Вордпрес сигурност и малвер

Србија није земља у којој се много пажње посвећује сигурности. Не мисли се на сигурност земље, грађана, њиховог здравља, социјалног статуса, њихових бизниса. А сигурност је озбиљна ствар. Претпоставимо сада да је ваш бизнис на вебу. Прва ‘капија’ на коју ваши нови клијенти долазе је ваш сајт. Ако ваш сајт покреће Вордпрес CMS, не мислити о сигурности Вордпреса је исто као не мислити на сигурност вашег пословања, ваших прихода и вашег присуства у онлајн свету.

Сигурност Вордпрес је заиста озбиљна тема. Видели смо како један компромитовани Вордпрес сајт може да зарази велики број сајтова кроз cross-site scripting. Као код сваког CMS-а, што је популарнији, садржи више сигурносних пропуста. Вордпрес је, у неку руку, изузетак јер смо ретко виђали озбиљне сигурносне проблеме у коду самог Вордпреса, највећи проблем лежи у плагиновима и темама. Вордпрес тим је прилично фокусиран на решавање било каквог сигурносног пропуста који се јави у њиховом коду, док не можемо рећи то исто за ауторе тема и плагинова.

wордпресс-малwаре

Решили смо да вам прикажемо 4 најчешћа сигурносна пропуста везана за Вордпрес, како се они заобилазе, како их превентивно спречити и шта радити када се проблем деси. Објаснићемо и како се дешавају упади, на које пропусте су Вордпрес корисници највише рањиви, шта они ураде Вордпрес сајту. У овом чланку ћемо се бавити backdoor скриптама, малициозним download-има, pharma hack-овању и малициозним редирекцијама.

Малвер (енгл. malware)

У протекле 2 године, малвер је порастао за 140%. У исто време, Вордпрес је доживео свој врхунац, и тренутно покреће 17% сајтова на целом интернету. У свету сигурности, ово значи да сада тренутно постоји малвер за Вордпрес више него икад.

Шта чини Вордпрес рањивим

Просто је. Неажуриран Вордпрес, у комбинацији са пропустима у плагиновима и темама. Када на то додате незнање крајњег корисника, добијате савршену формулу за рањив веб-сајт.

Идемо једно по једно:

Први проблем је неажуриран Вордпрес. Кад год изађе нови update за Вордпрес, власници сајтова добијају поруку. Е сад, добар део власника успешно ескивира ту поруку и уопште не ажурира свој Вордпрес. Навели смо да сам Вордпрес најчешће није проблем, али у скоро свакој од верзија изађе по неки “security fix”. Можете погледати верзије 3.3.3 и 3.4.1. Дакле ризик постоји, али Вордпрес аутори толико брзо реше тај проблем и избаце нову верзију, да никад не дође до масовне хаварије. Само треба неко да се сети и да ажурира Вордпрес. То не би требало да буде неки проблем, јер су аутори Вордпреса свели целу акцију на један клик. Пример да неажурирана верзија Вордпреса може угрозити озбиљан бизнис је недавно хаковање сајта Ројтерса.

Сигурносни проблеми у плагиновима и темама. Постоји преко 20.000 плагинова за Вордпрес. Постоји исто толико тема да се нађе на вебу. Неки плагинови сами по себи садрже малициозни код или сигурносни пропуст, док други једноставно нису ажурирани неко време. Вордпрес заједница је поставила обавештење изнад сваког плагина који није ажуриран више од две године.

Некад су највећи сигурносни проблем сами корисници. Постоји то уврежено мишљење код власника вебсајтова да је најтежи део посла направити сајт, платити агенцију која ће то урадити и кад се то заврши, то је то, не дирај ништа, нека га тако. Да смо и даље у 1995-ој, то би било супер, али данас се игра мало променила.

Према речима екипе из Smashing Magazine-а, најчешћи проблеми код Вордпрес сајтова су:

  • Неажуриран Вордпрес
  • Слабо управљање лозинкама и логовањем
  • Лоша администрација самог система
  • Незаштићени сервери
  • Недостатак познавања рада система
  • Неадекватно решење проблема – проблем треба решити системски

Мало времена и едукације је све што треба да до ових проблема не би дошло. А једном кад научите како се то ради, немојте стати, научите још некога, јер све је више људи који генерално немају појма о овоме, јер просто, није њихова струка.

Еволуција малвера

Како је растао Интернет, растао је и малвер. Раније су хаковање и малвер служили да се покаже надмоћ над вебмастером који одржава сајт. Циљ је био да се покаже ко је јачи, ко је бољи. Данас су ствари другачије, данас је све везано за новац. Знамо за скорашњи DNSChanger који је хакерима донео добит од 14 милиона долара, док нису заустављени од стране FBI-a.

Такође, данас постоје “malnets” и “botnets” мреже, дистрибуиране мреже заражених рачунара које служе за крађу података, DDoS нападе, малициозни download и дистибуцију спама.

Поред њих, постоје малвер ботови који раде аутоматски тако што скенирају рањивости на сајтовима и аутоматски инсертују малициозни код у њих, чиме се аутору бота оставља време да се фокусира на рањивост самог система. Ови ботови се данас могу купити по већ приступачним ценама.

Најчешће Вордпрес рањивости

У овом чланку ћемо се фокусирати на 4 најчешће рањивости у Вордпресу. То су:

  • Backdoor скрипте
  • Малициозни download
  • Pharma hack
  • Малициозне редирекције

Backdoor скрипте

Backdoor скрипте омогућавају нападачу да добије приступ вашем окружењу, да приступи вашем FTP-у, sFTP-у, wp-admin секцији и сл. Могу приступити вашем налогу кроз командну линију, а некад чак виђамо и интерфејс као што је овај:

бацкдоор_смалл

Backdoor скрипте су прилично опасне. У најгорем сценарију, backdoor постављен на ваш сајт може узроковати озбиљне проблеме и губитак података на целом серверу. АдриаХост вас свакако проактивно штити од овакве врсте рањивости. Сваке ноћи, док ви мирно спавате, ми скенирамо ваш налог и уколико приметимо проблем, одмах вам јавимо.

Како се врши напад?

Напад се најчешће дешава због неажурираног софтвера и скрипти које користи. Скоро смо видели проблем са timthumb скриптом коју користи већина Вордпрес тема, која служи за “resize” слике на вашем сајту. Сигурносни проблем у овој скрипти је омогућавао хакерима да поставе штетан код на ваш хостинг налог и одатле га изврше.

Ево примера скенер скрипте која тражи timthumb рањивости:
лсцреенсхот-2

Како то изгледа?

Најчешће, малициозну скрипту можете приметити као енкодовану base64/eval скрипту или као део скрипте који је енкодован. Некад то и није случај, некад изгледа као обична скрипта, као на слици испод:

лсцреенсхот-3

Још један пример:

лсцреенсхот-4

Пример кода који гађа искључиво timthumb рањивост:

лсцреенсхот-5

Пример кода који често виђамо на Вордпрес инсталацијама, познатији као FilesMan:

лсцреенсхот-6

Како могу знати да сам нападнут?

Backdoor сваки пут изгледа другачије, али се може направити шаблон. На вашем хостинг налогу ћете приметити фајлове са именима попут:

  • wtf.php
  • wphap.php
  • php5.php
  • data.php
  • 1.php
  • p.php
  • satan.php

У другим случајевима, код се смешта у стандардне фајлове које ваш сајт користи:

лсцреенсхот-7

Backdoor скрипте стално расту и стално се мењају. Не постоји конкретан начин који можемо навести као лек за backdoor.

Како да се заштитим?

Иако су backdoor скрипте тешке за откривање када се проблем деси, постоје начини на које се можете превентивно заштитити од њих.

1. Комбинација 3 ствари за заштиту wp-admin дела сајта се показала као успешна метода за одбијање backdoor-а:

  • Ограничите приступ на своју ИП адресу
  • Двослојна аутентификација
  • Дозвољен логин само у одређеном времену

Знамо, звучи параноично, али то је зато што јесте параноично. Морате бити “freak” када је сигурност у питању.

2. Онемогућите php извршавање од стране трећих лица

Најрањивији фолдер је /uploads фолдер у Backdoor инсталацији, јер да би Вордпрес радио, овај фолдер мора имати могућност уписа. Оно што можете урадити је спречити извршавање PHP кода из тога фолдера, додајући следећи код у .htaccess фајл:

<Files *.php>
Deny from All
</Files>

Како да га нађем и очистим?

Када пронађете и ако пронађете фајл, довољно је да га обришете. То је први корак и он уствари не значи ништа, јер и даље постоји рупа кроз коју је он постављен. Ово је део о коме не морате пуно бринути, јер као што смо навели, ми скенирамо и аутоматски проналазимо фајлове који имају све познатије рањивости или су backdoor скрипте.

Можете проверити ваше фајлове, проверити датуме последње измене и да ли на вашем хостинг налогу постоји нешто што ви нисте поставили на њега. Људи често погреше па помисле да ће reinstall Вордпреса решити ствар. Хоће, ако сте толико срећни да се backdoor смести само у Вордпресове фајлове, што готово никад није случај. Вордпрес реинсталација не брише фајлове са вашег налога, само их преписује новијом верзијом, самим тим нема могућност да обрише фајл који није део Вордпреса.

Малициозни download

Малициозни download-и су фајлови који се скидају на ваш рачунар без вашег знања. Најчешће се постављају на ваш сајт као скрипта која у себи садржи код који инсталира малициозни софтвер на рачунар жртве, након чега њен рачунар постаје зомби-машина, која се даље може користити у сврхе познате нападачу. Иронично, најчешћа порука при овом проблему коју корисник види је информација да је његов рачунар заражен и да треба да инсталира анти-вирус.
лсцреенсхот-7

факеав2-650x419

Како дође до напада?

Најчешћи проблеми су:

  • Неажуриран Вордпрес
  • Слаба лозинка
  • SQL injection

Како то изгледа?

Испод се налазе примери скрипти који врше неауторизовани download:

Пример 1:
сцреенсхот-7

Пример 2:
лсцреенсхот-9

Пример3:
лсцреенсхот-10

Као што смо навели, напади постају све софистициранији, па можемо приметити и условне download-е који садрже малициозни код. То значи да се download неће позвати сваки пут кад се страница учита, јер би га тада било лако приметити, већ када се испуне одређени услови које нападач постави.

Како могу знати да сам нападнут?

Добар начин да проверите да ли ваш сајт поставља неауторизовани download на рачунаре посетилаца је Sucuri скенер. То је онлајн скенер који проверава већину сигурносних аспеката вашег сајта, који се могу проверити од стране корисника. Такође, ту је и Google Webmaster Tools алат, где можете пријавити свој сајт. Уколико Google примети малвер на вашем сајту, он ће вам то потврдити мејлом, пре него што блеклистује (енгл. blacklist) ваш сајт. Ако Google блеклистује ваш сајт, то је сигуран показатељ да се на вашем сајту налази малвер. Потребно је пронаћи извор малвера, очистити га и јавити се Google-у кроз Webmaster Tools како би извршили ревалуацију вашег сајта.

Поред скенера, проналазак малициозног download-а зависи од његове комплексности. Уколико на вашем налогу видите нешто овакво:

лсцреенсхот-11

Добар ствар у целој причи је што се оваква врста код увек смешта у фајлове које ваш сајт користи, ретко се дешава да буду постављени засебно у фајл који није део вашег сајта. Фајлови где можете потражити малициозни код су:

  • wp_blog_header.php
  • index.php
  • index.php (фајл теме)
  • function.php (фајл теме)
  • header.php (фајл теме)
  • footer.php (фајл теме)

У 60% случајева, проблем ће се налазити у неком од ових фајлова. Анти-вируси такође доста помажу у детектовању неауторизованог download-а. Екипа из Sucuri-ја је објавила да је пронашла у неким случајевима да је download увучен у сам пост и страницу, што значи да је малициозни код убачен у вашу SQL базу података. Уколико је то случај, биће потребно да прегледате вашу базу за било шта што не би требало да буде тамо. Добар показатељ да је сајт претрпео SQL inject напад су корисници који су регистровани на вашем сајту, а ви их нисте регистровали, нити вам је познато да су били регистровани раније.

Како да очистим?

Предлажемо да преузмете ваш сајт локално на ваш рачунар и кренете са претрагом. Total Commander опција за претрагу текста унутар фајлова вам може доста помоћи. Довољно је да пронађете један фајл који садржи малициозни код, након чега можете урадити претрагу за наведени стринг на свим фајловима вашег сајта.

Pharma hack

Pharma hack је један од најсофистициранијих начина хаковања вашег сајта. Ваш сајт ради нормално и ви ништа не примећујете, али ако укуцате назив вашег сајта у Google-у, добијате веома чудне резултате, као на слици испод:

СПАМ-СЕРПС

Како се врши напад?

Pharma hack користи велики број правила која одређују шта ће корисник видети. То се може контролисати кроз једноставан код, као на слици:

лсцреенсхот-12

Неки нападачи иду корак даље и праве базе рањивости на вашем налогу, након чега вас редиректују на онлајн продавницу која је под контролом нападача.

лсцреенсхот-13

Као и сваки други SPAM, pharma hack служи за доношење зараде нападачу. Некад се плаћа click-through, а некад посета на сајту. Веома ретко ће вас pharma hack редиректовати на неки други сајт који има додатне инфекције, већ се све дешава одмах. Због тога је тешко открити и уклонити овакав напад. Претрагом за кључне речи које се користе у “hack”-у нећете пуно урадити, обзиром да су маскиране. А и изненадили бисте се колико се фармацеутских компанија оглашава за идентичне кључне речи, што значи, више новца, више напада.

Како то изгледа?

Ова врста напада је веома сложена. Може изгледати овако:

спамињецтион

У задње време су ствари мало комплексије, тако да резултат pharma hack-а може изгледати и овако:

СПАМ-ТАГС

Други облик pharma hack-а је када корисник кликне на обичан веб линк на вашем сајту, типа Насловна, Контакт, О нама и буде редиректован на онлајн продавницу која се оглашава, као на примеру испод:

ПхармацyАдс

Како могу да знам да ли сам нападнут?

Пре је било једноставно пронаћи овакав вид рањивости на сајту, обзиром да је било очигледно на самом сајту, међутим данас су ствари мало другачије. Најбоља варијанта је поставити неки фајл мониторинг на ваш Вордпрес и пратити промене. То се показало као доста ефектно решење.

Можете покушати и са бесплатним скенерима, опет се враћамо на Sucuri, али имајте на уму да је ово заиста прилично софистициран “exploit” и да не делује као да је било шта технички неисправно, и онда је мало теже разазнати шта је валидан а шта хакован садржај.

Како га очистити?

Преузмите ваш Вордпрес и вашу базу локално на ваш рачунар и тражите кључне речи. Можда тиме нећете пуно урадити, али ће вас навести на прави пут, како бисте знали где се “hack” налази, да ли су то коментари, чланци, да ли су у фајловима и сл. Када утврдите, прођите вашу Вордпрес базу података и проверите цео садржај. Базу можете едитовати као текстуални фајл и тражити кључне речи које сте пре тога установили. Савет: Pharma hack ће често имати везе са Акисмет плугином, тачније завући ће се у његове табеле у бази.

Ако не успевате да пронађете кључне речи у вашим фајловима, можете пробати сервис Bots vs. Browsers, који ће тестирати резултат вашег сајта на све прегледаче (енгл. browsers).

Како га спречити?

Примећено је да се pharma hack најчешће десио код застарелих Вордпрес верзија, али то не мора нужно да буде проблем. Видели смо DreamHost чији је сервер био копромитован и у све Вордпрес базе на серверу је усађен pharma hack.

Да бисте спречили pharma hack:

1. Ажурирајте ваш Вордпрес и све додатке на последњу верзију
2. Не хостујте ваш сајт на серверима који нису добро осигурани

Малициозне редирекције

Малициозна редирекција шаље посетиоца вашег сајта на малициозни сајт. У 2010-ој пронађено је 42926 малициозних домена на којима завршавају жртве ове рањивости. У 2011. тај број је порастао на 55294. Ту су укључени само главни домени, не и поддомени.

Малициозне редирекције могу а и не морају садржати малициозни код. Нпр ако посетилац дође на ваш сајт и буде усмерен на nekidrugisajt.com/fajl.php, а fajl.php садржи малициозни код, онда се ради о малициозном нападу. Уколико се ради о редиректовању на nekidrugisajt.com ради бележења посете, онда није страшно, али свакако треба да решите тај проблем.

Како долази до напада?

Као и до сада, проблем је неауторизовани приступ. Нападач би поставио бота који тражи Timthumb рањивост, када је нађе, поставио би фајл који функционише као backdoor о ком смо раније причали. Затим поставља фајлове који редиректују ваше посетиоце на друге сајтове.

Како то изгледа?

Овај проблем се најлакше решава од сва 4 наведена. Обично се редирекција врши директно у вашем htaccess фајлу и може изгледати овако:

лсцреенсхот-16

Или овако:

лсцреенсхот-15

Редирекција се може вршити и преко PHP фајла, кроз енкодовану скрипту обично у index.php, header.php или footer.php фајловима.

То изгледа отприлике овако:

лсцреенсхот-17

Како да знам да ли сам хакован?

Постоји неколико начина:

  • Sucuri скенер
  • Тестирање преко Bots vs Browsers
  • Посетиоци вашег сајта ће вам сами јавити

Како га очистити?

Малициозне редирекције се најлакше чисте. Ево неких предлога:

  • Отворите ваш .htaccess фајл
  • Сачувајте rewrite правила која сте сами додали
  • Све остало обришите
  • Пронађите све .htaccess фајлове на вашем хостингу

Како се заштитити?

Обзиром да се ради о .htaccess фајлу, предлажемо да спустите пермисије над тим фајлом, тако да га само власник налога може модификовати.

Прочитајте и овај туторијал о заштити Вордпрес htaccess фајла.

Закључак

Ето, надамо се да смо мало појаснили који су најчешћи проблеми у сигурности Вордпреса. Можда горе наведено делује застрашујуће, али верујте да се све може решити и до сада нисмо наишли на корисника који је изгубио свој сајт због рањивости Вордпресa. И ако једну ствар треба да запамитите из ове дугачке приче, то је – увек ажурирајте свој Вордпрес.

10 савета за Вордпрес сигурност:

  • Не кориситите генеричке налога, знајте увек ко приступа вашем сајту
  • Осигурајте фолдере. Забраните PHP извршавање.
  • Правите бекап – никад се не зна.
  • Вршите сигурну конекцију ка вашем серверу.
  • Проверите сигурност хостинг провајдера
  • Забраните непотребне логине на wp-admin, FTP
  • Не морате писати чланке као админ, не морају сви да буду админи
  • ИП filtering + Двослојна аутентификација + Јака лозинка = Сигуран приступ
  • Ако нисте сигурни, одаберите хостинг провајдера који ће вам помоћи са Вордпресом
ПРИЈАВИТЕ СЕ ЗА НАЈНОВИЈЕ ТЕКСТОВЕ СА НАШЕГ БЛОГА!

Tags: , ,

Нема коментара.

Пошаљи коментар