Bem, estou aqui para dizer que isso pode acontecer com você.
Este site foi hackeado na véspera de Natal. O que aconteceu é parte de uma tendência maior e perturbadora em que sites e blogs de pequenas empresas estão sendo atacados e comprometidos. Os sites do WordPress parecem ser um alvo específico.
$config[code] not foundDecidi compartilhar minha história, na esperança de que isso ajude você a evitar um ataque ilegal ou, se acontecer, se recupere rapidamente.
The Ugly Details
Na manhã de Natal, tentei abrir este site como normalmente faço logo de manhã, só para fazer uma verificação rápida.
A home page do site estava completamente em branco! Nada. Nada. Eu não pude postar nada de novo também. Percebi que um cracker havia invadido o site. Como investiguei mais tarde naquele dia, descobri um grande dano ao site, incluindo:
- Todos os plugins do WordPress foram desativados
- Várias páginas foram excluídas, incluindo o diretório de especialistas, a página de boletim informativo, a página Sobre e outros.
- O blogroll foi comprometido, com cerca de uma dúzia de links inseridos em sites adultos e farmacêuticos.
- Quase 50 links ocultos para sites adultos, sites farmacêuticos e outros sites de lixo eletrônico foram espalhados no cabeçalho e no rodapé. Você não pode ver os links observando o site por meio de um navegador padrão, como o Internet Explorer, porque eles foram ocultados intencionalmente usando o código HTML. No entanto, os mecanismos de busca podem “ver” os links, é claro.
Sendo um feriado, eu fiz o que pude para restaurar o site, e no dia seguinte recebi ajuda. Felizmente eu uso uma empresa de hospedagem profissional com excelente suporte por telefone. E o nosso webmaster contrato, Tim Grahl, foi super e largou tudo para responder.
Trabalhando em equipe, conseguimos que o site funcionasse e parecesse apresentável novamente até o final do dia 26 de dezembro.
No entanto, mal sabia eu que a provação ainda não terminara. Eu tinha acabado de ver a ponta do iceberg no primeiro dia. Logo descobri o que os hackers REALMENTE haviam feito.
Hackers que jogam os motores de busca
Desde o início, fiquei me perguntando: "Por que alguém invadiria este site?" Não há nada de valor (para um hacker) nele. Não há números de cartão de crédito. Nenhum dado confidencial. Nenhuma informação do cliente.
No início, atribui ao vandalismo.
Mas quando a situação se desdobrou e descobri mais danos, percebi que isso não era mero vandalismo. Pelo contrário, esta atividade de hackers é toda sobre seqüestro de sites e blogs de pequenas empresas e usá-los para gerar links para outros sites para jogo os motores de busca .
Os hackers encontram uma falha de segurança e entram em seu site. Eles assumem o controle por meio de scripts que transformam seu site em um drone gerador de links. Os links gerados em seu site (sem o seu conhecimento) são apontados para outros sites, em um esforço para colocar esses outros sites no topo dos resultados do mecanismo de busca.
Snared em um anel de Splog
Um dia depois que eu descobri o hacking, eu aprendi a pior parte: os hackers sequestraram parte deste site em um anel splog (spam blog).
A primeira pista veio de Technorati.com quando vi o link de entrada contar para Tendências para pequenas empresas tinha pulado por um par de mil links durante a noite. "Oh, que bom", pensei - por cerca de 3 segundos! Meu prazer se transformou em nojo quando vi que todos os links usavam texto âncora como “viagra”, “toques engraçados” e outros tipos de lixo.
Os links eram de “splogs”. Cada splog consistia em listas de milhares - literalmente milhares - de links apontando para páginas em outros sites, incluindo centenas de páginas falsas que haviam sido configuradas no diretório tmp deste site.
Foi quando percebi o que os hackers realmente haviam feito. Eles deixaram um script que gerou automaticamente centenas de páginas falsas neste site. Essas páginas falsas, por sua vez, foram redirecionadas para sites farmacêuticos, adultos e ringtone. Você não podia ver as páginas falsas de olhar para este site, mas elas estavam lá.
Em seguida, os hackers criaram anéis de outros sites, principalmente blogs, para vincular as páginas falsas Tendências para pequenas empresas. Tudo foi projetado para, em última análise, enviar o peso do link combinado para os sites farmacêuticos, adultos e de toques que eles queriam classificar em alta nos mecanismos de busca.
Veja como funciona:
Splog A >>> links para uma página falsa no site seqüestrado B >>> cuja página falsa foi redirecionada para um site farmacêutico que vende o OxyContin.
Enxague e repita. Milhares de vezes.
Resultado = aumentos rápidos nas classificações do mecanismo de pesquisa para o site que vende OxyContin.
Como você pode ver, isso não foi um ataque isolado em um único site. Este foi um esquema orquestrado envolvendo centenas se não milhares de sites. O meu simplesmente passou a ser um dos muitos sites capturados.
Como os hackers entraram
Achamos que os hackers entraram em uma versão insegura do WordPress através do servidor. Além disso, não direi mais, para não dar um roteiro sobre como descobrir outros sites. O ataque parecia vir de um endereço IP russo.
O ataque aproveitou o tempo de férias, como meu anfitrião tinha uma equipe esqueleto trabalhando véspera de Natal. Surpreendentemente, menos de dois dias após o primeiro ataque, enquanto estávamos no meio de consertar a carnificina, os hackers voltaram! Desta vez, a tentativa de hacking foi impedida por ação rápida por parte da empresa de hospedagem, bloqueando o endereço IP que era loucamente spidering o site.
Ao pesquisar outros hacks, fiquei chocado ao descobrir que existem mais de uma dúzia de versões do WordPress com vulnerabilidades conhecidas. Com uma estimativa de 2 a 3 milhões de blogs usando o WordPress, isso significa muitos blogs potencialmente em risco. Sites e blogs que já existem há algum tempo e sites confiáveis são os que podem ser atacados.
Basta fazer uma pesquisa no Google e você encontrará relatórios de outros blogs do WordPress sendo invadidos, incluindo alguns dos melhores e mais brilhantes. Até o blog de Al Gore foi hackeado.
Além disso, minha pesquisa revelou pelo menos meia dúzia de maneiras de comprometer os blogs do WordPress. E para cada método que vi, tenho certeza que os caras mal-intencionados conhecem duas dúzias de outros.
Ação corretiva
Demos vários passos para proteger o site, incluindo:
- Atualizada para a versão mais recente do WordPress.
- Eliminou um plugin sugerido por uma pesquisa que pode ter vulnerabilidades de segurança e atualizou todos os plug-ins restantes se novas versões existirem.
- Limpou todo o lixo deixado pelos hackers, excluindo seus scripts e links e páginas não autorizados. Não precisávamos apenas vasculhar nosso próprio código de site, mas precisávamos que nossa empresa de hospedagem fizesse isso para todo o servidor.
- Revertido para um backup limpo de banco de dados MySQL antes do ataque.
- Auto-registro bloqueado neste site.
- Senhas alteradas; revisou os logs do servidor em busca de endereços IP suspeitos e bloqueou-os; e alterei várias outras coisas para as quais não quero chamar atenção.
Alguém perguntou se eu planejava mudar do WordPress para outro software. Não, eu pretendo ficar com isso. O WordPress é um bom pacote de software e está livre de problemas 99% do tempo. Eu entendo que a comunidade de desenvolvimento do WordPress está trabalhando para resolver os problemas de segurança - esperamos que eles façam isso antes que o WordPress desenvolva uma má reputação irreversível.
No entanto, eu levantei as medidas de segurança um par de entalhes. Eu acredito que um hacker determinado pode encontrar uma maneira de entrar qualquer site, se eles realmente querem. Mas por que você se torna um alvo fácil?
Então, agora você provavelmente está se perguntando o que pode fazer para proteger seu blog ou site. Eu tenho algumas dicas para você. Mas, como esse artigo já é longo, coloquei-os em um artigo separado: Como proteger seu site WordPress.
56 Comentários ▼
