Autorius: Insaider

Ištikimesni insaider.lt tinklaraščio lankytojai tikriausiai pastebėjo, kad nuo vakar vakaro mano tinklaraštis buvo nulaužtas. Šiandien ryte vėl viskas veikia, todėl tik nedidelė lankytojų dalis spėjo pasigrožėti padariniais. Nenusiminkite, visus sugadintus failus ir kitas grožybes išsaugojau ir pademonstruosiu šiame įraše.

Blogą nulaužė kažkoks Indonezijos „hakeris” pasivadinęs Fran_73 (dabar google suindeksuos šį straipsnį ir programišius galės maudytis šlovės spinduliuose). Realios žalos nepadarė, tiesiog sugadino index.php failą ir sukūrė savo pristatomąjį pradinį failą (atsisiųsti failą .txt formatu). Savo pristatomajame puslapyje patalpino jo supratimu labai gražių Indonezijos panelių nuotraukas (tikriausiai lietuvaičių nematė). Viena nuotrauka tiesiogiai iš facebook buvo naudojama kaip paslėptas fono paveikslėlis (šio straipsnio iliustracija), o kita foto su iki puses uždengtu kūnų buvo kaip pagrindinė iliustracija (nuotrauka šone).

Taip pat sukūrė auto.php failą, kurį naudojo siuntinėti spamui el. paštu (atisiųsti failą .zip formatu). Pagrindiniame aplankale radau užkrėstą failą allnet.jpg, kurį teko ištrinti, nes antivirusinė pradėjo spygauti (nėra prasmės virusą viešai platinti šiame įraše).

Kokiu būdu buvo įsilaužtą iki šiol nežinau. Tačiau tai labai panašu į wodpress.com tinklaraščių atakas. Priėjimo prie ftp negavo, todėl greičiausiai bus kaltas koks nors įskiepis. Naudoju visus legalius įskiepius su naujausiomis versijomis, wp versija taip pat šiuo metu naujausia (3.3.1). Pateikiu šiuo metu naudojamų įskiepių pavadinimus ir versijas:

• Akismet 2.5.4
• All in One SEO Pack 1.6.13.8
• BulletProof Security .46.7 (įrašyta po nulaužimo)
• Conditional Captcha for WordPress 3.2.4
• Facebook Revised Open Graph Meta Tag 0.5
• FeedBurner FeedSmith 2.3.1
• Google XML Sitemaps 3.2.6
• IntenseDebate 2.9.3
• lbcd78 Meta Keyword Generator 0.7
• Lightbox 2 2.9.2
• No IE Welcome 1.0.1
• Page Lists Plus 1.1.8
• Recent Google Searches Widget 1.40
• SyntaxHighlighter Plus 1.0b2
• Target Blank In Posts And Comments 3.2
• WordPress.com Popular Posts 2.5.2
• WordPress.com Stats 1.8.5
• WordPress Related Posts 1.2
• Puslapių numeravimas 2.81
• WP-Polls 2.62
• WP Security Scan 3.0.9 (įrašyta po nulaužimo)
• WPtouch 1.9.37
• WP YouTube Player 1.5

Galbūt jūsų manymų šiame sąraše yra nesaugių įskiepių? Keisčiausia, kad daugelį įskiepių naudoju ir kituose wp projektuose, tačiau buvo nulaužtas tik šis.

Kaip bebūtų, šiuo metu viskas veikia. Dėka mano pažįstamo, ipcoders.com hostingo administratoriaus problema buvo išspręsta per keletą minučių: atstatytas backup’as, pašalinti užkrėsti failai, įdiegta antivirusinė, kuri nuolat skenuoja visus mano talpinamus failus, pakeisti visi slaptažodžiai… todėl tokių „stebuklų” turėtų nepasitaikyti. Iš savo pusės su .htaccess apsaugojau wp-admin aplankalą, įdiegiau papildomos wp apsaugos įskiepius.

Daugeliui wordpress tvs naudotujų, kurie skaito šį įrašą, sukilo nerimas, kad galbūt wordpress tvs yra nesaugi ir jų projektams iškyla grėsmė. Deja, taip tikrai nėra. Jei naudojate naujausia 3.3.1 versiją, jums niekas negrasia. Norėdami užtikrinti saugumą įsidiekite vieną iš wp apsaugos įskiepių ir atidžiai perskaitykite Povilo straipsnį apie wp saugumą bei Ričardo patarimus.

EDIT: Problema išspręsta dėka Marijaus Urbono. Saugumo spraga buvo rasta wp temos timthumb.php faile. Informaciją, kaip ją pašalinti rasite šiuose straipsniuose: How To Fix The Security Issue in Timthumb ir How to fix Timthumb security issue?.