Danas sam imao tako reći treći napad na blog. Nije to možda direktno napad, ali svakako neki trojan, virus, neko sranje koje se nastanilo negdje u wordpress instalaciji i s vremena na vrijeme radi pizdarije.
Prije nekoliko tjedana sam imao slučaj da mi je bila zaražena header.php datoteka predloška s malicioznim javascript kodom koji je pozivao iframe te njegov sumnjivi sadržaj. Na sreću sam problem otkrio prije samog Googla i potencijalne blokade stranice i to zahvaljujući antivirusnom programu.
Evo ujedno prednosti Windows OS računala nad Macom OS-om. Windoze moraju imati bilo kakav antivirusni program da bi uopće funkcionirali duže od par sati, koji kao takav bude rezidentan prilikom surfanja te pronalazi i zaražene stranice. Mac to nema. Ok, mogao bih instalirati neki AV program, ali nikad dosad nisam imao potrebu. Možda bi sad mogao.
U petak prošlog tjedna, a možda već i u četvrtak sam imao jednu drugu vrstu napada, infekcije ili kako bih to već nazvao. Naime, ovaj puta je bila zaražena index.php datoteka u root folderu. Osim jednog retka čudne javascripte imala je oko 500injak linkova na neki forum. Ti linkovi su se prikazivali ujedno i na svim postovima, a pritom je i zamijenjena kodna stranica pa su nestali svi naši znakovi.
Pošto sam tih dana bio na putu blog je bio sve do nedjelje zaražen. Zahvaljujući Twitteru i korisnicima @hrvojemihajlic, @DomagojPa i @tstankovic došao sam do spoznaje da mi je blog zaražen već nekoliko dana. Krasno.
Trebalo mi je dosta vremena i uloženog napora da pronađem izvor problema jer mi je zadnje na pameti bilo da je zaražen index.php file u root folderu. Taj folder nema mogućnosti zapisivanja u njemu, dakle ima samo read permission. Nakon sat i nešto vremena ipak sam bacio oko na taj file jer mi bilo neobično što ima preko 300 kilobajta. Otvorio sam kod i imao što vidjeti. Nešto više od 500 redova linkova na jedan forum kojeg neću ovdje ni spominjati.
Očistio sam datoteku, pregazio zaraženu na serveru, provjerio write permissione, provjerio da li ima još koje smeće negdje i s uvjerenjem da sam se riješio problema napisao jedan blog post te krenuo na zasluženi nedjeljni odmor.
Danas ujutro slijedi poziv iz Avalona s informacijom da mi je site hakiran. Uvidjeli su to na Twitteru. Opet sam posljednji koji saznajem da mi je blog hakiran. Stvar ista. Samo što su oni, tijekom mog razgovora sa sistem administratorom, već povratili blog od prije tjedan dana kada je bio, provjereno, čist. Moram priznati da sam sve više zadovoljan njima :) Malo reklame…
Uglavnom nepunih pola sata nakon toga stvar se ponavlja. Nestaju mi naši znakovi, isti linkovi se pojavljuju u postovima, ista datoteka zaražena. Ponavljam proces čišćenja, gaženja i eto do ovog trenutka nema novih zaraza. Pročačkao sam cijelim siteom, nema nikakvih sranja, googlao sam, ali nema nikakvih konkretnih rješenja tog problema, očito sam među prvim žrtvama.
I da, WordPress je up-to-date, posljednja 2.9.2 inačica, svi pluginovi su ažurirani, a pritom ne koristim nikakve sumnjive dodatke, svi provjereni na neki način.
Sad čekam što će biti dalje, da li će se isto ponoviti ili ne, možda ako netko ima rješenje ili je imao slični problem neka se javi jer imam osjećaj da, ako se ponovi, tapkam po mraku.
Jel’ moguće da WordPressu pada mrak na oči?
UPDATE
Posjetio sam i stanoviti forum koji se nalazi iza adrese enjoycg.com, radi se o zajednici 3D modelera i ekipe. Naime, njihov forum je haknut i to pošteno te se u svakom postu nalazi reklama za prodaju mobitela i sličnog. Paralelno s time je spomenuti nametnik očito pronalazio neke WP instalacije na koje je ujedno postavljao linkove do tih postova.
Je vil sam jutros da je bilo neke prepiske na Twitteru…
Što reći, sve veća popularnost neke platforme definitvno će generirati veću pažnju cyber bitangi…
Ne preostaje nam drugo nego se updejtati i provjeravati svako malo…
Je vil sam jutros da je bilo neke prepiske na Twitteru…
Što reći, sve veća popularnost neke platforme definitvno će generirati veću pažnju cyber bitangi…
Ne preostaje nam drugo nego se updejtati i provjeravati svako malo…
Nisi jedini, imam i ja par poznanika koji su bili haknuti. Čini se da WordPress postaje prilično velika meta hakera.
Nisi jedini, imam i ja par poznanika koji su bili haknuti. Čini se da WordPress postaje prilično velika meta hakera.
Evo prošlo 8 sati i zasad sve ok…da vidimo hoće li preživjeti noć :)
Evo prošlo 8 sati i zasad sve ok…da vidimo hoće li preživjeti noć :)
I ja sam imao slični problem. Preporučujem da instaliraš: Block Bad Queries (BBQ), Chap Secure Login, WP Security Scan pluginove. A zanimljiv je i ExtraShield.
I ja sam imao slični problem. Preporučujem da instaliraš: Block Bad Queries (BBQ), Chap Secure Login, WP Security Scan pluginove. A zanimljiv je i ExtraShield.
Nije problem da li wordpress postaje cilj napada, problem je u tome što je wordpress oduvijek imao velike sigurnosne rupe, a i uz to redovito su im pluginovi puni rupa. Pošto je tako raširen i jednostavan za instalaciju/uporabu naravno da će crackeri iskoristiti to, kao što iskorištavaju sve što je “nesigurno”.
Predlažem da napravite hardening. Provijerite i kakvo je stanje sa serverom/php-om koji je instaliran na istom.
Nije problem da li wordpress postaje cilj napada, problem je u tome što je wordpress oduvijek imao velike sigurnosne rupe, a i uz to redovito su im pluginovi puni rupa. Pošto je tako raširen i jednostavan za instalaciju/uporabu naravno da će crackeri iskoristiti to, kao što iskorištavaju sve što je “nesigurno”.
Predlažem da napravite hardening. Provijerite i kakvo je stanje sa serverom/php-om koji je instaliran na istom.
Hvala na savjetima.
Pretpostavljam da je server siguran (Avalon.hr) vjerujem u njihove ISO certifikate :)
thnx @Robi, idem proučim dodatke jer imam par klijenata na WP instalacijama pa da odma sve to “osiguram” prije nego se desi neka navala.
Hvala na savjetima.
Pretpostavljam da je server siguran (Avalon.hr) vjerujem u njihove ISO certifikate :)
thnx @Robi, idem proučim dodatke jer imam par klijenata na WP instalacijama pa da odma sve to “osiguram” prije nego se desi neka navala.
Buzz, bilo bi dobro da ne razmišljaš o WordPressu. Možda si pokupio neko smeće koje ti je čopilo FTP lozinke i dalje je stvar jasna, neovisno o platformi. Promjeni FTP lozinke, pročešljaš svoje računalo. Imao sam prilike vidjeti takva sranja i sve sam krivio i hosting i platformu, a na kraju je bilo krivo moje računalo.
A opet ne mora biti…
Buzz, bilo bi dobro da ne razmišljaš o WordPressu. Možda si pokupio neko smeće koje ti je čopilo FTP lozinke i dalje je stvar jasna, neovisno o platformi. Promjeni FTP lozinke, pročešljaš svoje računalo. Imao sam prilike vidjeti takva sranja i sve sam krivio i hosting i platformu, a na kraju je bilo krivo moje računalo.
A opet ne mora biti…
@Zvonko Jutros su u Avalonu pročekirali FTP logove i pristupe i tamo nema neišt sumnjivog odnosno nema stranih pristupa. Ma neznam dal bi bilo do kompa jer imam Mac s kojeg najviše radim, al opet imaš pravo uvijek postoji šansa…
A gle, dosad je sve ok, jutros sam očistio file, vratio 444 na index i sve sad radi ok
@Zvonko Jutros su u Avalonu pročekirali FTP logove i pristupe i tamo nema neišt sumnjivog odnosno nema stranih pristupa. Ma neznam dal bi bilo do kompa jer imam Mac s kojeg najviše radim, al opet imaš pravo uvijek postoji šansa…
A gle, dosad je sve ok, jutros sam očistio file, vratio 444 na index i sve sad radi ok
Imao sam i ja isti problem. Skini cijeli sajt lokalno i procekiraj fajl po fajl u wp-content folderu, pogotovo upload i temu. Meni je bilo obaceno nekoliko datoteka sa skriptama u slike
Imao sam i ja isti problem. Skini cijeli sajt lokalno i procekiraj fajl po fajl u wp-content folderu, pogotovo upload i temu. Meni je bilo obaceno nekoliko datoteka sa skriptama u slike
Tomislave, po onom sto vam se dogadja, sve vodi da je rijec o Cross-site scripting (XSS). Kako se je branim od toga mozete procitati ovdje: http://www.kartelo.org/blogkartelodeveloping/index.php?a=35 A kad ste vec zahvaceni, lijecite se tako da svaku stranicu na zarazenoj lokaciji otvarate i trazite <script, obicno bude na kraju stranice, i ako na stranici postoji script koji nije vas, obrisite ga. I sve tako, svaku stranicu! Puno posla, ali da se.
Koristim svoje proizvode i ne znam gdje bi to WordPress mogao pustati, ali vjerujem da ce to sve biti u redu. Od svih vrsta napada nitko nije 100% siguran, pa je ta borba vjecna.
Tomislave, po onom sto vam se dogadja, sve vodi da je rijec o Cross-site scripting (XSS). Kako se je branim od toga mozete procitati ovdje: http://www.kartelo.org/blogkartelodeveloping/index.php?a=35 A kad ste vec zahvaceni, lijecite se tako da svaku stranicu na zarazenoj lokaciji otvarate i trazite <script, obicno bude na kraju stranice, i ako na stranici postoji script koji nije vas, obrisite ga. I sve tako, svaku stranicu! Puno posla, ali da se.
Koristim svoje proizvode i ne znam gdje bi to WordPress mogao pustati, ali vjerujem da ce to sve biti u redu. Od svih vrsta napada nitko nije 100% siguran, pa je ta borba vjecna.
Buzz, sorry sto citam o ovim problemima no bojim se da radis par krivih koraka. Naime, koliko sam shvatio nakon svakog upada ili si vratio restore ili si iz inficirane stranice pobrisao maliciozni kod.
Prva i osnovna stvar u slucajevima provale je otkriti na koji nacin je provaljeno. Tek nakon toga krpas tu rupu, pa vracas restore. jer u protivnom, uvijek ce na isti nacin provaljivati.
Ono sto zabrinjava (prema onome sto sam procitao) jest inficirana index.php datoteka. Ona po deafultu ne bi trebala imati write dozvole i ocito je velika vjerojatnost da ti je netko popalio ftp password ili da nesto na “visoj instanci” brljavi po serveru i modificira fajlove. Ja bih krenuo od toga da provjerim vlasnistva nad doatotekama (owner/group).
I da, wordpress definitivno postaje dobra meta za razlicite napade… zapravo, cini mi se da ce prije biti razliciti pluginovi izvori rupa, a ne sam wordpress.
g.
Buzz, sorry sto citam o ovim problemima no bojim se da radis par krivih koraka. Naime, koliko sam shvatio nakon svakog upada ili si vratio restore ili si iz inficirane stranice pobrisao maliciozni kod.
Prva i osnovna stvar u slucajevima provale je otkriti na koji nacin je provaljeno. Tek nakon toga krpas tu rupu, pa vracas restore. jer u protivnom, uvijek ce na isti nacin provaljivati.
Ono sto zabrinjava (prema onome sto sam procitao) jest inficirana index.php datoteka. Ona po deafultu ne bi trebala imati write dozvole i ocito je velika vjerojatnost da ti je netko popalio ftp password ili da nesto na “visoj instanci” brljavi po serveru i modificira fajlove. Ja bih krenuo od toga da provjerim vlasnistva nad doatotekama (owner/group).
I da, wordpress definitivno postaje dobra meta za razlicite napade… zapravo, cini mi se da ce prije biti razliciti pluginovi izvori rupa, a ne sam wordpress.
g.
Gorane sve ste odlicno rekli. Kad sam ja ljetos imao takve napade znao sam uzrok: dao sam puno mojih ucenika pristup serverima za vjezbu cak s istim FTP podacima jer mi je to bilo najlakse, a prostor za vjezbanje, kao ne vazan. Nakon toga nema vise. Svatko mora imati svoj posluzitelj (domenu), cak ni poddomene na radim jer i preko njih moze biti zla. Moze i izmedju domena, na istom hostingu, ali odonda nisam imao problema i sad pazim maksimalno koliko znam, a znam sve vise jer me nevolja na to sili :).
Kod tih frameworkova Joomle, WordPress i sl. izgleda morate uploadati stalne nadogradnje, uvijek najnovije verzije, jer su oni zamjenili Microsofta kao poslasticu za napade posto su postali rasireni i kao takvi nekome zanimljiva meta.
Gorane sve ste odlicno rekli. Kad sam ja ljetos imao takve napade znao sam uzrok: dao sam puno mojih ucenika pristup serverima za vjezbu cak s istim FTP podacima jer mi je to bilo najlakse, a prostor za vjezbanje, kao ne vazan. Nakon toga nema vise. Svatko mora imati svoj posluzitelj (domenu), cak ni poddomene na radim jer i preko njih moze biti zla. Moze i izmedju domena, na istom hostingu, ali odonda nisam imao problema i sad pazim maksimalno koliko znam, a znam sve vise jer me nevolja na to sili :).
Kod tih frameworkova Joomle, WordPress i sl. izgleda morate uploadati stalne nadogradnje, uvijek najnovije verzije, jer su oni zamjenili Microsofta kao poslasticu za napade posto su postali rasireni i kao takvi nekome zanimljiva meta.
pretpostavljam da koristis i ove metode…
http://semperfiwebdesign.com/category/documentation/wp-security-scan/
pretpostavljam da koristis i ove metode…
http://semperfiwebdesign.com/category/documentation/wp-security-scan/
Jutros se situacija ponovila, ovaj puta index.php nije imao 300kb, već 150kb…ftp passowe sam promijenio, ali iz hostinga mi javili da nemaju nikakva dodatna spajanja osim mojih. Ono kaj sam ja napravil sam pobacla van još neke pluginove koji mi nisu nužni, pročačkao po sajtu i nisam pronašo nikakav čudan kod ili skriptu…naravno, postoji šansa da sam previdio ili je dobro umaskiran.
@Goran datoteke u rootu su 644, osim configa koji je 666, tražim rupu, ali ona je toliko mala da se ne vidi, uskoro ću, nadam se, saznati i neki info od hostinga.
Uglavnom, ponovni slučaj prijavio hotingu, vidjeti ćemo kaj će oni uspijeti saznati.
Krajnja solucija je potpuno rušenje sajta, i postavljanje novog, ako se ovo nikako ne uspije riješiti…
Jel bi to moglo pomoći? Ima tko kakvu bolju?
Ma nemoj me zezati da si opet nesto “popusio”. Neka hosting ekipa naprvi kontrolu tko je prtljeo po datoteci. Koliko znam, da se to uhvatiti.
S obzirom na permisione, ja bih isao na kranju mjeru – readonly flagovi na sve datoteke. WordPress nema sto pisati po datotekama (mislim, ima no to je onda posebna prica – ali i rupa).
Zapravo, kad malo bolje razmislim. Nije li ti mozda neka druga aplikacija zarazena? Nemas li mozda forum ili nesto slicno po cemu ti hakercic moze svrljati po siteu i time na ludu foru mijenja index datoteke. Jesi pogledao ostale index datoteka da li je i u njih useljen neki kod?
U konacnici – smijesno je sve to. Pa to je vec trebalo biti pokrpano.
g.
Nemam ništa drugo, samo blog i nekolicinu pluginova koje ću pogasiti da vidim dal su oni rupe. Riješevaju u hostingu, traže tamo dal ima kaj.
Ma prošo sam sve, nema, barem ja ne vidim nikakav čudan kod. Što najgore ni Google mi nije od neke pomoći.
Jutros se situacija ponovila, ovaj puta index.php nije imao 300kb, već 150kb…ftp passowe sam promijenio, ali iz hostinga mi javili da nemaju nikakva dodatna spajanja osim mojih. Ono kaj sam ja napravil sam pobacla van još neke pluginove koji mi nisu nužni, pročačkao po sajtu i nisam pronašo nikakav čudan kod ili skriptu…naravno, postoji šansa da sam previdio ili je dobro umaskiran.
@Goran datoteke u rootu su 644, osim configa koji je 666, tražim rupu, ali ona je toliko mala da se ne vidi, uskoro ću, nadam se, saznati i neki info od hostinga.
Uglavnom, ponovni slučaj prijavio hotingu, vidjeti ćemo kaj će oni uspijeti saznati.
Krajnja solucija je potpuno rušenje sajta, i postavljanje novog, ako se ovo nikako ne uspije riješiti…
Jel bi to moglo pomoći? Ima tko kakvu bolju?
Ma nemoj me zezati da si opet nesto “popusio”. Neka hosting ekipa naprvi kontrolu tko je prtljeo po datoteci. Koliko znam, da se to uhvatiti.
S obzirom na permisione, ja bih isao na kranju mjeru – readonly flagovi na sve datoteke. WordPress nema sto pisati po datotekama (mislim, ima no to je onda posebna prica – ali i rupa).
Zapravo, kad malo bolje razmislim. Nije li ti mozda neka druga aplikacija zarazena? Nemas li mozda forum ili nesto slicno po cemu ti hakercic moze svrljati po siteu i time na ludu foru mijenja index datoteke. Jesi pogledao ostale index datoteka da li je i u njih useljen neki kod?
U konacnici – smijesno je sve to. Pa to je vec trebalo biti pokrpano.
g.
Nemam ništa drugo, samo blog i nekolicinu pluginova koje ću pogasiti da vidim dal su oni rupe. Riješevaju u hostingu, traže tamo dal ima kaj.
Ma prošo sam sve, nema, barem ja ne vidim nikakav čudan kod. Što najgore ni Google mi nije od neke pomoći.
jesi li pregledao “404″ logove? mozda te je neko s nekom varijaciom sql injectiona zarazio… nemoj srusiti web, stavi ga offline (prazan index.htm u sve foldere: od rota do ona tri iz kojih wordpress vuce funkcije), povuci ga na lokalnu kantu i vidi kako se ponasa, preceprkaj po bazi ak imas cudnih unosa… pregladaj sve direktorije na hostu da ti se negdje ne skirva nesto zakrabuljeno…
jesi li pregledao “404″ logove? mozda te je neko s nekom varijaciom sql injectiona zarazio… nemoj srusiti web, stavi ga offline (prazan index.htm u sve foldere: od rota do ona tri iz kojih wordpress vuce funkcije), povuci ga na lokalnu kantu i vidi kako se ponasa, preceprkaj po bazi ak imas cudnih unosa… pregladaj sve direktorije na hostu da ti se negdje ne skirva nesto zakrabuljeno…
Meni ubacuju kod u wp-config.php i to odmah u prvoj liniji nakon <?php i skroz udesno. Kad otvorim s pico editorom ne vidi se. Sad sam stavio ovlasti -rw-r–r– pa budemo vidili. Koliko vidim opet su ti ga hakirali
Meni ubacuju kod u wp-config.php i to odmah u prvoj liniji nakon <?php i skroz udesno. Kad otvorim s pico editorom ne vidi se. Sad sam stavio ovlasti -rw-r–r– pa budemo vidili. Koliko vidim opet su ti ga hakirali
Jako je zanimljiv i ovaj plugin http://bit.ly/aT554 …. koristi li ga netko?
Jako je zanimljiv i ovaj plugin http://bit.ly/aT554 …. koristi li ga netko?
Koliko se sjecam, potrebno je zamjeniti sve lozinke (kao prvo) na serveru, zatim svim administratorima promjeniti lozinke, zabraniti svim administratorima snimanje lozinki kod logiranja, obrisati i dici ciste fajlove za wp (sve osim content-a) kojeg spustis lokalno, obrises na serveru cijeli folder, zatim fajl po fajl pregledavas i trazis maliciozni kod, zatim kad obrises te kodove (obicno u headeru teme i functions.php, index.php-u) zatim cesljas bazu za skrivenim i nepoznatim administratorima, te jos necim, al to zaguglaj, ne sjecam se vise kaj sve moze biti u bazi. Zatim sve skupa vratis na server, promjenis i lozinku za bazu i cpanel. Sve podesis i nema vise problema. Takoder preporucujem da si postavis neki plugin koji ce te obavijestiti ako netko nesto radi po wp-u, barem privremeno. U svakom slucaju gotovo uvijek imas skrivene fajlove u nekoj cudnoj slici ili slicnom pririvenom fajlu u wp-contentu/uploads prema svemu o cemu pises. Potrebno je rucno sve pregledati. Sretno.
Koliko se sjecam, potrebno je zamjeniti sve lozinke (kao prvo) na serveru, zatim svim administratorima promjeniti lozinke, zabraniti svim administratorima snimanje lozinki kod logiranja, obrisati i dici ciste fajlove za wp (sve osim content-a) kojeg spustis lokalno, obrises na serveru cijeli folder, zatim fajl po fajl pregledavas i trazis maliciozni kod, zatim kad obrises te kodove (obicno u headeru teme i functions.php, index.php-u) zatim cesljas bazu za skrivenim i nepoznatim administratorima, te jos necim, al to zaguglaj, ne sjecam se vise kaj sve moze biti u bazi. Zatim sve skupa vratis na server, promjenis i lozinku za bazu i cpanel. Sve podesis i nema vise problema. Takoder preporucujem da si postavis neki plugin koji ce te obavijestiti ako netko nesto radi po wp-u, barem privremeno. U svakom slucaju gotovo uvijek imas skrivene fajlove u nekoj cudnoj slici ili slicnom pririvenom fajlu u wp-contentu/uploads prema svemu o cemu pises. Potrebno je rucno sve pregledati. Sretno.
Thnx svima na savjetima i odličnim idejama, ponajviše http://www.avalon.hr ekipi na odličnoj podršci.
Uglavnom, uljez je pronađen, napadači blokirani, site opet siguran.
Dotični hakeri mi provalili pass, ubacili skriptu i to je bilo dovoljno. Sutra slijedi blog post o tome.
Thnx svima na savjetima i odličnim idejama, ponajviše http://www.avalon.hr ekipi na odličnoj podršci.
Uglavnom, uljez je pronađen, napadači blokirani, site opet siguran.
Dotični hakeri mi provalili pass, ubacili skriptu i to je bilo dovoljno. Sutra slijedi blog post o tome.