در مورد هک های اخیر.
ــــــــ
+آغاز داستان
یک روز که میخواستم به یکی از سایتهای وردپرسی لاگین کنم متوجه شدم که خطای رمز و یوزر میده.
چندبار حواسم رو جمع کردم و مجدد با دقت کامل وارد کردم.
کمی که به خطا دقت کردم متوجه شدم خطا داره میگه همچین یوزری وجود نداره.
این ابتدای داستان بود.
ابتدا شک نکردم چون صفحه اصلی سایت سرجاش بود و تغییر چهره ای نشده بود.اما با این خطا شکم که بیشتر شد به phpmyadmin و جدول کاربران وردپرس مراجعه کردم و با کمال تعجب مشاهده شد که یوزر اصلی سایت اسم و رمزش عوض شده.
+بررسی دیگر سایتها
به سایتهای همجوار مراجعه کردم و روی اونها هم تست کردم.بله! این سایتها هم دقیقا چنین بلایی گریبان گیرشان شده بود.
ذهنم به خبری که اون روزها در مورد مشکل امنیتی افزونه آمار منتشر شده بود سوق پیدا کرد.
بله،روی چند نمونه از سایتها امار نصب بود.اما روی همه نه.
به بررسی به روز بودن نسخه خود وردپرس پرداختم که در این مورد هم برخی سایتها کاملا به روز و برخی هم از نسخه قبل در حال استفاده بودند.
نه روی همه سایتها افزونه امار نصب بود و نه همه سایتها نسخه قدیمی داشتن.
پس مشکل چه بود؟
+هاستینگ
تیکتی به هاستینگ زدم و توضیحات رو دادم.اینکه لاگ ها رو بررسی کردم و به نتیجه ای نرسیدم.اینکه ایا سرور شما جدیدا دچار مشکلی شده یانه.
اینطور فرمودند که این مشکل جدیدا رخ داده و در جریان هستیم.تمامی هاستینگهای همکار ما هم درگیر همین مشکل هستند.
و آمار بالای 200 سایت نفوذ شده رو اعلام کردند.
این دوستان مشکل رو از باگی که آخرین بار وردپرس داده بود می دونستند که اولا برای یک ماه پیش بود و ثانیا به دلیل کنجکاوی بررسی های لازم رو در این باره قبلا انجام داده بودم و میدونستم که بهره برداری از باگی که ذکر شده شرایطی داره که روی اکثر هاستهای اشتراکی غیرقابل نفوذ میکنه کار رو.
تنها چیزی که دستگیر این دوستان شده بود آی پی های بودن که به صفحه ریست وردپرس مراجعه می کردند.
+یک نکته جدید
با بررسی سایتهای بیشتر متوجه شدم که ظاهرا به صورت سیستماتیک این کارها انجام شده،یعنی یک اکسپلویت جمله ای یا برنامه ای بوده که خودکار اسکن و نفوذ می کرده.
و دلیل این ادعا هم این بود که تغییر رمز کاری به این نداشت که یوزر ادمین باشه یا خیر و در تمامی نمونه ها اولین سطر واکشی شده بود.یعنی مهم این نبود که آی دی یوزر 1 باشه یا 100.و یوزرهای دیگه دست نخورده مانده بودند.
پس تا اینجا به احتمال قوی هکر برنامه ای رو اجرا کرده بوده که خودکار حملات رو انجام میداده و احتمالا سایتها رو با گذاشتن در پشتی برای بهره برداری آتی خودش اماده نگه میداشته.
+شک بیشتر به هاستینگ
با انتشار خبری مبنی بر یک باگ حیاتی در سیستم عامل کلودی که اکثر هاستینگهای ایرانی استفاده می کنند این شک بیشتر شد که شاید این هک از طریق نفوذ به سرور رخ داده.و این تحلیل همچنان می تواند ادامه داشته باشد.
+در این شرایط چه اقداماتی انجام شد؟
-در ابتدا تمامی سایتها رو ساسپند کردم تا اگر خرابکاری ای داره میشه جلوش گرفته بشه
-در اقدام دوم به بررسی فایلهای تازه ادیت شده تو هاست پرداختم تا ببینم ایا فایلی اضافه و یا جدیدا ادیت شده یانه
– به دیتابیس رفتم و نام کاربری و رمز رو با اصلی خودش عوض کردم
– یک کپی از تمام فایلها و دیتابیس قبل از هرتغییری برای بررسی های بیشتر گرفتم و جایی ذخیره کردم.
– قبل از باز کردن تمامی سایتها ، یکی رو به عنوان طعمه به مدت چند روز باز گذاشتم تا ببینم آیا باز هکی اتفاق میفته یا خیر.
-وقتی تقریبا مطمئن شدم تک تک به پاک سازی و باز کردن سایتها اقدام شد.
-سپس نسبت به روزرسانی مجدد تمامی افزونه ها اقدام شد.این کار برای این بود که اگر فایلی ادیت شده با بروزرسانی جدید به حالت درستش برگرده.و روی تمامی سایتها افزونه امنیتی نصب کردم.
+اگر هک شدم چه کنم؟
در این حالت ما خوشبختانه تغییری ایجاد نشده بود.اما اگر به این مورد برخوردید ابتدا سایت رو از دسترس خارج کنید و سعی کنید علت و راه نفوذ رو پیدا کنید،با این کار مطمئن خواهید شد که راه رو میدونید و بسته اید.
بعد از اون میتونید برای نمونه زیپ کل فایلها رو جایی نگه دارید برای بررسی بیشتر.
و نهایتا به دنبال تازه ترین بک آپ سایت باشید تا اون رو برگردونید.
بعد از برگردوندن تمامی افزونه ها و قالب و خود وردپرس رو اگر به روزنیست که بروزرسانی کنید و اگر به روز هست به روزرسانی مجدد انجام بدید تا اگر فایل مخربی تزریق شده ، حذف بشه.
اگر هاستتون امکان اسکن فایل مخرب رو داره یک اسکن هم بر روی سایت جهت اطمینان انجام بدید
فعال کردن مد سکوریتی رو هم بر روی سایت خودتون فراموش نکنید.
استفاده از پلاگین یک پلاگین امنیتی مناسب رو هم فراموش نکنید.
در شرایط خیلی وخیم سعی کنید به یک متخصص برنامه نویس و امنیت مراجعه کنید.
و اینکه هاست امن رو فراموش نکنید : )
