O jednom hacknutém Wordpressu

Našel jsem na disku v práci uložený web, který jsem před nedávnem odhackovával :-) Tak o tom napíšu článek:

Začátek

Ozvala se mi kamarádka, že prej jí přišlo upozornění od webhostingu, že je prý něco špatně s jejich reklamou na webu a jestli to nenapraví, tak jí prý vypnou web. A jen tak mimochodem mi povídala, že prej když jde její maminka z googlu, tak se tam nedostane.

Začal jsem tedy řešit reklamy a všechno vypadalo jako obvykle... hmm, tak kde je potíž.. Tak jsem začal obecnou kontrolou.. obvykle začínám od .htaccess, protože to je první soubor na řadě poté, když uživatel přijde na web.

Našel jsem tam prapodivný kód, (který už nemám), který uživatele, co přišli z googlu, yahoo, asku a dalších vyhledávačů posílal zpět :-) Prostě lidi, kteří si vyhledali web na googlu odpálkoval zpátky. ($$$) A odtušil jsem že je něco špatně.

Záloha

I nakažený web je lepší než žádný web, takže jsem začal stahovat komplet web přes FTPS na můj počítač. Trvalo to velmi dlouho… hmm :-\ Ok zkontroloval jsem soubory, instalaci Wordpressu už celkem znám a soubory jako san.php nebo che.php nemaj v hlavním adresáři co dělat, ale vzhledem k tomu, že tyhle soubory kyžtak přepíšu, nechal jsem je zatím tam a hledal pročpak stahování tak trvá.

Proč to tak trvalo? V jedné složce bylo nacpaných 1700 php souborů… malých webovek, které zobrazovaly kombinace 400 pornofotek z další složky webu mé kamarádky. Někdo zkrátka použil její web jako multihosting pro celou řadu pornostránek!

Takže pro shrnutí: Kdo si chctěl vyhledat její web, měl smůlu, místo toho její stránky fungovaly jako 1600 malých webů s klíčovými slovy jako "free harde porno movie" "europe under age porn" "father and little daughter porn" ... zajímalo by mě, jak by se český zákon stavěl k vině/nevině kdyby tam bylo něco prudce nelegálního.. (autorská práva se přeci jen zatím u porna moc neřeší).

To ale není vešchno.

Virus také vložil do všech stránek reklamu na jakési kasíno, která vedla na web, který mi okamžitě zakázal můj antivir :-) Takže i nakažení počítačů čtenářů webu => hrozilo, že se pejkařský web dostane na černé listiny prohlížečů.

Pro zajímavost, k nakažení všech článků stačil 35 řádkový skriptík, který si zjistil heslo k DB, jméno tabulky a končil:

UPDATE $tb
    SET post_content = CONCAT(
       post_content,
       '".base64_decode('PGEgaHJlZj0iaHR0cD...aWE8L2E+')."'
       )"

Base64_decode je levný trik jak skrýt obsah... ve skutečosti se pod ním skrývá odkaz na "Online Casino Australia".

To ale ještě není všechno.

Dneska. když jsem si znovu zběžně prohlížel soubory toho nakaženého webu jsem v něm našel zip archiv "london.zip" :D a v něm můj antivir našel 2 viry.. :) takže zvědavý nezvaný čtenář, si mohl i odnést něco napamátku :-)

To ale ještě není všechno.

Už mě napadá jen poslední věc, které bych se na internetu nechtěl účastnit a to je rozesílání spamu… ano i to! Na jedné adrese kamarádčina webu se objevil mazaný formulář na rozesílání spamu… stačilo aby se na něj kdokoli připojil a mohl odeslat hromadu mailů pod falečnými adresami, u kterých ale bylo možno dohledat odkud přišly => ano ano, web mohl spandout i do spamových blacklistů…

Spamerovi se nakonec ještě objevila veselá hláška:

Jak to dopadlo?

Web jsem přemazal, přeinstaloval, změnili jsme hesla. Zjistil jsem že hackovací robot přišel nejspíše přes zákeřný nebo neaktualizovaný doplněk Wordpressu. Odkazy z článků si odstranila kamarádka sama.

Jak se tomu vyhnout?

• Nenasazovat WP tam, kde není třeba.
• Instalovat jen pluginy, které jsou nezbytné.
• Pluginy a šablony, které nepoužíváte vymazat, ne jen deaktivovat.
• Pravidelně aktualizovat úplně všechno (Wordpress, doplňky i šablony).
• Sledovat svůj web a divné věci zkoumat.
• Sehnat si hosting s pravidleným zálohováním (s bezplatnou obnovou), vrátit se o dva dny zpět je obvykle snazší než čistit nakažený web.

Držím nám palce, ať je zase dlouho klid!