Kiedy około północy dwa dni temu odbierałem telefon od Pawła (szef Niezgranych) to już wiedziałem, że mamy jakiś problem. Nie spodziewałem się jednak, tego co usłyszałem. LulzSec (lub ktoś kto się tak podpisał) włamał się na Niezgrancyh podmieniając stronę główną. Pierwsza myśl to nie zaktualizow...
Kiedy około północy dwa dni temu odbierałem telefon od Pawła (szef Niezgranych) to już wiedziałem, że mamy jakiś problem. Nie spodziewałem się jednak, tego co usłyszałem. LulzSec (lub ktoś kto się tak podpisał) włamał się na Niezgrancyh podmieniając stronę główną.
Pierwsza myśl to nie zaktualizowaliśmy jakieś wtyczki - pocieszam się więc, że będzie szybko i łatwo. Niestety wszystko w najnowszych wersjach, przeszukiwania informacji o najnowszych zagrożeniach dla Wordpressa też niewiele dały. Na 90% byliśmy przekonani, że to któraś z wtyczek ale nie wiedzieliśmy jaka (żmudny proces przeszukiwania sieci o wtyczkach jakie mamy aktywowane nic nie dawał).
O 3 nad ranem nie znajdując miejsca którędy weszli wysyłamy prośby o pomoc w interpretacji logów do Oktawave i do Niebezpiecznika. Zamykając jednocześnie serwis.
Włamywacze na perszy rzut oka nie zrobili nic poza wsadzeniem na FTP swojego pliku ale pewności mieć nie można. Od rana trwają więc nieustanne dyskusje i analizy co i jak możemy zrobić. Decydujemy się na ponowne odpalenie serwisu, jednocześnie resetujemy hasła wszystkim którzy założyli konta na niezgranych, blokujemy nowe rejestracje oraz informujemy o całej sytuacji. Wprawdzie włamu nikt nie zauważył bo wywieszka wisiała tylko 20 minut i nie była widoczna dla niezalogowanych (cache mocno trzymał poprzednią wersję strony), ale uznaliśmy że nie ma co tego faktu ukrywać. Lepiej powiedzieć o sytuacji wprost niż zgadywać co mogło się stać.
Po południu przyszła analiza z Oktawave (bardzo profesjonalna) - przejrzeli blisko 3GB logów i odtworzyli właściwie całą działalność włamywacza. Od miejsca który wszedł poprzez metody jakich użył i gdzie ostatecznie umieścił i jak pliki na naszym serwerze. W kolejnym mailu mieliśmy natomiast podpowiedź co do dalszego działania. Natychmiast podjedliśmy "działania naprawcze" wywalając plugin który był nieszczelny. Wtyczka przez którą włamywacze weszli nazywa się ForumConverter (w naszym przypadku była nie aktywna, kiedy szukałem informacji o dziurach błędnie skupiłem się na początku na tych aktywnych) Jeśli ktoś z was jej używa to zalecane jest natychmiastowe pozbycie się jej z serwisu.
Chwilę po Oktawave odezwał się też Piotr z Niebezpiecznika wskazując dokładnie tę samą przyczynę.
Po otrzymaniu dokładnych informacji co się stało musieliśmy porównać stan bazy sprzed i po ataku oraz sprawdzić zasoby FTP (oczywiście wszystkie hasła również zostały zresetowane) Na szczęście LulzSec poza wstawieniem swojego pliku nie poświęcił nam więcej czasu i nie zrobił nic ponadto (a mógł).
Nie jesteśmy specami od security, taka sytuacja przydarzyła nam się pierwszy raz. Wyciągnęliśmy więc z niej wnioski, którymi chciałbym się z wami podzielić bo na pewno sporo waszych serwisów korzysta z Wordpressa. Zdaję sobie sprawę, że pewnie PR-owo lepiej byłoby sprawę przemilczeć bo tak za chwilę znowu ktoś nas nazwie lamerami, ale szczerze mówiąc mam to gdzieś. Stało się, nie ma co ściemniać - a ta informacja jeśli przyda się choćby jednej osobie to będzie o jeden problem dla jakiegoś właściciela serwisu internetowego mniej.
Oto nasze wnioski po włamaniu, banały ale wart utrwalenia :
To co napisałem powyżej to oczywiście banały dla tych którzy zajmują się bezpieczeństwem. Warto natomiast je powtarzać aby się utrwaliły.
Na koniec bardzo gorące podziękowania dla Oktawave za to, że nas wsparli mimo iż nie musieli bo sprawa tego co utrzymujemy na własnej infrastrukturze kupionej u nich to tylko i wyłącznie nasz problem. Tak samo kieruję podziękowania do Piotr i Niebezpiecznika bo poradzili sobie tak samo szybko z rozwiązaniem problemu wskazując miejsce którędy włamywacze weszli do naszego serwisu.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
