Атака на wordpress дала злоумышленникам полный контроль над аккаунтом

Сегодня опять пойдет речь о безопасности, а именно об инциденте с популярнейшим движком рунета wordpress

Предыстория


Так случилось, что были установлены, в свое время, несколько сайтов на seo-сборке wordpress-а. Были они наполнены контентом не густо, но и не пусто. Делалось всё для рекламы, и, собственно, после запуска было благополучно отправлено в забытье. Лишь изредка мониторилось на предмет работоспособности и дохода с рекламы. Прошло не мало времени, и вот примерно неделю назад, все сайты на базе wordpress были подвергнуты дефейсу.
Дефейс (Deface) - изменение/подмена страниц сайта, на информацию по выбору атакующего хакера, (как правило дефейсу подвергают главную страницу, но не обязательно ограничиваются ей)

Завязка


Так вот, какие-то ребята (возможно школота - вооруженная сканером и пакетом эксплойтов) разместили на моих позаброшенных рекламных сайтах что-то типа рекламного щита гласящего: взломано албанскими хакерами, ну и прочий текст, не помню сохранились ли где-то скриншоты если найду позже выложу.

Что интересно стояла на тот момент предпоследняя сборка вордпресса, и злоумышленники получили полный контроль над хостингом (в пределах аккаунта). Хакеры использовали широко известный скрипт mass.pl, который просканировал сервер на предмет установленных вордпрессов и все их задефейсил одинаковыми страничками, после себя подчистил логи, что свело на нет попытки отследить механизм взлома.

Таким образом, пропущенное вовремя обновление, в комплексе с недостаточной защитой серверов хостинга, вылилось в несколько часов работы по восстановлению файлов и дампов баз, смене паролей и прочему. Взлом оставил очень не хороший осадок, как после ограбления, мол кто-то рылся в моих файлах и базах, и сделал с ними что хотел. Интересен тот факт, что justhost.com  позволил запустить вредоносный perl скрипт, и даже после этого ни сотрудниками ни автоматикой не был зафиксирован факт взлома. Хотя тот же Антивирус Касперского скрипт опознал и матюгался при закачке скрипта mass.pl для анализа с ftp-сервера на локальный компьютер.

Мораль


Такие дела, следите за обновлениями популярных движков, которые используете, открытый исходный код удобен не только вам, но и злоумышленникам, которые могут его анализировать и находить незащищенные места.

горький опыт получил и описал: Матяшов Евгений

на главную



Архив работы

agplr
2009-03-27 23:29:20
agplr.org.ua
Газпромпроект
2009-03-27 23:26:11
gpp.com.ua

agropartner
2009-03-27 23:23:00
/agropartner/
Британка немного о кошках
2009-02-26 22:55:47
britanka.com.ua
ФФЕА
2009-01-23 19:45:26
ffea.crimea.ua
ПППЛ
2008-12-22 00:43:02
pppl.org.ua
ООО АССА-В
2008-12-22 00:00:13
assa-v.com.ua