4.7.2013

WordPress: Zend Hack ja sen korjaaminen

WordPress-sivustot ovat viime aikoina olleet entistä enemmän hakkerien hyökkäyksien kohteena. Olemme viimeisen parin kuukauden aikana saaneet korjata yhden jos toisenkin hakkerin WordPress-sivustoille jättämiä jälkiä.

Yksi kesäkuun aikana paljon hyödynnetty tietoturva-aukko, jota kutsutaan myös nimellä Zend Hack, mahdollistaa haitallisen koodin lisäämisen palvelimella oleviin PHP-tiedostoihin. Hakkerien skripti lisää kaikkien PHP-tiedostojen alkuun koodatun rivin, joka alkaa seuraavilla merkeillä:

<?php $zend_framework="\x63\162\x65\141\x74\145\x5f\146\x75\156\x63\164\x69\157\x6e" ... ?>

Katso koko koodi täältä (Pastebin).

Jos löydät WordPress-tiedostoista ylläolevan koodin, noudata tässä artikkelissa olevia ohjeita ongelman korjaamiseksi.

Mitä haittaohjelma tekee?

Haittaohjelmakoodi tarkistaa onko kävijä hakurobotti vai ei, hakee dataa ulkoisilta palvelimilta ja näyttää ne kävijöille. Sivusto voi toimia oudosti tai näyttää kävijöille palvelinvirheen. Viimeksi korjaamamme sivuston kohdalla haittaohjelma poisti kaikki lisäosat käytöstä.

Koodi lisää WordPressiin myös uuden pääkäyttäjän, jonka nimi ja sähköpostiosoite ovat tyhjiä. Poista tämä käyttäjä kokonaan.

Miten haittaohjelma pääsee sivuille?

Toistaiseksi on epäselvää miten hakkerit pääsevät sivuille, mutta täällä on tutkittu palvelimen lokeja ja tultu siihen tulokseen, että hakkerit käyttävät brute force -menetelmää murtaakseen pääkäyttäjän salasanan WordPress-ohjauspaneeliin.

Heidän kohdallaan hakkerit ovat iskeneet ensimmäiseksi WordPressissä oletuksena mukana tulevaan Hello Dolly -lisäosaan.

Haittaohjelman poistaminen

  1. Ota kaikista tiedostoista ja tietokannasta täydet varmuuskopiot.
  2. Palauta tai pyydä webhotellipalveluntarjoajaasi palauttamaan sivusto viimeisimmästä varmuuskopiosta.
  3. Ellei varmuuskopiota ole olemassa tai sitä ei jostain syystä voida palauttaa, kokeile tätä skriptiä, joka poistaa haittaohjelmakoodin kaikista tiedostoista. Skripti ottaa samalla varmuuskopion tiedostoista, mutta oma varmuuskopiokaan ei venettä kaada.
  4. Ellei edellinen skripti toimi, tässä on toinen vaihtoehto jos käytössäsi on SSH- tai Shell-yhteys.
  5. Ellei kumpikaan ylläolevista skripteistä toimi palvelimellasi, voit poistaa koodin manuaalisesti kaikista tiedostoista tekstieditorin etsi ja korvaa -toiminnolla. Tämä vaihtoehto on toki työläs.
  6. Viimeinen, mutta varmin vaihtoehto on asentaa WordPress kokonaan uudelleen ja palauttaa tiedot varmuuskopiosta.
  7. Päivitä WordPress ja kaikki lisäosat uusimpiin versioihin.
  8. Poista Hello Dolly -lisäosa ja hakkerien lisäämä nimetön käyttäjä.
  9. Vaihda oma ja muiden käyttäjien salasanat.
  10. Asenna Better WP Security -lisäosa ja konfiguroi se.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Pyydä ilmainen tarjous!

Kuvaile mahdollisimman tarkasti, mitä tarvitsette ja pyydä ilmainen tarjous.