(עדכון שוטף) אחרי הפריצה לאתר – חזרה לשגרה…

21 לפבר', 2012 נכתב ע"י רן לוי    12 תגובות    מתוך קטגוריה: הודעות כלליות

שלום לכולם,
עדכון זריז לטובת הגולשים באתר:

עדכון 22.2.12: אחרי שכבר חשבתי שחיסלתי את המזיק, מסתבר שהוא השתלט על האתר שוב. שוב התקנתי מחדש, והפעם ביסודיות רבה… נראה שהכול תקין.

עדכון 21.2.12: התקנתי את האתר מחדש לגמרי. אין חשש שמסתתר קוד זדוני באחד הקבצים. אפשר לחזור לשגרה, כנראה…

ב-19.2.12, נפרץ האתר וקוד זדוני הוחדר אל כמה וכמה מתוך הקבצים ש’מאחורי הקלעים’ של WordPress.
ככל שידוע לי כעת, הקוד הזדוני לא נועד כדי לשתול וירוסים או רוגלות במחשבי הגולשים באתר, כי אם להפנות תנועה אל אתרים אחרים (המשווקים תרופות מזויפות). למי שמתעניין בדברים כאלה, מדובר בחולשת אבטחה המזוהה בדרך כלל על ידי הקוד eval(basd64- decode).

הפריצה נתגלתה כעבור פחות מ-24 שעות, ברגע שהקוד החל ממש להפנות גולשים אל אותם אתרים, וכמה מאזינים עדכנו אותי.
אתמול, אחרי כמה שעות של עבודה מאומצת, הצלחתי (בסיועו של מיכאל פסטרנק) להעיף את כל  הקוד הזדוני מהמערכת (אני מקווה). עם זאת, בתהליך הניקוי גם נפגעו כמה קבצים של האתר- כך שלפחות בימים הקרובים האתר לא יתפקד בכל מאת האחוזים.

לסיכום: נכון לעכשיו האתר בטוח לגלישה, אם כי לא מתפקד באופן מושלם. אין לי מושג איך בדיוק נעשתה הפריצה, וגם זו שאלה חשובה כמובן.
אני אפרסם עדכונים שוטפים לגבי התיקונים, והאופי המדויק של הפריצה, ברגע שיהיו.

עדכון 1, 21.2.12: פה ושם אפשר לראות באתר שאריות של הקישורים לאתרים אליהם ניסה הקוד להפנות. אני מודע לבעיה הזו- היא נוצרה, ככל הנראה, מכיוון שכשהסרתי את הקוד הזדוני שברתי כמה קבצי php. אני עובד על תיקון.

נשתמע,
רן

ספר לעולם על ‘עושים היסטוריה!’:

• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 

תגים: אבטחת מידע

12 תגובות

• 
  ירון 21/02/2012 בשעה 8:26 am

  שים לב שלפחות כרגע, בתבנית של פוסט ספציפי שתולים לך קישורים:
  https://img.skitch.com/20120221-ij3twibrqshdsyij69k4hx243.jpg

• 
  תומר 21/02/2012 בשעה 9:00 am

  אני הייתי מקבל זאת כמחמאה… פורצים בדרך למקום ששווה לפרוץ אליו

• 
  אריאל 21/02/2012 בשעה 9:03 am

  שלום רן, א‎צלי לפחות האתר לא נקי מקישורים, פה מצד ימין לטופס התגובה יש מלא קישורים לכל מיני אתרים. בהצלחה בניקוי ובאיתור מקור הפריצה.

• 
  שלום 21/02/2012 בשעה 10:11 am

  גם אצלי יש בצד ימין למטה קישורים לאתרים שונים ומשונים.
  ותומר-יש הרבה רובוטים שסורקים את האינטרנט בשביל למצוא אתרים פריצים, הפרסומות האלה שוות להם כסף. (רן, לא שהאתר שלך לא שווה, אבל אני לא חושב שבגלל זה פרצו אליו )

• 
  grebulon 21/02/2012 בשעה 1:45 pm

  תבדוק שתוך כדי הפריצה לא הוסיפו לך לאתר קבצים שלא היו שם קודם. חפש דפים שאם תפתח אותם ב-browser תקבל interface דמוי FTP שדרכו אפשר לפרוץ מחדש. כדאי למחוק את כל wordpress ותת הספריות שלה ולהעלות הכל מחדש.

• 
  רן לוי 21/02/2012 בשעה 2:49 pm

  גרבולון- תודה על התוספות, אני אבדוק לקבצים חדשים, רעיון מצוין.
  שלום- אני מסכים…על פי מה שמצאתי על הפריצה הזו, היא נראית אוטומטית לגמרי. עכשיו השאלה היא
  איך נכנסו לתיקיות בשרת. האם דרך פאלגין דפוק, או שהצליחו למצוא את הססמא ל-FTP (לא סביר
  שעשו brute force עליה, זו ססמא חזקה)…
  רן

• 
  אילן 21/02/2012 בשעה 11:52 pm

  יש לך עוד נושא לפרק…

• 
  יואל 22/02/2012 בשעה 12:48 pm

  היי רן! תנחומיי על פריצת האתר. יש לך הערכה\מידע כלשהי אודות מיקומו הפיזי של הגוף הפורץ?

• 
  צ36 22/02/2012 בשעה 3:47 pm

  אם לא הייתי קורא על הפריצה, לא הייתי מבחין בדבר. כנראה שעשית עבודת ניקוי ראויה.

• 
  חן 22/02/2012 בשעה 4:05 pm

  רן, אם אתה משתמש ב-FTP אז יש לך בעיית אבטחה קבועה – מעצם השימוש בFTP, הוא לא מאובטח.
  תעבור לSFTP, זה יפתור את הבעיה הזו.
  בהצלחה
  חן.

• 
  שלומי 24/02/2012 בשעה 1:25 pm

  עדכון קטן.
  אמנם האתר חזר למתכונתו הרגילה, אך שמתי לב שכאשר נכנסים דרך הנייד הוא לא מופיע בתצורה הקודמת, שהייתה מיוחדת לסלולרי . .

• 
  רן לוי 24/02/2012 בשעה 2:21 pm

  צודק, שלומי: העפתי את ה-plugin שמאפשר את האתר הסלולארי (לא הייתי בטוח אם החולשה שאפשרה
  את הפריצה קשורה אליו או לא). אני אמצא פתרון אחר.
  רן