Φαρμακωμένος

Χτες, στη μέση της μέρας έπεσε τυχαία το μάτι μου σε κάποιο search result page που περιείχε link απ’ αυτό εδώ το μπλογκ αλλά ολότελα αλλόκοτο τίτλο: κάποιο όνομα φαρμάκου. Πατώντας το link ήρθα στο μπλογκ όπου δεν παρατήρησα τίποτα περίεργο. Ο τίτλος που εμφανιζόταν ήταν ο κανονικός. Έμεινα με μια ανησυχία αλλά χωρίς αίσθηση επείγοντος.

Το βράδυ, έγραψα ένα ποστ για το Listia κι όταν πήγα να δω στη σελίδα του  bit.ly (του short url  μηχανισμού που χρησιμοποιώ στο twitterfeed για να συντομεύω τα link των ποστ που ταξιδεύουν αυτόματα προς το τουϊτερ, είδα να εμφανίζεται δίπλα στον τίτλο του ποστ πάλι ένα άλλο φάρμακο!

Σιγουρεύτηκα μ’ αυτό ότι κάτι δεν πήγαινε καθόλου μα καθόλου καλά κι άρχισα να ψάχνω τι. Το blog δεν είχε καμιά διαφορά στην εμφάνιση, τα link δούλευαν κανονικά, το feed επίσης, δεν έβρισκα αλλοιωμένα κείμενα ή άλλα.

Σε μια νέα αναζήτηση στη Google όμως εμφανίστηκε η ακόλουθη τρομαχτική εικόνα:

Η παραπάνω εικόνα έχει κάτι το διαστροφικό: εμφανίζει το μπλογκ μου σαν ένα σπαμ μπλογκ φαρμάκων στ’ αποτελέσματα της Google.

Τι είχε συμβεί;

Με το ψάξιμο βρήκα ότι αυτό που είχε συμβεί έχει πάρει το όνομα “The Pharma Hack”. Είναι μια δόλια ιστορία όπου κακόβουλος κώδικας εμφυτεύεται στο blog, κι επηρεάζει μόνο το πως βλέπουν οι μηχανές αναζήτησης τα πόστ του. Όχι, όλα. Κάποια. Αυτά με τη μεγαλύτερη επισκεψιμότητα ή αξία για κάποιες λέξεις κλειδιά.

Τα διάβασα όλα εδώ κι ύστερα εδώ κι άρχισε ο αγώνας του ξηλώματος του κακόβουλου κώδικα που, βασικά κατοικοεδρεύει κυρίως σε κάποια ψευδώνυμα αρχεία στον κατάλογο των plugins και μέσα στη βάση δεδομένων (στον πίνακα wp_options)

Ειδοποίησα και τον φιλοξενητή του blog, την Mediatemple, που με τη σειρά της έκανε τη δική της έρευνα κι εντόπισε κάποια παραπάνω αρχεία.

Αλλά…

Ακόμα κι αν όλα πλέον έχουν επανέλθει, παραμένει το ερώτημα πως/ποιός άνοιξε την πίσω πόρτα στους hackers. Γιατί το πιθανώτερο είναι να παραμένει ανοιχτή ακόμα.

Πέραν των καλών πρακτικών ασφάλειας, σ’ αυτές τις περιπτώσεις αυτό που μπορούμε να κάνουμε οι μη security experts, είναι να κρατάμε μια αλληλεγγύη. Το να ειδοποιείς κάποιον ότι σε μια αναζήτηση σου εμφανίστηκε το site του με ‘περίεργο’ τρόπο, είναι μια καλή αρχή για να εκδηλώσεις αυτή την αλληλεγγύη. Παραπέρα μπορούμε να μοιραζόμαστε πληροφορίες φανερά και κρυφά (από τα μάτια των κακόβουλων) και να κρατάμε το επίπεδο εγρήγορσης κι ενημέρωσης ψηλά.

Εξ ου κι αυτό το ποστ.

Αν έχετε περάσει κάτι αντίστοιχο, ευχαρίστως ν’ ακούσω τις εμπειρίες σας.

10 thoughts on “Φαρμακωμένος

  1. cosmix

    Πριν από χρόνια, όταν ακόμη το cosmix.org φιλοξενούσε κάποιος υπερφορτωμένος διακομιστής προγραμμάτων φιλοξενίας ‘shared hosting’ της lunarpages, είχα πέσει θύμα — ευτυχώς για μόλις μερικές ώρες — της ίδιας — κατά κανόνα — επίθεσης.

    Στην δική μου περίπτωση ήταν κάτα πάσα πιθανότητα προϊόν εισβολής στον διακομιστή — ο οποίος ήταν πέραν του δικού μου ελέγχου. Είχα συνδεθεί με FTP για να αλλάξω κάποια αρχεία και το μάτι μου έπεσε στο κατά πολύ μεγαλύτερο του κανονικού μέγεθος του index.php. Αυτό που είχε συμβεί ήταν η προσθήκη περίπου 40KB σύνδεσμοι και όροι ως σχόλιο html μετά το τέλος του κανονικού αρχείου. Η lunarpages έριξε το βάρος στα ‘scripts’ που είχα στον λογαριασμό μου (εκείνη την εποχή κυρίως το wordpress και κάποια custom δικά μου scripts σε php) όμως κάτι τέτοιο είναι αρκετά απίθανο δεδομένου του είδους της τροποποίησης (τροποποίηση αρχείου και όχι της βάσης του wordpress όπως συμβαίνει συνήθως). Εν πάση περιπτώσει το ‘πρόβλημα’ στην δική μου περίπτωση περιορίστηκε στο να γράψω ένα php script που να καλείται από το web και να ψάχνει για παρόμοιο περιεχόμενο στα αρχεία, μιας και δεν είχα shell access στον server.

    Καλή τύχη και περαστικά =)

  2. nikan

    Κι εγώ έθεσα στον εαυτό μου το ερώτημα αν ήταν πρόβλημα της mediatemple ή δικό μου. Κι έχει παραδεχτεί δημόσια στο παρελθόν η mediatemple περίπτωση compromising της υποδομής της. Όμως δε νομίζω αυτό αποδεικνύεται από το αν υπάρχουν αρχεία κι όχι μόνο εγγραφές στη βάση: ο κακόβουλος κώδικας μπορεί κάλιστα να περιέχει εντολές τύπου system που εκτελούν εντολές του λειτουργικού κι άρα μπορούν να γράψουν κι αρχεία στο δίσκο.
    Για μένα η μεγάλη ανησυχία είναι μήπως είναι compromised οι δικοί μου υπολογιστές.
    Ευχαριστώ που μοιράστηκες τα δικά σου βάσανα :)

  3. John Nousis

    Άστα Νίκο έχω και εγώ το ίδιο πρόβλημα και όσο κι αν το διορθώνω κάτι συμβαίνει με την εταιρεία hosting και το ξαναπαθαίνω. Μου το έχουν κάνει με δύο διαφορετικούς τρόπους.

    Ο πρώτος είναι μέσω του index.php όπου εκεί που αναφέρει το license έβαλαν να φορτώνουν κάτι remotely. Αυτό το έκλεισα εντελώς εύκολα.

    Τη δεύτερη φορά όμως γράφουν έναν κώδικα στο wp-settings.php όπου όταν στο site έρχεται μία μηχανή τότε βλέπει διαφορετική σελίδα που έχει όλα τα φάρμακα και τα σχετικά links. Όσο κι αν προσπάθησα να σβήσω τον κώδικα και να αλλάξω τα permissions κλπ. το hack επανέρχεται συνεχώς. Μάλλον πάω για αλλαγή hosting provider.

  4. nikan

    Έψαξες στο wp_options για malicious entries; Δες τα link που έχω στο ποστ.

  5. Χάρης

    Είχα και γω αντίστοιχο πρόβλημα στην mediatemple, αν και είχα δικό μου custom php κώδικα. Προφανώς έγινε κάποιο compromise. Στη δική σου περίπτωση, μήπως είναι security flaws των wordpress plugins;

  6. cosmix

    Έχεις δίκιο πως — εν γένει — δεν αποδεικνύει τίποτα, όμως στην δική μου περίπτωση θυμάμαι πως ήταν μακράν το πιο πιθανό — για διάφορους λόγους: το σημείο που έγινε η τροποποίηση του αρχειόυ ήταν σε άσχετο σημείο, εκτός του directory tree του wordpress, πως τα uid/gid των τροποποιημένων αρχείων ήταν διαφορετικά από το δικό μου (η lunar χρησιμοποιούσε suPHP), το γεγονός πως ήταν διακομιστής με εκατοντάδες ‘shared hosting’ λογαριασμούς και όχι vps ή dedicated μηχάνημα, το γεγονός πως είχαν γίνει ήδη compromised οι servers τους πολλές φορές στο παρελθόν κ.ο.κ.).

    Όπως και να έχει στις μέρες μας είναι σχετικά εύκολο να κρατήσεις το wordpress up to date, και (εάν) έχεις vps ιδιαίτερα εύκολο να ασφαλίσεις καλύτερα το λογισμικό σου. Καλή συνέχεια!

  7. John Nousis

    Τα έφτιαξα όλα υποτίθεται τώρα αλλά για κάποιο λόγο έχουν απενεργοποιηθεί τα themes στο blog μου και δεν λειτουργεί κανένα:) Άντε να βγάλω άκρη τώρα:) Κάτι παραπάνω θα ξύλωσα μάλλον lol

  8. Xpanta

    Είμαστε σίγουροι ότι δεν είναι πρόβλημα του WordPress? Δεν ασχολούμαι με PHP άλλα έχω ακούσει ότι γενικότερα δεν είναι και η πιο ασφαλής επιλογή.

  9. nikan

    Αν διαβάσεις τα link που έχω στο άρθρο θα δεις ότι βασικά τα μολυσμένα αρχεία συναντιώνται στα plugins. Κανείς δεν μπορεί να πει αν δεν έχει τρύπα και το wordpress. Όλα τα συστήματα έχουν, γι αυτό βγαίνουν και τα συνεχή security updates. Αλλά απ’ όπου και να το πιάσεις το θέμα έχει πρόβλημα: το pc από το οποίο μπαίνω πως ξέρω ότι δεν έχει γίνει ζόμπι, ο πάροχος πως ξέρω ότι δεν έχει compromised υποδομή και μπορούν να μου σνιφάρουν τα passwords, ο φιλοξενητής επίσης, κτλ κτλ.

Comments are closed.