Атака на wordpress дала злоумышленникам полный контроль над аккаунтом
Сегодня опять пойдет речь о безопасности, а именно об инциденте с популярнейшим движком рунета wordpress
Так случилось, что были установлены, в свое время, несколько сайтов на seo-сборке wordpress-а. Были они наполнены контентом не густо, но и не пусто. Делалось всё для рекламы, и, собственно, после запуска было благополучно отправлено в забытье. Лишь изредка мониторилось на предмет работоспособности и дохода с рекламы. Прошло не мало времени, и вот примерно неделю назад, все сайты на базе wordpress были подвергнуты дефейсу.
Так вот, какие-то ребята (возможно школота - вооруженная сканером и пакетом эксплойтов) разместили на моих позаброшенных рекламных сайтах что-то типа рекламного щита гласящего: взломано албанскими хакерами, ну и прочий текст, не помню сохранились ли где-то скриншоты если найду позже выложу.
Что интересно стояла на тот момент предпоследняя сборка вордпресса, и злоумышленники получили полный контроль над хостингом (в пределах аккаунта). Хакеры использовали широко известный скрипт mass.pl, который просканировал сервер на предмет установленных вордпрессов и все их задефейсил одинаковыми страничками, после себя подчистил логи, что свело на нет попытки отследить механизм взлома.
Таким образом, пропущенное вовремя обновление, в комплексе с недостаточной защитой серверов хостинга, вылилось в несколько часов работы по восстановлению файлов и дампов баз, смене паролей и прочему. Взлом оставил очень не хороший осадок, как после ограбления, мол кто-то рылся в моих файлах и базах, и сделал с ними что хотел. Интересен тот факт, что justhost.com позволил запустить вредоносный perl скрипт, и даже после этого ни сотрудниками ни автоматикой не был зафиксирован факт взлома. Хотя тот же Антивирус Касперского скрипт опознал и матюгался при закачке скрипта mass.pl для анализа с ftp-сервера на локальный компьютер.
Такие дела, следите за обновлениями популярных движков, которые используете, открытый исходный код удобен не только вам, но и злоумышленникам, которые могут его анализировать и находить незащищенные места.
Предыстория
Так случилось, что были установлены, в свое время, несколько сайтов на seo-сборке wordpress-а. Были они наполнены контентом не густо, но и не пусто. Делалось всё для рекламы, и, собственно, после запуска было благополучно отправлено в забытье. Лишь изредка мониторилось на предмет работоспособности и дохода с рекламы. Прошло не мало времени, и вот примерно неделю назад, все сайты на базе wordpress были подвергнуты дефейсу.
Дефейс (Deface) - изменение/подмена страниц сайта, на информацию по выбору атакующего хакера, (как правило дефейсу подвергают главную страницу, но не обязательно ограничиваются ей)
Завязка
Так вот, какие-то ребята (возможно школота - вооруженная сканером и пакетом эксплойтов) разместили на моих позаброшенных рекламных сайтах что-то типа рекламного щита гласящего: взломано албанскими хакерами, ну и прочий текст, не помню сохранились ли где-то скриншоты если найду позже выложу.
Что интересно стояла на тот момент предпоследняя сборка вордпресса, и злоумышленники получили полный контроль над хостингом (в пределах аккаунта). Хакеры использовали широко известный скрипт mass.pl, который просканировал сервер на предмет установленных вордпрессов и все их задефейсил одинаковыми страничками, после себя подчистил логи, что свело на нет попытки отследить механизм взлома.
Таким образом, пропущенное вовремя обновление, в комплексе с недостаточной защитой серверов хостинга, вылилось в несколько часов работы по восстановлению файлов и дампов баз, смене паролей и прочему. Взлом оставил очень не хороший осадок, как после ограбления, мол кто-то рылся в моих файлах и базах, и сделал с ними что хотел. Интересен тот факт, что justhost.com позволил запустить вредоносный perl скрипт, и даже после этого ни сотрудниками ни автоматикой не был зафиксирован факт взлома. Хотя тот же Антивирус Касперского скрипт опознал и матюгался при закачке скрипта mass.pl для анализа с ftp-сервера на локальный компьютер.
Мораль
Такие дела, следите за обновлениями популярных движков, которые используете, открытый исходный код удобен не только вам, но и злоумышленникам, которые могут его анализировать и находить незащищенные места.
горький опыт получил и описал: Матяшов Евгений