Mēs uzlauzām tavu WordPress lapu un gaidam no tevis Bitcoin!

Wordpress

Gada sākumā saņēmu e-pasta ziņojumu no mājas lapas kontaktformas, kuras aizpildītājs apgalvoja, ka mana vietne ir uzlauzta, tās datubāze ir nokopēta. Papildus tam, mistiskā persona apgalvoja, ka klientiem  tiks nosūtīts e-pasts, ka to dati ir pārdoti vai nopludināti. Tāpat man draudot arī uzbrukums ar pilnīgu reputācijas sagrāvi google pozīcijās, ja nesamaksāšu pieprāsīto ciparu – aptuveni 3000 USD vērtu Bitcoin. Konkrētajai mājas lapai es tiešām biju veltījis diezgan daudz laiku un tā saturēja aktīvu klientu datus. Taču saņemtā ziņa izrādījās biedēšanas taktika, nevis patiess iemesls bažām. Mana vietne faktiski netika uzlauzta.

Šādus ziņojumus sūta ļoti radoši tipiņi un viņa kontrolēti boti, kas iesniedz ziņojumu vietnes kontaktformā. Pēc šāda veida ziņas saņemšanas pirmajā brīdī iestājas trauksmes sajūta, taču pēc tam noskaidrojas, ka ar īstām mājas lapas kaitniecības taktikām šim ziņojumiem nav nekāda sakara. Vēlāk par līdzīgu situāciju saņēmu jautājumus arī no citiem wordpress lietotājiem, tapēc nolēmu uzrakstīt šo īso rakstu un noskaidrot īstos iemeslus, kad tiešam ikvienam no mums būtu pamats uztraukties.

Šajā rakstā gribu padalīties ar norādēm, kas iedos soļus kā pārbaudīt, vai tava WordPress vietne ir vai nav uzlauzta. Dalīšos ar dažām visbiežāk sastopamajām pazīmēm, kas liecina, ka vietnei ir nodarīta kāda kaitniecīga darbība, un noskaidrosim, ko varat darīt lietas labā, lai nebūtu jāatbild uz šāda veida e-pasta ziņojumiem.

Lūk, saņemtā ziņa:

From: Manie Hedin <[email protected]>
Subject: Your Site Has Been Hacked

Message Body:
Your Site Has Been Hacked

PLEASE FORWARD THIS EMAIL TO SOMEONE IN YOUR COMPANY WHO IS ALLOWED TO MAKE IMPORTANT DECISIONS!

We have hacked your website https://<victimsite>.com and extracted your databases.

How did this happen?

Our team has found a vulnerability within your site that we were able to exploit. After finding the vulnerability we were able to get your database credentials and extract your entire database and move the information to an offshore server.

What does this mean?

We will systematically go through a series of steps of totally damaging your reputation. First your database will be leaked or sold to the highest bidder which they will use with whatever their intentions are. Next if there are e-mails found they will be e-mailed that their information has been sold or leaked and your https://<victimsite>.com was at fault thusly damaging your reputation and having angry customers/associates with whatever angry customers/associates do. Lastly any links that you have indexed in the search engines will be de-indexed based off of blackhat techniques that we used in the past to de-index our targets.

How do I stop this?

We are willing to refrain from destroying your site’s reputation for a small fee. The current fee is $3000 in bitcoins (0.14 BTC).

The amount(approximately): $3000 (0.14 BTC)
The Address Part 1: bc1qe4xvhksgapl3p76mm
The Address Part 2: fz7thdnmkeuxry08kjhcn

So, you have to manually copy + paste Part1 and Part2 in one string made of 42 characters with no space between the parts that start with "b" and end with "n" is the actually address where you should send the money to.

Once you have paid we will automatically get informed that it was your payment. Please note that you have to make payment within 72 hours after receiving this message or the database leak, e-mails dispatched, and de-index of your site WILL start!

How do I get Bitcoins?

You can easily buy bitcoins via several websites or even offline from a Bitcoin-ATM.

What if I don’t pay?

If you decide not to pay, we will start the attack at the indicated date and uphold it until you do, there’s no counter measure to this, you will only end up wasting more money trying to find a solution. We will completely destroy your reputation amongst google and your customers.

This is not a hoax, do not reply to this email, don’t try to reason or negotiate, we will not read any replies. Once you have paid we will stop what we were doing and you will never hear from us again!

Please note that Bitcoin is anonymous and no one will find out that you have complied.

Lai gan šī izspiešanas kampaņa neradīja reālas briesmas, tomēr ir svarīgi nopietni pievērsties lapas drošībai. WordPress kodols, motīvi un spraudņi ir jāatjaunina ar jaunākajām versijām, lai aizlāpītu zināmās ievainojamības. Pat ja viss ir atjaunināts, ir dažas pazīmes, kas var palīdzēt noskaidrot, vai WordPress lapa ir uzlauzta vai apdraudēta.

Vietnei pievienotas sliktas saites

Jauni linki un saturs ir viena no visizplatītākajām uzlauzta WordPress pazīmēm. Hakeri WordPress vietnē izveido aizmugures durvis, kas ļauj viņiem piekļūt jūsu WordPress failiem un datu bāzes modificēšanai. Dažreiz šo hakeru roboti pievieno saites uz nevēlamām vietnēm. Parasti šīs saites tiek pievienotas vietnes kājenei, taču tās var atrasties jebkur. Saišu dzēšana negarantē, ka tās neatgriezīsies. Šeit būs jāatrod aizmugures durvis, kas tika radītas un vēljoprojām tiek izmantotas šo datu ievadīšanai tavā vietnē. Šajā gadījumā palīdzēs šis ceļvedis.

Pēkšņs trafika kritums tavai mājas lapai

Katru dienu Google melnajā sarakstā iekļauj aptuveni 10 000 vietņu, kurās ir ļaunprātīga programmatūra, un aptuveni tūkstošiem citu vietņu, kas saistītas ar pikšķerēšanu. Tāpēc katram vietnes īpašniekam ir jāpievērš nopietna uzmanība savai WordPress drošībai. Apmeklētāju plūsmas samazināšanās ir biedējoša, tāpēc ikreiz, kad tā notiek, noteikti ir rūpīgi jāpārbauda problēma, lai noteiktu, vai ir pienācis laiks panikai, vai tā ir tikai viltus trauksme.

Ja skatāties uz saviem analītikas pārskatiem un redzi pēkšņu trafika samazināšanos, lai gan Google Analytics ir pareizi iestatīts, tas varētu liecināt, ka WordPress vietne ir uzlauzta. Visātrākais veids ir pārbaudīt savu vietni, izmantojot Google drošās pārlūkošanas rīku. Pēkšņu trafika samazināšanos var izraisīt dažādi faktori. Piemēram, ļaunprātīga programmatūra jūsu vietnē var novirzīt apmeklētājus, kas nav pieteikušies, uz surogātpasta vietnēm. Vēl viens iespējamais pēkšņas trafika samazināšanās iemesls varētu būt tas, ka Google drošās pārlūkošanas rīks rāda lietotājiem brīdinājumus par jūsu vietni.

Analytics trafika kritums
Sesiju skaits vai apmeklētāju plūsma ir samazinājusies par 65%. 😧

Nav iespējams pieteikties savā WordPress administrātora panelī

Lielākā daļa uzlaušanas mēģinājumu nesabojā vietnes sākumlapu, jo tie vēlas palikt nepamanīti pēc iespējas ilgāk. Tomēr daži hakeri var sabojāt vietni, paziņojot, ka tā ir uzlauzta.

Nav labi Ja nevari pieteikties savā WordPress vietnē, pastāv iespēja, ka hakeri ir izdzēsuši administratora kontu no WordPress.

Tā kā konts nepastāv, tu nevarēsi atiestatīt savu paroli ielogojoties no /wp-login.php lapas. Lābās ziņas ir tādas, ka ir arī citi veidi, kā pievienot administratora kontu, izmantojot phpMyAdmin vai FTP. Tomēr vietne paliks nedroša, līdz noskaidrosi, kā hakeri iekļuva tavā vietnē.

Aizdomīgi lietotāju konti

Ja tavā vietne ir atvērta lietotāju reģistrācijai un tu neizmanto surogātpasta reģistrācijas aizsardzību, surogātpasta lietotāju konti ir izplatīta problēma, un tos vari vienkārši izdzēst.

Tomēr, ja neatceries, ka esi atļāvis reģistrēties un joprojām redzi jaunus lietotāju kontus WordPress lietotāju sadaļā, iespējams, vietne ir uzlauzta. Parasti aizdomīgajam kontam ir administratora lietotāja loma, un dažos gadījumos tu, iespējams, nevarēsi to izdzēst no sava WordPress administratora paneļa.

Aizdomīgi lietotāju konti.
Trauksme ir jāceļ, kad parādās jauns Administrator konts. Citos gadījumos vajadzēs izvērtēt uzstādītos antispama risinājumus.

Lēna, nereaģējoša un nepieejama vietne

jebkura vietne var kļūt par nejaušu vai tiešu DDoS uzbrukumu mērķi. Šajos uzbrukumos tiek izmantoti vairāki uzlauzti datori un serveri no visas pasaules, izmantojot viltotas IP adreses. Dažreiz tie vienkārši sūta pārāk daudz pieprasījumu uz jūsu serveri, savukārt citreiz viņi aktīvi mēģina ielauzties jūsu vietnē.

Jebkura šāda darbība padarīs tavu vietni lēnu, nereaģējošu un nepieejamu. Šeit vari pārbaudīt servera žurnālus, lai redzētu, kuri IP veic pārāk daudz pieprasījumus, un tos bloķēt, taču tas var neatrisināt problēmu, ja to ir pārāk daudz vai ja hakeri maina IP adreses.

Atrums Iespējams, ka tava WordPress vietne ir tikai lēna un nav uzlauzta. Tādā gadījumā vajadzētu palielināt WordPress ātrumu un veiktspēju.

Nevar nosūtīt vai saņemt WordPress e-pastus

Uzlauzti serveri parasti tiek izmantoti surogātpasta sūtīšanai. Lielākā daļa hostinga uzņēmumu piedāvā bezmaksas e-pasta kontus. Daudzi WordPress vietņu īpašnieki izmanto sava hostinga pasta serverus, lai nosūtītu WordPress e-pastus. Ja nevari nosūtīt vai saņemt WordPress e-pastus, pastāv iespēja, ka pasta serveris ir uzlauzts un sūta surogātpasta e-pastus. Sazinies ar savu hostinga servisu un palūdz palīdzību, ja nezini kā sākt risināt šo problēmu.

Uzlauzti serveri parasti tiek izmantoti surogātpasta sūtīšanai. Lielākā daļa hostinga uzņēmumu piedāvā bezmaksas e-pasta kontus. Daudzi WordPress vietņu īpašnieki izmanto sava hostinga pasta serverus, lai nosūtītu WordPress e-pastus. Ja nevari nosūtīt vai saņemt WordPress e-pastus, pastāv iespēja, ka pasta serveris ir uzlauzts un sūta surogātpasta e-pastus. Sazinies ar savu hostinga servisu un palūdz palīdzību, ja nezini kā sākt risināt šo problēmu.

Neparastas darbības servera žurnālos (Server logs)

Server logs ir vienkārša teksta faili, kas tiek glabāti tīmekļa serverī. Šie faili reģistrē visas serverī radušās kļūdas, kā arī visu tavas vietnes interneta trafiku. Tiem varat piekļūt no WordPress hostinga konta cPanel informācijas paneļa sadaļā Statistika.

Šie servera žurnāli var palīdzēt tev saprast, kas notiek, kad WordPress vietnei tiek uzbrukts. Tajos ir arī visas IP adreses, kas tiek izmantotas, lai piekļūtu tavai vietnei, lai tev būtu iespēja bloķēt aizdomīgas IP adreses. Tie arī norāda uz servera kļūdām, kuras, iespējams, neredzi savā WordPress informācijas panelī un kuras var izraisīt vietnes avārijus vai nereaģēšanu.

Aizdomīgi ieplānotie uzdevumi (Cron tasks)

Tīmekļa serveri ļauj lietotājiem iestatīt cron tasks. Šie ir ieplānoti uzdevumi, kurus vari pievienot savam serverim. WordPress ir aprīkots ar savu cron sistēmu, kas ļauj veikt plānotos uzdevumus. Piemēram, atjauninājumu pārbaudi, veco komentāru dzēšanu no miskastes utt. Hakeris var izmantot cron, lai izpildītu ieplānotos uzdevumus tavā serverī, tev par to nezinot. Lai uzzinātu vairāk par cron tasks kopējo situāciju savā vietnē, uzinstalē šo WP Crontrol spraudni.

WP cron jobs
WordPress ir aprīkots ar cron rīku, kas ļauj veikt plānotos uzdevumus, piemēram, pārbaudīt atjauninājumus, publicēt grafikas ziņas utt.

WordPress galvenie faili ir mainīti

Nav labi Ja tava WordPress galvenie faili tiek kaut kādā veidā mainīti vai modificēti – tā ir nopietnas lieta un pazīme, ka tava vietne ir uzlauzta. Hakeri var vienkārši modificēt WordPress pamata failu un ievietot tajā savu kodu. Nevēlamie viesi var arī izveidot failus ar nosaukumiem, kas līdzīgi WordPress pamatfailiem.

Vienkāršākais veids, kā izsekot šos failus, ir instalēt WordPress drošības spraudni, kas uzrauga WordPress galveno failu stāvokli. Vari arī manuāli pārbaudīt savas WordPress mapes, lai meklētu aizdomīgus failus vai skriptus, taču uzlauztas WordPress vietnes tīrīšana var būt neticami sāpīga un sarežģīta. Tāpēc es iesaku ļaut ekspertiem iztīrīt tavu vietni, bet pašam parūpēties par vietnes drošību ikdienā un prast laicīgi apzināt radušos problēmu.

 

Es ceru, ka šis raksts palīdzēs tev identificēt pazīmes, kuras liecina par uzlauztu WordPress vietni.

 

Atstāj savas idejas šeit