34988_10151613347653933_2075706735_n

Τι κάνεις όταν ξυπνάς και σου έχουν χακάρει 16 wordpress sites;

Ξύπνησα σήμερα το πρωί, και νόμισα πως θα ήταν άλλο ένα ήρεμο πρωινό. Όχι όμως.

Μια ομάδα Βραζιλιάνων χάκερς (εκεί με οδήγησαν τα ίχνη) είχαν άλλες ορέξεις.

Να μην σας τα πολυλογώ, όσο εγώ κοιμόμουν σαν πουλάκι, 16 sites μου είχαν χακαριστεί.

“Πάρε μια βαθειά ανάσα και πάμε να δούμε τι έχει γίνει.” Σκέφτηκα.

Άλλωστε δεν είναι η ούτε η πρώτη, ούτε η τελευταία φορά που συμβαίνει κάτι τέτοιο.

 

Ξαφνικά θυμήθηκα ένα status που είχα ανεβάσει στα Social media πριν λίγες ημέρες (μεγάλε Murphy!).


facebook_update
Σε όποιο από τα 16 sites και αν προσπαθούμε να μπω, έβλεπα την παρακάτω σελίδα (αυτό λέγεται και deface).

34988_10151613347653933_2075706735_n

Ωραία, σκέφτηκα. Τουλάχιστον είναι ο ίδιος σε όλα. Άρα έχω να αντιμετωπίσω μια επίθεση. Άλλωστε και τα 16 αυτά sites ήταν στον ίδιο server (όχι σε αυτούς που έχω εγώ και τους διαχειρίζομαι μόνος μου, αλλά σε shared πακέτο).

Τι κάνεις σε μια τέτοια περίπτωση;

Η πρώτη μου σκέψη είναι πάντα να δω τι μπορώ να περισώσω. Πότε πήρα το τελευταίο μου backup; (ευτυχώς πλέον, αφού κάηκα μια δυο φορές στο παρελθόν – τη μια κυριολεκτικά, παίρνω κάθε μέρα backup) Είναι λίγο φασαρία η επαναφορά, αλλά τουλάχιστον δεν θα χάσω πολλά δεδομένα (αναλογίστικα).

Σκέφτηκα όμως να βρω πρώτα τι έχει συμβεί (ώστε αν υπάρχει κάποια τρύπα να την κλείσω) και μετά αν χρειαστεί να επαναφέρω το χθεσινό backup.

Στην έρευνα που έκανα όμως, διαπίστωσα 2 πράγματα.

1. δεν είχα χάσει τίποτα από data (στις βάσεις δεδομένων)
2. παρατήρησα έναν περίεργο λογαριασμό FTP στον server, τον οποίο δεν θυμόμουν να τον είχα δημιουργήσει εγώ.

 

Ποιες είναι οι πρώτες κινήσεις που έκανα;

Πρώτη κίνηση είναι ΠΑΝΤΑ να κλείσουμε τις πόρτες και ο εχθρός να είναι από την έξω μεριά.

Οπότε:

1. Άλλαξα όλους τους κωδικούς πρόσβασης σε Control panels, Admins, FTPs κλπ.
2. Άλλαξα τα session keys των wordpress sites, ώστε αν κάποιος από τους φίλτατους χακερς ήταν ακόμα Loged in, να έχανε την πρόσβαση του.
3. Έκανα όλα τα updates σε λειτουργικό και software και κλείδωσα προσωρινά το port 21 του FTP.

 

Ωραία. Μετά;

Μετά έψαξα να δω τι ακριβώς μου είχε πειράξει. Στα log files του server, είδα καθαρά πως είχαν γίνει “overwrite” κάποια index.php αρχεία.

Λογικό. Γι’ αυτό και όλα τα sites έδειχναν αυτή την νέα σελίδα.

Αντικατέστησα λοιπόν όλα τα αρχεία αυτά, με ένα δικό μου που μόλις δημιούργησα με τον παρακάτω default κώδικά του index.php του wordpress installation.

<?php
/**
* Front to the WordPress application. This file doesn’t do anything, but loads
* wp-blog-header.php which does and tells WordPress to load the theme.
*
* @package WordPress
*/

/**
* Tells WordPress to load the WordPress theme and output it.
*
* @var bool
*/
define(‘WP_USE_THEMES’, true);

/** Loads the WordPress Environment and Template */
require(‘./wp-blog-header.php’);

 

Και.. βουαλά! Όλα επανήλθαν στα κανονικά τους. ΤΕΛΕΙΑ!

Οι χάκερς ήταν μάλλον πρωτάρηδες

Στην συνέχεια της έρευνας μου, διαπίστωσα πως οι χάκερς είχαν αφήσει πολλά ίχνη πίσω τους. Σε περίπου 20 λεπτά είχα βρει τον έναν από αυτούς ακόμα και στο facebook, ενώ ενός άλλου είχα και το σπίτι του στο google maps.
Ξέρω, creepy!

Screen Shot 2013-04-16 at 11.03.18 AMτο προφίλ του ενός

hacker_home_1

hacker_home

το σπίτι του άλλου

Μην με ρωτήσετε πως τα βρήκα αυτά, αλλά σας ορκίζομαι δεν ήταν δύσκολο, ειδικά αν έχεις μια σχετική προϋπηρεσία στον χώρο.

Το σίγουρο είναι πως θα τους ήρθε κάπως όταν θα βρήκαν το email που τους έστειλα, με όλα αυτά τα στοιχεία στο mailbox τους και θέμα “n3ver mess with the gr33ks”.

Συμπεράσματα.

Backup! Backup! Backup!

Οτι και να κάνετε, κρατάτε αντίγραφα! Γιατι μπορεί σήμερα να πέσαμε σε πρωτάριδες που απλα ήθελαν να δοκιμάσουν ένα νέο exploit παιχνιδάκι τους, αλλά αύριο μπορει να χάσουμε τα πάντα!

Ουφ! Πάει και αυτό!

Προχωράμε;

Σχόλια

comments