Feltörték a fél internetet, vagyis rengeteg WordPress oldalt ért támadás 2017 decemberében – még kriptovalutát is bányásztak velük

Feltörték a fél internetet, vagyis rengeteg WordPress oldalt ért támadás 2017 decemberében – még kriptovalutát is bányásztak velük

A hackerek a legjobb időszakot választották arra, hogy nehezen lehessen helyrehozni a weboldalakat, miután feltörték őket. December végén (2017) a tárhely-szolgáltatók is őrlángon működnek, a cégek, weboldal-tulajdonosok is kicsit lazábban ellenőrzik a weboldalaikat. A támadók azért is WordPress-t (WP) választották, mert az egyik legnépszerűbb tartalomkezelő rendszer (CMS), vagyis rengeteg weboldal készül WordPress-re épülve. A Minner is a feltört oldalak között volt, így engem is érintett az ügy. Lássuk is, miről van szó!

Az alábbi ábrán láthatod, hogy a 2017 decemberi adatok szerint a CMS-s (egyébként az összes weboldal 48%-a CMS rendszereken működik) oldalak között a WordPress toronymagasan a legnépszerűbb, és több mint 26 millió aktív weboldalon használják. Kép alatt folytatom!

CMS motorok népszerűsége - Forrás: websitesetup.org - adatok: BuiltWith.com, W3tech.com, SimilarTech, Google Trends.

CMS motorok népszerűsége – Forrás: websitesetup.org – adatok: BuiltWith.com, W3tech.com, SimilarTech, Google Trends.

A támadások

Durván hatszorosára nőtt a WordPress oldalakat ért támadások száma 2017. december 17. és 22. között. Ezt látjátok az ábrán. A Wordfence WordPress biztonsággal foglalkozó cég adatait láthatjátok, akiknek a rendszere több mint 1 millió WP oldalhoz van telepítve. Ábra a támadásokról:

WordPress oldalakhoz kapcsolódó behatolási, támadási kísérletek száma - Forrás: Wordfence

WordPress oldalakhoz kapcsolódó behatolási, támadási kísérletek száma – Forrás: Wordfence

Így csinálták, és a ezért

A behatolás régebbi verziójú WP pluginokon/sablonokon keresztül valósult meg. Ezért is érdemes folyamatosan frissíteni őket. Természetesen még így se védhető ki minden. A behatolás után át tudták venni a hatalmat a weboldalak felett, több fájlban is átírták a kódokat, sőt, még az adatbázishoz is hozzá fértek.

Miért törték fel?
Két típusról számoltak be a szakértők:

  • Átirányitási csalás: A hackerek a weboldal feltörése után kódokat helyeztek el a weboldalba úgy, hogy egyes linkekre kattintva a látogatókat más oldalakra irányították. Főleg átverős oldalakra.
  • Kriptovaluta-csalás: Másik verzió az volt, hogy egy olyan kódot tettek be, amivel az egyik népszerű kriptovalutát bányászták a háttérben, a Monero-t. Érdekesség, hogy még a Monero ára is megugrott emiatt, szóval nem kis pénzt kerestek ezzel a hackerek. Nem csak az árfolyamot befolyásolták, de még bányásztak is.

A Minnert is feltörték – sokat tanultam belőle 🙂 – tippek

Szerencsére nem az első eset volt, hogy hackerek jutottak be a Minnerbe (kétszer volt eddig), így a vész-forgatókönyvem már megvolt az ilyen esetekre. Az igaz, hogy ilyen nagy kárt még nem okozott egy behatolás sem, nagyon nehéz volt visszaállítani az oldalt. Én az első típusba tartoztam, tehát a Minnert egy olyan vírussal fertőzték meg, hogy átirányította az oldalon található linkeket. 1 napon belül sikerült visszaállítani az oldalt. Most ehhez kapcsolódó tippeket írok le, mit tehetsz ellene, vagy mit csinálj, mikor jön a baj.

  • Biztonsági mentések
    Szerencsére folyamatosan mentve van az oldal. Egyrészt a tárhely-szolgáltató is menti, másrészt én is az UpdraftPlus nevű pluginon keresztül. Utóbbi a fájlokat menti le, így egy szimpla másolással vagy a pluginon belül napra vonatkozóan vissza tudom állítani a fájlokat.
    A tartalmakat (szöveg….) viszont az adatbázisban tároljuk, így azt is érdemes átnézni
  • Adatbázis
    A hackerek ide is behatoltak, és saját maguknak hoztak létre adminisztrátori jogosultságot. Érdemes pár nappal a behatolás előtti “állapotot” visszaállítani, törölni a nem oda való felhasználókat.
  • Fájlok
    Érdemes a telepítések után megnézni a fájlok neveit, hogy kiszűrjük később az idegen fájlokat. De egyébként ebben segít a lent is említett Wordfence plugin. Itt a képen például egy olyan mappát látsz, amit a vírus hozott létre, érdemes azonnal átnevezni, törölni (néha nem mindent tudsz törölni, így a névváltoztatás is hasznos lehet). A képen az x___… mappát neveztem át például (már nem ezen a szerveren van a Minner, meghagytam tanulmányozásra 🙂 )

  • Friss WordPress
    Érdemes támadás esetén/után a teljes WP fájl állományt kicserélni a legfrissebbre. Töltsd le a legfrissebbet innen, majd másold fel FTP-n keresztül a fájlokat. A wp-config.php fájlt természetesen újra állítsd be.
  • A biztonsági plugin
    A Wordfence nevű plugin mentette meg az életemet. Már régóta fel van telepítve így szerencsére átláttam a működését.
    Támadás után ezt használd: Miután feltelepítetted, aktiváltad az oldaladnál indítsd el a SCAN funkciót. A rendszer átvizsgálja a fájlaidat és ha gyanús kódsort, vagy az eredeti fájloktól elértő kódokat talál, akkor jelez, és vissza tudod állítani. Továbbá az idegen fájlokat is jelzi neked, és felajánlja, hogy töröld.

Remélem segítettem!

Ehhez kapcsolódó tartalom: Kipécézték a magyarokat? Egyre több céges Facebook oldalt és hirdetési fiókot törnek fel a hackerek, csalók

Forrás: Wordfence,  scmagazineuk.com, 
bleepingcomputer.com