карт. Нет конфиденциальных данных. Нет информации о клиенте.
Сначала я объяснил это вандализмом.
Но когда ситуация развернулась, и я обнаружил еще больший ущерб, я понял, что это был не просто вандализм. Скорее, эта хакерская деятельность все о угон сайтов малого бизнеса и блогов и используя их для генерировать ссылки на другие сайты, чтобы игра в поисковых системах .
Хакеры находят дыру в безопасности и проникают внутрь вашего сайта. Они контролируют скрипты, которые превращают ваш сайт в дрона, генерирующего ссылки. Ссылки, сгенерированные на вашем сайте (без вашего ведома), направлены на другие сайты, чтобы вывести эти сайты на вершину результатов поисковой системы.
Snared в Splog Ring
Через день после того, как я обнаружил взлом, я узнал о худшем: хакеры взломали часть этого сайта в виде сплога (спам-блога).
Первая подсказка пришла от Technorati.com, когда я увидел количество входящих ссылок на Тенденции Малого бизнеса прыгнул на пару тысяч ссылок за ночь. «О, как хорошо», - подумала я - около 3 секунд! Мое удовольствие превратилось в отвращение, когда я увидел, что во всех ссылках использовался якорный текст, такой как «виагра», «милые рингтоны» и прочее прочее барахло.
Ссылки были от «splogs». Каждый splog состоял из списков тысяч - буквально тысяч - ссылок, указывающих на страницы на других сайтах, включая сотни поддельных страниц, которые были созданы в каталоге tmp этого сайта.
Тогда я понял, что на самом деле сделали хакеры. Они оставили скрипт, который автоматически генерировал сотни поддельных страниц на этом сайте. Эти поддельные страницы, в свою очередь, были перенаправлены на сайты фарма, взрослых и рингтонов. Вы не могли видеть поддельные страницы, глядя на этот сайт, но они были там.
Затем хакеры создали кольца других сайтов, в основном блогов, для ссылки на поддельные страницы на Тенденции Малого бизнеса, Все было разработано для того, чтобы в конечном итоге посылать общий вес ссылок на сайты фарма, взрослых и рингтонов, которые они хотели занять в поисковых системах.
Вот как это работает:
Splog A >>> ссылки на поддельную страницу на угнанном сайте B >>>, поддельная страница которой была перенаправлена на фармацевтический сайт, продающий OxyContin.
Промыть и повторить. Тысячи раз.
Результат = быстрое повышение рейтинга в поисковых системах для сайта, продающего OxyContin.
Как видите, это была не единичная атака на один сайт. Это была организованная схема с участием сотни если не тысячи сайтов. Мой случайно оказался одним из многих сайтов, которые были захвачены.
Как хакеры проникли
Мы думаем, что хакеры проникли через небезопасную версию WordPress через сервер. Кроме того, я не буду больше говорить, чтобы не дать план того, как взломать другие сайты. Атака, похоже, пришла с российского IP-адреса.
Атака воспользовалась праздничным временем, так как у моего хозяина был скелет, работавший в канун Рождества. Удивительно, но менее чем через 2 дня после первой атаки, когда мы были в разгаре кровавой бойни, хакеры вернулись! На этот раз попытка взлома была предотвращена быстрым действием со стороны хостинговой компании, блокировавшим IP-адрес, который безумно паутил сайт.
Исследуя другие способы взлома, я был ошеломлен, обнаружив, что существует более десятка версий WordPress с известными уязвимостями. Приблизительно с 2-3 миллионами блогов, использующих WordPress, это означает, что многие блоги потенциально находятся под угрозой. Сайты и блоги, которые уже давно существуют, и надежные сайты, скорее всего, будут атакованы.
Просто выполните поиск в Google, и вы найдете отчеты о взломе других блогов WordPress, в том числе одни из лучших и самых ярких. Даже блог Эла Гора был взломан.
Кроме того, мое исследование выявило как минимум полдюжины способов скомпрометировать блоги WordPress. И для каждого метода, который я видел, я уверен, что плохие парни знают 2 дюжины других.
Корректирующее действие
Мы предприняли ряд шагов для защиты сайта, в том числе:
- Обновлен до последней версии WordPress.
- Удалил один плагин, который, как предполагалось в исследовании, могли иметь уязвимости безопасности, и обновил все остальные плагины, если появились новые версии.
- Вычистил весь вздор, оставленный хакерами, удалив их скрипты и неавторизованные ссылки и страницы. Нам нужно было не только найти собственный код сайта, но и сделать так, чтобы наша хостинговая компания делала это для всего сервера.
- Вернулся к чистой резервной копии базы данных MySQL до атаки.
- Заблокирована самостоятельная регистрация на этом сайте.
- Измененные пароли; проверил журналы сервера на наличие подозрительных IP-адресов и заблокировал их; и изменил ряд других вещей, на которые я не хочу обращать внимание.
Кто-то спросил, планирую ли я перейти с WordPress на другое программное обеспечение. Нет, я планирую придерживаться этого. WordPress - это хороший программный пакет, который в 99% случаев свободен от головной боли. Я понимаю, что сообщество разработчиков WordPress работает над решением проблем безопасности - будем надеяться, что они сделают это до того, как WordPress разработает необратимый плохой рэп.
Тем не менее, я поднял меры безопасности на пару ступеней. Я верю, что решительный хакер может найти способ проникнуть в любой сайт, если они действительно хотят. Но зачем делать себя легкой мишенью?
Итак, сейчас вы, вероятно, задаетесь вопросом, что вы можете сделать, чтобы защитить свой блог или веб-сайт. У меня есть несколько советов для вас. Но поскольку эта статья уже длинная, я поместил их в отдельную статью: Как защитить свой сайт WordPress.
56 комментариев ▼
