Tak właśnie się włamią na Twojego bloga

Jeśli chcesz aby ktoś przejął twój blog, nie czytaj tego wpisu.

Nawet nie zdajesz sobie sprawy, ale może twój blog już jest przejęty. I to w sposób zupełnie cichy, niewidoczny dla ciebie. W treści twoich wpisów znajdują się odnośniki do stron pornograficznych – odnośniki, których ty nie widzisz, ale inni (odwiedzający czy wyszukiwarki) owszem. Gdy ktoś odwiedza twoją witrynę, przy każdym odświeżeniu strony wysyłanych jest z twojego serwera kilkaset maili do różnych ludzi z zachętą do powiększenia penisa. Każdy kto zostawił u ciebie komentarz i zostawił swój adres email… cóż, sam zgadnij kto jeszcze poza tobą poznał ten adres i dopisał do swojej bazy celów ataków. Gdy ktoś zakłada na twoim wordpressie konto i przypadkiem użyje tego samego hasła co do swojej skrzynki czy konta bankowego, w tej samej sekundzie włamywacz otrzymuje te dane. I to wszystko przy twojej pełnej nieświadomości, że dzieją się takie rzeczy.

Brzmi przerażająco? Niestety coraz więcej stron tak działa stając się tak zwanymi stronami zombie. Właściciel na początku nie wie, że dzieje się coś złego, później zaczyna zauważać, że traci kontrolę nad swoim wordpressem, na końcu wyszukiwarki wyrzucają ją z wyników wyszukiwania, a odwiedzający widzą czerwoną planszę z ostrzeżeniem przed odwiedzinami.

Trzy najczęstsze błędy posiadaczy bloga

Ilekroć ktoś na jakimś forum zgłasza, że padł ofiarą powyższego, tak naprawdę popełnił jeden z poniżej opisanych błędów. Oczywiście zdarzają się i przypadki bardziej wyrafinowane, ale z moich odczuć szacuję, że wój błąd to właśnie któryś z tych:

Skórki i wtyczki pobierane z dziwnych miejsc

Szukając skórki dla swojego bloga wpisałeś w google „wordpress themes”? Po chwili stwierdziłeś, że za dużo jest wyników z ofertami skórek płatnych i dopisałeś „free wordpress themes”? Bingo, jesteś na prostej drodze do infekcji.

Nie ma czegoś takiego jak darmowy obiad. Naprawdę wierzysz, że ktoś przygotowuje świetnie działające skórki, z rozbudowanymi panelami konfiguracyjnymi i opcjami i udostępnia je za darmo, anonimowo na dziwnych stronach, na które trafiasz raz i nigdy nie wrócisz?

Spora część z tych gratisów zawiera kolejny gratis – dopisany kod, który robi jedną (albo wszystkie) z powyżej opisanych rzeczy. Instalując taką skórkę za darmo, instalujesz od razu wirusa.

To samo się tyczy wtyczek spoza oficjalnego repozytorium.

To samo się tyczy tłumaczeń do skórek / wtyczek pobieranych z rożnych dziwnych witryn. (choć to akurat rzadziej)

Oczywiście: wciąż za darmo możesz pobrać skórkę z oficjalnego repozytorium. Skórki, kŧóre tam trafiają są przed publikacją przeglądane pod kątem wykrywania złośliwego kodu,a  osoby które je tam przesyłają robią to za darmo faktycznie z pobudek altruistycznych (lub chcące dopiero co zaistnieć na rynku lub poćwiczyć swoje umiejętności). Nie oszukujmy się jednak: oficjalne repozytorium to nie jest miejsce, w którym znajdziemy wiele solidnie zrobionych motywów; to raczej właśnie wprawki przyszłych designerów. Ja sam już od jakiegoś odpuściłem sobie przeglądanie darmowego repozytorium i gdy potrzebuję jakiegoś motywu, od razu kieruję się na Themeforest. 30 dolarów to nie jest wielka kwota.

I zgadzam się: o ile skórki z repozytorium to w większości towar marnej jakości, to jednak pluginy są / bywają rewelacyjne.

Brak aktualizacji – nie tylko aktualizacji WordPressa

Podstawowa zasada, o której zapominają wszyscy początkujący: nowa wersja WordPressa, nowa wersja wtyczki, nowa wersja skórki pojawia się dlatego, że w starej coś było nie tak. Czasem owo „nie tak” to brak jakiejś pożądanej funkcji, często jednak oznacza to dziurę.

I w momencie gdy wykrywana jest taka dziura dzieją się dwie rzeczy równolegle: autor wtyczki/skórki/wordpressa bierze się za łatanie tej dziury, a crackerzy wypuszczają w sieć roboty, które wyszukują blogi, na których nadal jest stara wersja oprogramowania. Gdy znajdą – instalują złośliwy kod.

Od ciebie tylko zależy czy będziesz szybszy od włamywacza. Jeśli na swoi blogu widzisz u góry informację o aktualizacji i ją ignorujesz – nie płacz gdy przyjdą problemy.

Hasło zapisane w programie do FTP

Więc mówisz, że Total Commander jest najlepszym programem do połączeń FTP? I jedną z jego lepszych cech jest zapamiętywanie danych serwera: adresu, loginu i hasła?

A zatem zapewne nie wiesz, że właśnie ów TC jest jednym z najczęściej atakowanych programów w celu wykradzenia tych danych. Nie potrafię oszacować jak często się to dzieje, ale przynajmniej raz na kilka tygodni zgłasza się do mnie ktoś z prośbą o ratunek. I na pytanie o klienta FTP odpowiada właśnie, że jest to Total Commander. Od tego pytania właśnie zaczynam bo dzięki niemu od razu wiem, którędy dostał się włamywacz.

Zasada jest prosta. Jeśli zapisałeś dane logowania w programie do FTP, zapisał je sobie także twój przyszły włamywacz.

Podsumowując:

Wtyczki i skórki tylko ze źródeł płatnych lub z oficjalnych repozytoriów na wordpress.org. Wtyczki, skórki i samego wordpressa trzeba aktualizować. Haseł nigdy nie zapisuj.

Nie ustrzeże cię to przed wszystkimi możliwościami włamania, ale przynajmniej nie będzie można powiedzieć, że o te włamanie sam się prosiłeś.

zdj: flickr.com


Opublikowano

w

,

przez

Komentarze

20 odpowiedzi na „Tak właśnie się włamią na Twojego bloga”

  1. Awatar Daggerka

    Zapamiętane hasła? Czemu nie! Byle nie w pierwszym lepszym programie do FTP, a np: KeePass ;-)

    A tak w ogóle na prawdę FTP? Każdy porządny hosting umożliwia połączenie SFTP.

    1. Awatar Konrad Karpieszuk

      nie ważne czy ftp czy sftp – jak zapamietasz hasla w TC to juz 'po ptakach’ :)

      1. Awatar Daggerka

        No jasne ;-) Ale odnośnie SFTP to ja nie o tym. Zdziwiłbyś się co potrafi latać w sposób nieszyfrowany po mojej sieci miejskiej…

      2. Awatar Łukasz Więcek - Majsterkowo.pl

        No z tym zapisywaniem haseł to bardziej taka legenda ;) Równie prosto można podsłuchać hasło wpisywane z palca ;)

        1. Awatar Daggerka

          Nie do końca. Żeby te wpisywane podsłuchać musisz załapać kelogera, a zapisane w postaci niezaszyfrowanej hasła może wyciągnąć pierwszy lepszy skrypt / virus.

          Ponadto KeePass ma głównie tą zaletę, że generuje ci długie, pseudolosowe hasło – różne dla każdej witryny / usługi / aplikacji. W razie włamu na pierwsze lepsze forum nikt za pomocą wykradzionego tam hasła nie zaloguje się na inne z twoich konto.

        2. Awatar Konrad Karpieszuk

          nie wiem bo nie uzywam TC, ale do napisania wpisu natchnal mnie wlasnie kolejny przypadek zgloszony na forum, ze ktos sie wlamal i po dwoch dniach ustalen okazalo sie ze to wlasnie total :)

  2. Awatar Kamil

    Mogłeś napisać gdzie szukać ewentualny trefny kod, bo bez tego jest za mało konkretów w tym artykule.

    1. Awatar Konrad Karpieszuk

      wiem, ale to nie mial byc artykul 'wszystko na temat bezpieczenstwa’ :) o szukaniu jeszcze na pewno bedzie

    2. Awatar Daggerka

      Żeby uczyć jak wyczyścić z wirusów kradzione motywy? No wiesz?

  3. Awatar SpeX

    Z tego co pamiętam, gdzieś przewiną mi się przez monitor jakiś plugin który właśnie miał skanować szablony przeciw ukrytym kodom. Może jednak nie jest złym pomysłem instalacja jakiegoś antywirusa w WP.

    1. Awatar DMati

      Website Defender skanuje, monitoruje etc. i powiadamia mailowo gdy coś wyniucha, np: jakieś zmiany w plikach skórki czy w innych :)

      1. Awatar SpeX

        W wersji bezpłatnej można skanować tylko jedną stronę?

        1. Awatar DMati

          Jeżeli nic się nie zmieniło to tak, tylko jedną stronę monitoruje WebsiteDefender, ale luknij też na wtyczkę:

          http://wordpress.org/extend/plugins/sucuri-scanner/
          http://wordpress.org/extend/plugins/antivirus/

  4. Awatar Ola
    Ola

    Wszystko prawda, podstawowe zasady higieny. A swoją drogą, czy do napisania tego wpisu skłoniło cię jakieś konkretne zdarzenie? :)

    1. Awatar Konrad Karpieszuk

      kolejny post na forum z pytaniem jaak to sie stalo ze google zablokowalo komus strone :)

  5. Awatar rwpb

    Total Commander przechowuje dane do ftp i hasła w pliku wcx_ftp.ini w katalogu windowsów. Jeżeli tego piku nie ma, to Sieć/FTP połączenie jest puste. Nie potrzebujemy mieć dostępu do ftp cały czas. Ja mam na pulpicie dwa pliki bat, jeden zmienia nazwę tego pliku na przykładową 123456.789 a drugi zmienia nazwę pliku 123456.789 na wcx_ftp.ini
    Jak potrzebuję dostępu do ftp, to zmieniam nazwę na właściwą. Nie jest to do końca 100% zabezpieczenie, ale zawsze coś.
    Pozdrawiam

  6. Awatar solaris
    solaris

    To ja polecę http://www.wpunlocks.com/ ;->

  7. Awatar Paweł
    Paweł

    Bardzo średni ten artykul. Piszesz o rzeczach oczywistych. Ostatnio nawet do AppStore sie ktos wlamal i mit bezpieczenstwa Apple zostal zlamany. Dlatego pisanie, ze Twoj Blog jest „w niebezpieczenstwie” przez niewiedze jest oczywiste. Gdzie jednak szukac rozwiazan, jak sie zabezpieczyc? Bez tych informacji ten artykul jest totalnie bez sensu.

    1. Awatar Konrad Karpieszuk

      wpis ten powstał jak pięćdziesiąty raz ktoś na forum zgłosił, że mu google blokuje stronę i był bardzo zdziwiony, że powodem jest skórka, którą pobrał ze strony którą widział pierwszy raz w życiu i nigdy już na nią nie wracał. Dla Ciebie i dla mnie to oczywiste sprawy, ale jak widać potencjalnych klientów amber gold jest mnóstwo ;)

      a pozostałe porady też będą, ale w kolejnych artykułach. Tu tylko wymieniłem podstawowe zasady prewencji