מסקנות מטיפול בפריצה לאתרים שלי

By | 26 ביוני 2009

לפני שבועיים קיבלתי את האימייל הבא

הסרה מהאינדקס של Google

בעלים או מנהל אתר webster.co.il יקרים,

כאשר הוספנו את דפי האינטרנט שלך לאינדקס, זיהינו שחלק מהדפים שלך משתמשים בטכניקות שאינן עומדות בהנחיות האיכות שלנו אשר ניתן למצוא כאן: http://www.google.com/support/webmasters/bin/answer.py?answer=35769&hl=iw. נראה שהסיבה לכך היא שהאתר שלך שונה על ידי גורם צד שלישי. בדרך כלל, הצד המפר את ההנחיות משיג גישה לספריה לא מאובטחת בעלת הרשאות פתוחות. פעמים רבות, הם יטענו קבצים או ישנו קבצים קיימים שיופיעו לאחר מכן כדואר זבל באינדקס שלנו.

להלן טקסט מוסתר לדוגמה שמצאנו ב…

alternative herbal supplement cialis european viagra in manchester uk online

כדי לשמור על איכות מנוע החיפוש שלנו, דפים מתוך webster.co.il יוסרו באופן זמני מתוצאות החיפוש שלנו למשך 30 ימים לפחות.

אנו מעדיפים להשאיר את הדפים שלך באינדקס של Google. אם תרצה שבקשתך תישקל מחדש, תקן או הסר את כל הדפים (לא בהכרח מוגבל לדוגמאות שסופקו) שאינם עומדים בהנחיות האיכות שלנו. פתרון אפשרי אחד הוא פנייה לתמיכה הטכנית של מארח האינטרנט שלך לצורך קבלת סיוע. לקבלת מידע נוסף על אבטחה עבור מנהלי אתרים, ראה http://googlewebmastercentral.blogspot.com/2008/04/my-sites-been-hacked-now-what.html (באנגלית). לאחר ביצוע שינויים מסוג זה, בקר בכתובת https://www.google.com/webmasters/tools/reconsideration?hl=iw כדי לקבל מידע נוסף ולשלוח את האתר שלך לצורך בדיקה מחדש.

בכבוד רב, צוות איכות החיפוש של Google

מאז אותו אימייל, הייתי בתהליך אינטנסיבי יותר או פחות כדי לטפל בבעיה.

אני חושב שהצלחתי ולכן אני משתף אתכם בתהליך ובפתרונות.

מה שעשו ההאקרים הספאמרים הוא להשיג גישה על מערכת הקבצים שבשרת שעליו אני מאכסן את כל האתרים שלי ואז לשתול בו קובץ PHP שמאפשר ביצוע כל מה שהם רוצים.

מהנקודה הזאת הם פעלו בשתי שיטות. יכול להיות שהם אותם ספאמרים או שמדובר בשתי קבוצות, אני לא יודע.

השיטה הראשונה היתה לשתול קובץ PHP שבעזרתו הם יצרו קובץ טקסט באיזו פינה אצלי. הקובץ הכיל יותר מאלף קישורים לאתרי פורנו וכו’. ואז הם ערכו את קבצי ה footer בכמה אתרים כך שיקראו לאותו הקובץ שיציג את הקישורים באופן נסתר. מתחת לתגית הסגירה של ה html. לקובץ ה PHP הם קראו func.php ולקובץ הקישורים הם קראו style_footer.ini.

השיטה השניה היא לשתול קוד PHP מתחת לתגית הסגירה של  ה html שמציג את הקישורים. כאן אפשר לראות את הקוד.

מאיפה בדיוק הספאמרים חדרו לשרת שלי אני לא יודע אבל אני יודע מאיפה הם היו יכולים לעשות זאת.

מאז שפתחתי את חשבון האיכסון שלי ב Dreamhost לפני חמש וחצי שנים, אני מתקין שם תוכנות לניהול אתרים בלי חשבון. יש משהו חדש ומעניין? אני מתקין.

תמיד מתגלות בעיות אבטחה חדשות בתוכנות האלה ותמיד ממליצים לעדכן אותן, אבל אני כבר שכחתי מה התקנתי והשארתי לפורצים חורים גדולים מאד שדרכם יוכלו להיכנס.

איך טיפלתי

קודם כל שיניתי סיסמאות. גם בגישה למערכת הקבצים וגם ל DB.

כיווצתי את כל החשבון שלי והורדתי אותו למחשב כדי “להתסכל לקבצים בלבן של העיניים”. מה שגיליתי להפתעתי היה שתוכנת האנטיוירוס יודעת לזהות בעיות בקבצי PHP. תוכנת האנטי וירוס ESET התריעה בפני על בעיות בחלק מהקבצים. זו היתה תגלית נחמדה. אם יש בעיה בשרת, להוריד את הקבצים למחשב האישי ולהריץ עליו בדיקה של אנטי וירוס.

ואחר כך – למחוק למחוק למחוק.

השרת שלי היה מלא בסאב-דומיינים שכבר שכחתי מהם. מרוב תיקיות ישנות לא יכולתי להתמקד בחיפוש אחר הבעיות באתרים הפעילים. מחקתי את כל הסאב-דומיינים הלא פעילים. גם במערכת הקבצים וגם בפאנל הניהול.

הורדתי את שני האתרים העיקריים שלי info.org.il ו webster.co.il.

ואז העלתי רק את התיקיות הפעילות בתוך האתרים האלה.

את הבלוגים מבוססי WordPress העלתי כך.

העלתי את הקובץ wp-config.php המקורי.

יצרתי את התיקיה wp-content/themes ובה הכנסתי את קבצי התבנית של הבלוג אחרי שהסתכלתי בקוד של כל קובץ PHP כדי לוודא שאין שם דברים חשודים.

ואז התקנתי את הבלוג עם הגירסה המעודכנת ביותר של WordPress.

ושכחתי להעלות את כל תיקיית Upload מה שמסביר שאולי אתם רואים עכשיו את הבלוג הנוכחי בלי תמונות.

ב 48 שעות האחרונות לא זיהיתי הצלחה של פריצה לאתר. הספאמרים מנסים כל הזמן לגשת לקובץ func.php שמוזכר למעלה אבל הם לא מצליחים. הם גם ניגשים לאתרים האחרים שבהם הם שתלו את הקוד כנראה כדי לבדוק האם הוא קיים שם. כנראה שכל התהליך מתבצע באופן אוטומטי כי לא הגיוני שאדם ינסה כל הזמן לגשת לאותו הקובץ בלי להבין שהוא כבר לא קיים.

חוצמזה, למדתי עוד כמה פקודות Unix. שכחתי ונזכרתי עד כמה

עד כאן.

מעתה אני אלמד לא להתקין אתרים חדשים בלי להסיר אותם אחרי השימוש.

כמו כן, אני אעקוב אחרי האתרים הקיימים כדי לבדוק אולי נשארו פרצות.

יש להניח שבשלב מסויים אני אחזור להיות שאנן ואז אקבל סטירה שתחייב אותי לפעול שוב.

0

4 thoughts on “מסקנות מטיפול בפריצה לאתרים שלי

  1. אלון פאר

    הקובץ הזה ששתלו לך בשרת נראה לי מוכר לאללה! לדעתי קיבלתי אותו באיזה אימייל ספאם או משהו, עם “הוראות התקנה”, ומכיוון שעליתי על זה שזה ספאם אז פשוט מחקתי והתעלמתי.
    יכול להיות שגם אליך הגיע קובץ דומה, ובגלל פעולה כלשהי שביצעת, זה הצליח להשיג גישה לשרת שלך ומשם התחילו הבעיות.

    0
  2. צפריר

    דרימהוסט נותנים לך כלי יותר טוב להמנעות מבעיות כאלה – ריבוי משתמשים.

    לכל הפחות, אתה יכול לעשות משתמש של האתרים ב”פרודקשן”, ומשתמש שיריץ רק מערכות ניסוייות.

    פריצה למשתמש אחד פוגעת רק באתרים של אותו משתמש.

    0
  3. רן יניב הרטשטיין

    ועוד בנוגע לדרימהוסט – ברירת המחדל בעת יצירת משתמש חדש היא הרשאות ליברליות יחסית.

    בעת יצירת משתמש, וודא שסימנת את השדה Enhanced Security. ההרשאות של תיקיית הבית שלך יוגדרו כך שרק המשתמש שלך והמשתמש של אפאצ’י יוכלו לגשת לתיקיה. אפשר גם לשנות את זה בדיעבד.

    מאותו מקום, מומלץ ליצור משתמש עם גישת Shell ולחסום גישה עם FTP.

    0

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *