Tokia patirtimi dalintis ne itin malonu, bet gal kam nors pravers. Visai neseniai ir atsitiktinai sužinojome, jog į mūsų wordpress (TVS) buvo įsilaužta ir prikrauta tūkstančiai spaminių puslapių. Šį faktą pastebėjome tikrindami suindeksuotus puslapius per paieškų sistemą google (site:www…).
Kadangi nesame tokios srities specialistai, tai pirmiausiai kreipimės į serverio administratorių, kad “užvestų ant kelio” ir gavome tokį atsakymą:
Šiuo atveju galima patikrinti FTP veiksmų žurnalą, tačiau per pastarąjį mėnesį jokie veiksmai su e-lietuva.net svetainės failais nebuvo atlikti (todėl atkrenta tikimybė kad buvo pakoreguoti failai nutekėjus prisijungimo duomenimis). Todėl panašu kad svetainė buvo nulaužta pasinaudojus saugumo spragomis (ypač tikėtina jei naudojama ne naujausia TVS versija). Nulaužimo tikimybę patvirtina svetainės lankomumas sausio mėnesį (ctry_usage_201301.png)
Didelė dalis lankytojų ateina iš Rusijos, JAV.
Kokiu būdu pakoreguojami failai, galima bandyti nustatyti analizuojant Apache žurnalo įrašus (type=log).
Bandymas atnaujinti svetainės failus teigiamų pokyčių neatnešė. Kitą dieną vėl buvo sukurta tūkstančiai naujų spaminių (viagra, medicine ir panašūs) puslapių. Pradėjome sekti, kokie puslapiai serveryje yra redaguojami ir atkreipėme dėmesį, jog default-filters.php failas yra nuolat pakeičiamas (nustatėme pagal datą), o po minėtų redagavimų jis šiek tiek padidėja (+100 kb), taigi tokiu būdu nustatėme per kurį failą vykstą spamų įkėlimai.
Toliau pradėjome ieškoti per kurį failą yra įsibraunama į mūsų serverį ir atradome, kad šis failas wp-atom-server.php yra visų svetainių aplankuose (wp-includes), o failo viduje yra įtartinai atrodančių kodų. Ištrynus šį failą visas prieš tai buvęs spaminimo atsinaujinimo procesas sustojo. Tikimės, kad tai ir buvo tas virusinis failas, kuris inicijuodavo failų užkrėtimus.
Taip pat praskenavę administratorių kompiuterius atradome keletą virusų, tad tikėtina, kad būtent tokiu būdu šie “neprašyti” failai pateko į mūsų serverį. Kitokių minčių, kaip jie ten atsirado nelabai ir turim, juolab, kad svetaines atnaujiname, vos tik pasirodo naujausios wordpress versijos.
Jei kas nors yra patyrę panašių įvykių su įsilaužimais į wordpress turinio valdymo sistemų svetaines ir gali pasidalinti savo mintimis, kviečiame tą padaryti šio įrašo komentaruose.
Koks hakeriams pelnas is to? Ar jie neturi savo gyvenimo ar jiems kas nors uz tai moka? Koks tikslas griauti, o ne statyti?