aug 26 2009
WordPress hacked, defaced og inficeret med en grim iframe
For 1½ års tid siden skiftede jeg webhotel til Gigahost efter i flere år at have været kunde hos Unoeuro. Det tillokkende var funktionaliteten og muligheden for flere domæner og databaser på samme konto. Jeg havde aldrig sikkerhedsproblemer hos Unoeuro, men siden skiftet til Gigahost er jeg blevet hacket 3 gange. I sidste uge måtte mine sites så ned og ligge igen.
Hvad var blevet hacket?
Mine WordPress sites havde fået nye forsider og alle index og default filer havde fået tilføjet en iframe, der sendte evt. besøgende hen et sted, hvor de kunne få inficeret deres computer med malware eller virus.
Det så alt sammen meget automatgenereret ud, for det var det eneste, der var gjort. Ingenting i databaserne, så det har utvivlsomt været en robot. Det lignede det, som denne WordPress bruger har været ude for.
Jeg er usikker på, hvordan hackeren er kommet ind. Det kan være via remote file inclusion (RFI), men jeg har en grum mistanke om at mine ftp oplysninger er blevet opsnappet, eftersom hackeren er kommet godt omkring på alle mine sites.
Hvordan kan man opsnappe ftp oplysningerne?
Ofte vil det kunne gøres via inficering med vira eller malware på den forurettedes computer. Jeg har scannet mine maskiner for begge dele og tror ikke det er sket ad den vej. Men hos Gigahost bruger man kontonavn og kontokode til alt. Derfor står det også i wp-config.php, konfigurationsfilen til WordPress, så WordPress kan komme i kontakt med databasen. Har man først fået fat på brugernavn og kodeord herfra, har man således også brugernavn og kodeord til ftp og så er der fri adgang.
Hvad gør man for at rense et inficeret site?
Alle toplevel index.php filer var udskiftet med en index.htm fil og der var tilføjet iframes i bunden af index.php filerne i mine theme-mapper samt default og index filer i øvrige mapper. Jeg fjernede alle iframes, slettede WordPress helt og installerede forfra, for at være sikker på at de inficerede filer var helt væk.
rzaman.com har en udmærket opskrift på, hvordan man gør.
Dnxpert har et fint indlæg om, hvordan man også undersøger, om databasen er inficeret.
Også Smackdown har en glimrende artikel om emnet.
Hvordan kan man øge sikkerheden?
Brug .htaccess filer til at blokere adgangen til bestemte mapper og filer. Her er et par ressourcer, jeg har fundet brugbare:
- Remote File Inclusion (RFI) Attempts — Detecting, Tracking, and Mitigating or Stopping
Forklarer begrebet RFI og anviser, hvordan man kan beskytte sig mod det med bl.a. .htaccess. - htaccess for subdirectories
Beskriver hvordan man kan begrænse adgangen til undermapper med .htaccess. - WordPress Security Tips and Hacks
Generelle tips til forbedring af sikkerheden i WordPress.
Sørg også for at begrænse rettighederne på dine filer og mapper. Jeg bemærkede, at man nemt overser wp-config.php i den henseende. Sæt manuelt rettighederne på denne fil til 600, så andre ikke kan læse den. Se udførlig artikel hos WordPress om hvordan man gør.
Installér sikkerhedsplugins i WordPress, f.eks.:
- AskApache Password Protect — der genererer .htaccess filer for dig.
- Login LockDown — der tjekker om der har været mange forgæves loginforsøg fra en given ip adresse, samt blokerer denne.
- AntiVirus — der tjekker dine theme-filer for infektion.
- WP Security Scan — der scanner din WordPress installation for sårbarheder og foreslår udbedringer.
Og endelig: Skift kodeord, skift kodeord, skift kodeord. The Blog Herald har gode tips til, hvordan man finder på et godt ét.
Har Gigahost et sikkerhedshul og bliver jeg hacket igen?
Gigahost har ikke nødvendigvis et sikkerhedshul, men det er da problematisk, at man skal bruge samme brugernavn og kodeord til alt. Og ja, eftersom jeg ikke helt ved, hvordan hackeren kommer ind, bliver jeg måske hacket igen. Men så kan det altså godt ske, jeg skifter webhotel og ser om det løser problemet.