(עדכון שוטף) אחרי הפריצה לאתר – חזרה לשגרה…

שלום לכולם,
עדכון זריז לטובת הגולשים באתר:

עדכון 22.2.12: אחרי שכבר חשבתי שחיסלתי את המזיק, מסתבר שהוא השתלט על האתר שוב. שוב התקנתי מחדש, והפעם ביסודיות רבה… נראה שהכול תקין.

עדכון 21.2.12: התקנתי את האתר מחדש לגמרי. אין חשש שמסתתר קוד זדוני באחד הקבצים. אפשר לחזור לשגרה, כנראה…

ב-19.2.12, נפרץ האתר וקוד זדוני הוחדר אל כמה וכמה מתוך הקבצים ש'מאחורי הקלעים' של WordPress.
ככל שידוע לי כעת, הקוד הזדוני לא נועד כדי לשתול וירוסים או רוגלות במחשבי הגולשים באתר, כי אם להפנות תנועה אל אתרים אחרים (המשווקים תרופות מזויפות). למי שמתעניין בדברים כאלה, מדובר בחולשת אבטחה המזוהה בדרך כלל על ידי הקוד eval(basd64- decode).

הפריצה נתגלתה כעבור פחות מ-24 שעות, ברגע שהקוד החל ממש להפנות גולשים אל אותם אתרים, וכמה מאזינים עדכנו אותי.
אתמול, אחרי כמה שעות של עבודה מאומצת, הצלחתי (בסיועו של מיכאל פסטרנק) להעיף את כל  הקוד הזדוני מהמערכת (אני מקווה). עם זאת, בתהליך הניקוי גם נפגעו כמה קבצים של האתר- כך שלפחות בימים הקרובים האתר לא יתפקד בכל מאת האחוזים.

לסיכום: נכון לעכשיו האתר בטוח לגלישה, אם כי לא מתפקד באופן מושלם. אין לי מושג איך בדיוק נעשתה הפריצה, וגם זו שאלה חשובה כמובן.
אני אפרסם עדכונים שוטפים לגבי התיקונים, והאופי המדויק של הפריצה, ברגע שיהיו.

עדכון 1, 21.2.12: פה ושם אפשר לראות באתר שאריות של הקישורים לאתרים אליהם ניסה הקוד להפנות. אני מודע לבעיה הזו- היא נוצרה, ככל הנראה, מכיוון שכשהסרתי את הקוד הזדוני שברתי כמה קבצי php. אני עובד על תיקון.

נשתמע,
רן

12 Responses

  1. רן לוי הגיב:

    צודק, שלומי: העפתי את ה-plugin שמאפשר את האתר הסלולארי (לא הייתי בטוח אם החולשה שאפשרה
    את הפריצה קשורה אליו או לא). אני אמצא פתרון אחר.
    רן

  2. שלומי הגיב:

    עדכון קטן.
    אמנם האתר חזר למתכונתו הרגילה, אך שמתי לב שכאשר נכנסים דרך הנייד הוא לא מופיע בתצורה הקודמת, שהייתה מיוחדת לסלולרי . .

  3. חן הגיב:

    רן, אם אתה משתמש ב-FTP אז יש לך בעיית אבטחה קבועה – מעצם השימוש בFTP, הוא לא מאובטח.
    תעבור לSFTP, זה יפתור את הבעיה הזו.
    בהצלחה
    חן.

  4. צ36 הגיב:

    אם לא הייתי קורא על הפריצה, לא הייתי מבחין בדבר. כנראה שעשית עבודת ניקוי ראויה.

  5. יואל הגיב:

    היי רן! תנחומיי על פריצת האתר. יש לך הערכהמידע כלשהי אודות מיקומו הפיזי של הגוף הפורץ?

  6. אילן הגיב:

    יש לך עוד נושא לפרק…

  7. רן לוי הגיב:

    גרבולון- תודה על התוספות, אני אבדוק לקבצים חדשים, רעיון מצוין.
    שלום- אני מסכים…על פי מה שמצאתי על הפריצה הזו, היא נראית אוטומטית לגמרי. עכשיו השאלה היא
    איך נכנסו לתיקיות בשרת. האם דרך פאלגין דפוק, או שהצליחו למצוא את הססמא ל-FTP (לא סביר
    שעשו brute force עליה, זו ססמא חזקה)…
    רן

  8. grebulon הגיב:

    תבדוק שתוך כדי הפריצה לא הוסיפו לך לאתר קבצים שלא היו שם קודם. חפש דפים שאם תפתח אותם ב-browser תקבל interface דמוי FTP שדרכו אפשר לפרוץ מחדש. כדאי למחוק את כל wordpress ותת הספריות שלה ולהעלות הכל מחדש.

  9. שלום הגיב:

    גם אצלי יש בצד ימין למטה קישורים לאתרים שונים ומשונים.
    ותומר-יש הרבה רובוטים שסורקים את האינטרנט בשביל למצוא אתרים פריצים, הפרסומות האלה שוות להם כסף. (רן, לא שהאתר שלך לא שווה, אבל אני לא חושב שבגלל זה פרצו אליו 🙂 )

  10. אריאל הגיב:

    שלום רן, א‎צלי לפחות האתר לא נקי מקישורים, פה מצד ימין לטופס התגובה יש מלא קישורים לכל מיני אתרים. בהצלחה בניקוי ובאיתור מקור הפריצה.

  11. תומר הגיב:

    אני הייתי מקבל זאת כמחמאה… פורצים בדרך למקום ששווה לפרוץ אליו

  12. ירון הגיב:

    שים לב שלפחות כרגע, בתבנית של פוסט ספציפי שתולים לך קישורים:
    https://img.skitch.com/20120221-ij3twibrqshdsyij69k4hx243.jpg

כתיבת תגובה

האימייל לא יוצג באתר.