Как ломают сайты на Вордпресс

Четверг, 20 Фев 2014 11:36

Как ломают сайты на цмс Уордпресс

Всем привет!

Как и обещал, сегодня логическое  продолжение истории про взлом  сайта на движке Вордпресс. В тот раз неизвестный хакер или хакеры взломали сайт под управлением CMS WordPress,  и залили на него шелл, благодаря чему был получен доступ ко всем остальным сайтам на сервере, и в файлах дополнительной конфигурации .htaccess была прописана переадресация на посторонние ресурсы. Тогда phpshell под видом файла user.php был залит в директорию /wordpress с соответствующей темой.

А выяснилось всё это благодаря посетителям женского сайта, которым вместо знакомой страницы стала открываться страница мобильных игр, очевидно, принадлежащая какой-то партнерской программе. Сделано было это по вполне понятной причине – сливе чужого трафика на платники и монетизации первого. Вот только способ для этого был выбран не вполне законный, а вернее, совсем противозаконный – взлом чужого сайта.

Поэтому бэкдор мы удалили и просмотрели логи на сервере. Так вот, анализ логов показал следующее:

название_сайта.ru 95.154.217.62 – – [ :02:16:57 +0400] “GET http://название_сайта.ru/wp-content/themes/twentyten/user.php? HTTP/1.1″ 200 171 “http://название_сайта.ru/wp-content/themes/twentyten/user.php” “Mozilla/5.0 ( Windows; U; Windows 2003; MSNIA )” 0.161

Как видите, злоумышленник делает прямой запрос к файлу юзер.пшп со следующего ай-пи-адреса –  95.154.217.62. О том, что это именно и есть наш искомый взломщик говорит тот факт, что он напрямую обращается к указанному файлу, поскольку знает его точное местонахождение.

Об этом может знать только хакер, потому что в стандартном дистрибутиве Вордпресс файла user.php попросту нет. Не получив доступа на хостинг, он повторяет попытку через некоторое время, но уже с другого браузера:

название_сайта.ru 95.154.217.62 – – [ :03:32:09 +0400] “POST /wp-content/themes/twentyten/user.php HTTP/1.1″ 200 176 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.1) Gecko/20090715 Firefox/3.5.1 (.NET CLR 3.5.30729)” 0.060

[original:seo-semki.ru]

Затем через 50 минут еще раз:

название_сайта.ru 95.154.217.62 – – [ :04:21:01 +0400] “POST /wp-content/themes/twentyten/user.php HTTP/1.1″ 200 176 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.1) Gecko/20090715 Firefox/3.5.1 (.NET CLR 3.5.30729)” 0.056

После этого, видимо почуяв неладное, злоумышленник прекратил свои попытки проникнуть на хостинг.

Теперь посмотрим, что нам даст информация о его IP-адресе – 95.154.217.62:

Server Details

IP address:

95.154.217.62

Server Location:

United Kingdom

ISP:

Iomart Hosting Limited

Whois Server

Contact Email

abuse@rapidswitch.com

Registrant

NorthEastComputerSystemsLimited_1
UNITED KINGDOM

Administrative/Technical Contact

Ramon Bailey
North East Computer Systems Limited
3 Salters Road, Gosforth
Newcastle upon Tyne
Telephone: 441912859999

Детали ip-адреса, с которого действовал хакер

Картинки кликабельны – нажмите для увеличения.

Как видим,  русскоязычный хакер (на что прямо указывают некоторые факты) действует с IP, который  находится  в Великобритании.

И кстати, прошлый раз я написал про то, что была взломана либо старая версия движка ВП, либо устаревшая версия плугина, благодаря чему взломщику удалось залить шелл на сайт. И поэтому как важно вовремя обновлять ЦМС до последних актуальных версий.

Так вот могу сказать, судя по анализу логов, взлом произошел не благодаря старой версии Вордпресса, а благодаря брутфорсу (то есть банальному подбору пароля в админку сайта). Кто помнит – не так давно прокатилась целая массовая брутфорс-атака на наиболее популярные версии систем управления сайтами – WordPress и Dle, а именно на их административные панели с целью подбора паролей администратора. Некоторые хостинг-провайдеры вследствие этого настоятельно рекомендовали своим клиентам сменить адрес их админ-панелей и/или закрыть их в директории с отдельным паролем (доступом).

Был ли угнан пасс тогда и использован только сейчас, или же взломан и сразу использован – уже не столь важно.

От этого обновление движка для защиты сайта не становится менее актуальным. Поскольку можно привести массу примеров, когда  взлом происходил только от того, что хацкеры использовали различные бреши и уязвимости, которые разработчики благополучно закрывали в следующих версиях или с новыми патчами (как это обычно происходит с цмс ДЛЕ).

Но возвращаясь к теме подбора пароля к админке. Как же все-таки действовал взломщик  в данном случае?

С уверенностью практически 100% можно сказать следующее: пароль сбрутили на автомате. То есть бот, или специально написанная программа, идет по заданным ей адресам либо ищет в сети сайты, отвечающие определенным критериям, например, содержащие сведения о версии и названии движка (DLE, Drupal, Joomla, WordPress), или же просто старается найти доступ к административным панелям по стандартным адресам (admin, administrator, wp-admin и т. д.) и взломать их, то есть подобрать пароль.

При успешном взломе бот информирует центр, что задание выполнено и отправляет данные для входа в админку. Далее уже в дело вступает хакер (это может быть вовсе и не хакер, а просто школьник, которому удалось подобрать пароль к сайтуsmile).

В нашем случае взломщик, проникнув в админ-панель сайта,  просто-напросто заменил содержимое стандартного файла 404.php, того самого, который выдает сообщение  «Требуемый документ не найден – ошибка 404» на код шелла, благо это позволяет сделать обычный встроенный редактор тем. Далее он изменил его название на user.php, поскольку предыдущий файл уже отсутствовал в этой сборке.

Ну а далее произошло то, что произошло. Взломщик изменил содержимое всех файлов .htaccess, вписав туда директивы редиректов на посторонние ресурсы. Хорошо то, что это было обнаружено практически сразу после взлома, и в течение нескольких часов проблема была устранена.

Так  благодаря чему стал возможен данный взлом, если можно так выразиться? Благодаря уязвимости в файлах движка Вордпресс? Как бы ни так! Такое стало возможным благодаря тому, что на взломанном сайте был установлен слишком легкий пароль (владелица даже не помнит какойsmile).

Дело в том, что на сервере кроме данного сайта располагалось еще несколько десятков других сайтов. Часть из них работала, часть нет – они использовались либо для сбора статистики или какой-то другой информации, либо содержали какие-то с вои скрипты, либо были установлены просто так, «про запас», «на будущее». Так вот, те проекты, которые работали и приносили трафик, были надежно защищены, в том числе и от перебора паролей, а те, которые стояли без дела, «про запас», защищены были слабо!

Теперь вы смогли убедиться, как важно защищать все сайты, даже казалось бы такие, которые вами в настоящий момент не используются или используются мало. Логика тут простая –  да кому он нужен такой сайт, без трафика, без контента, или с 1-2 униками в сутки. Кому нужно его ломать?

Но дело в том, что так рассуждаете вы, но бот так не рассуждает, он вообще не умеет думать. Он просто исполняет заложенную в него программу, а выполнив её, сообщает об этом своему хозяину.

А проникнув на один лишь сайт, даже, казалось бы, никому не нужный,  и положив в него шелл, хакер может делать всё, что захочет, причем не только со взломанным, «никому не нужным» сайтом, но и со всеми остальными.

[original:seo-semki.ru]

Что можно посоветовать в таком случае? Самое очевидное – разнести все сайты на разные хостинги или под разные учётные записи. Держать на одном аккаунте не более пяти сайтов, а лучше 1-2, и в случае, если проект посещаемый, крупный, трастовый, вынести его на отдельный сервер. НЕ на выделенный свой сервер, на котором располагаются еще несколько других мелких сайтов (или несколько десятков), а именно под отдельную учетную запись, чтобы в случае взлома не рыскать по всему серверу среди сотен тысяч файлов, принадлежащих разным CMS, и думать, а какую же из сотен разных потенциальных уязвимостей эксплуатировал взломщик?

А все веб-проекты, которые созданы «просто так», «на будущее», тестовые сайты лучше вообще сразу отделить от остальных на отдельном хостинге, можно самом дешевом, ведь такие проекты, как правило, не несут никакой нагрузки, и поэтому не требуют слишком много ресурсов.

Ну и наконец, самое интересное, куда же отправлял мошенник посетителей, зашедших на взломанные сайты с мобильных устройств?

Как уже упоминалось выше, редирект  шёл на ресурс mobleq.com. Погуглив, можно было также найти ссылки вида:

http://mobleq.com/e/4700

http://mobleq.com/js?id=5087

http://mobleq.com/e/4948

http://mobleq.com/e/4366

http://mobleq.com/e/5417

http://mobleq.com/js?id=4936&jsAlert=

и так далее. Посмотрим, куда же они ведут.

Сразу стоит отметить, что редиректы были двух видов. Зловред, видимо, по каким-то заданным ему критериям отбирал исходные ссылки и иногда ничего не отдавал пользователю, то есть показывал чистый лист. В этом случае перенаправление шло с ресурса mobleq.com на ресурс moblyu.com, например,

http://moblyu.com/m/MErT6yEM8P17y7bzdTQDfBMa2RV.

Но в основном перенаправление шло на moblea.net, в этом случае ссылка принимала такой вид:

http://mobleq.com/e/4700  => http://moblea.net/l/VTr7e5cA3asCJEGljuyV5pMbuot – сайт мобильных игр “Игры Mobile Market”, как в нашем случае.

Вредоносный сайт мобильных игр mobleq.com

Был в этом списке и лже-файловый хостинг “ДепозитФайлз” http://mobleq.com/e/1235 =>

http://moblea.net/l/S0uVGHC01v8Hbhj7eIOKG2nJn8N, “Файловый хостинг –  deposit files простой веб-хостинг”

лже-файловое хранилище файлов mobleq.com

и обновление для мобильного браузера Опера http://mobleq.com/e/4948 =>

http://moblea.net/l/LsBMERb7EvcDc9StjCW8UkgzBCg

 

вредоносное обновление для мобильного браузера moblea.net

и даже оптимизатор телефона http://mobleq.com/e/1237 => http://moblea.net/l/AhrgHTThojhl7UKoYl3hfojagF.

Но в основном данные редиректы содержали ссылки на видео для взрослых и порно:

http://mobleq.com/e/1234 “Ero Rutube Горячее видео”

http://moblea.net/l/89MFGnelRb1FUFU8b2xNesN4Os3

«Лучшее порно для мобильных устройств Best XXX»,

«Взрослые видюшки» http://moblea.net/l/56R8S7j77NFcdMgvrLKLyF3i46j

Взрослые видюшки для мобильных устройств

http://mobleq.com/e/4700 => http://moblea.net/l/Yttre6MWsJrizVAI7LnRt6Brmpo

«Лучшее XXX видео»

обманный сайт лучшее видео mobleq.com

http://mobleq.com/e/1236 =>

http://moblea.net/l/L23VcGHLtqUP20GsNfHB0TKz9yR

«Уникальный сборник порно симуляторов!»

http://mobleq.com/e/1239

«Секс-знакомства

Самый быстрый способ найти партнера для секса!»

Секс знакомства на  mobleq.com

А вообще таких страниц очень и очень много, кому интересно, может сам проверить, подставляя ссылки вручную и меняя в них переменную в конце (цифры в урле после “e/”, например, /e/1234).

Как было сказано ранее, mobleq.com это только прокладка, а билит это всё богатство биллинг http://sms911.ru, поскольку именно их урл указан на странице договора оферты mobleq.com/offerta.html.

В следующий раз мы рассмотрим логическое завершение этой истории и поговорим про различные уязвимости сайтов, особенно сделанных на системе Вордпресс. Так что не пропустите.

И напоследок традиционный анекдот, на этот раз про компьютер.

– Мам, а у тебя компьютер в детстве был?

– Нет.

– А DVD?

– Нет.

– Ну а сотовый?

– Тоже нет…

– Мам, а ты динозавров видела!? 

Делитесь в комментариях своими соображениями по этому поводу и не забывайте жмякать на кнопки соцсетей слева, вам не трудно, а мне приятно.

    Подпишитесь на комментарии, чтобы не пропустить
    важный ответ:



подписка на rss RSS - подписка
    подписка twitter Twitter - подписка

Вы можете оставить отзыв или трекбек со своего сайта.

Отзывов: 2 на «Как ломают сайты на Вордпресс»

  1. Прохор пишет:

    05 Мар 2014 в 17:54

    Хех, годная статься, жмякнул на кнопки, так уж и бытьhttp://seo-semki.ru/icons/wpml_wink.gif

    [Ответить]

    seo Reply:

    Так уж и быть?http://seo-semki.ru/icons/wpml_scratch.gif

    [Ответить]

Ваш отзыв

http://seo-semki.ru/icons/wpml_bye.gif 
:bye:
http://seo-semki.ru/icons/wpml_good.gif 
:good:
http://seo-semki.ru/icons/wpml_negative.gif 
:negative:
http://seo-semki.ru/icons/wpml_scratch.gif 
:scratch:
http://seo-semki.ru/icons/wpml_wacko.gif 
:wacko:
http://seo-semki.ru/icons/wpml_yahoo.gif 
:yahoo:
http://seo-semki.ru/icons/wpml_cool.gif 
B-)
http://seo-semki.ru/icons/wpml_heart.gif 
:heart:
http://seo-semki.ru/icons/wpml_rose.gif 
:rose:
http://seo-semki.ru/icons/wpml_smile.gif 
:-)
http://seo-semki.ru/icons/wpml_whistle3.gif 
:whistle:
http://seo-semki.ru/icons/wpml_yes.gif 
:yes:
http://seo-semki.ru/icons/wpml_cry.gif 
:cry:
http://seo-semki.ru/icons/wpml_mail.gif 
:mail:
http://seo-semki.ru/icons/wpml_sad.gif 
:-(
http://seo-semki.ru/icons/wpml_unsure.gif 
:unsure:
http://seo-semki.ru/icons/wpml_wink.gif 
;-)