aug 26 2009

WordPress hacked, defaced og inficeret med en grim iframe

For 1½ års tid siden skift­ede jeg web­ho­tel til Giga­host efter i flere år at have været kunde hos Unoeuro. Det tillokkende var funk­tion­aliteten og mulighe­den for flere domæner og data­baser på samme konto. Jeg havde aldrig sikker­hed­sprob­le­mer hos Unoeuro, men siden skiftet til Giga­host er jeg blevet hacket 3 gange. I sid­ste uge måtte mine sites så ned og ligge igen.

Hvad var blevet hacket?

Mine Word­Press sites havde fået nye for­sider og alle index og default filer havde fået til­fø­jet en iframe, der sendte evt. besø­gende hen et sted, hvor de kunne få infi­ceret deres com­puter med mal­ware eller virus.

Det så alt sam­men meget automat­gener­eret ud, for det var det eneste, der var gjort. Ingent­ing i data­baserne, så det har utvivl­somt været en robot. Det lignede det, som denne Word­Press bruger har været ude for.

Jeg er usikker på, hvor­dan hack­eren er kom­met ind. Det kan være via remote file inclu­sion (RFI), men jeg har en grum mis­tanke om at mine ftp oplysninger er blevet opsnap­pet, efter­som hack­eren er kom­met godt omkring på alle mine sites.

Hvor­dan kan man opsnappe ftp oplysningerne?

Ofte vil det kunne gøres via infi­cer­ing med vira eller mal­ware på den foruret­tedes com­puter. Jeg har scan­net mine mask­iner for begge dele og tror ikke det er sket ad den vej. Men hos Giga­host bruger man kon­ton­avn og kon­tokode til alt. Der­for står det også i wp-config.php, kon­fig­u­ra­tions­filen til Word­Press, så Word­Press kan komme i kon­takt med data­basen. Har man først fået fat på bruger­navn og kode­ord her­fra, har man således også bruger­navn og kode­ord til ftp og så er der fri adgang.

Hvad gør man for at rense et infi­ceret site?

Alle toplevel index.php filer var udskiftet med en index.htm fil og der var til­fø­jet iframes i bun­den af index.php fil­erne i mine theme-mapper samt default og index filer i øvrige map­per. Jeg fjernede alle iframes, slet­tede Word­Press helt og installerede for­fra, for at være sikker på at de infi­cerede filer var helt væk.

rzaman.com har en udmær­ket opskrift på, hvor­dan man gør.

Dnx­pert har et fint indlæg om, hvor­dan man også under­søger, om data­basen er inficeret.

Også Smack­down har en glim­rende artikel om emnet.

Hvor­dan kan man øge sikkerheden?

Brug .htac­cess filer til at blokere adgan­gen til bestemte map­per og filer. Her er et par ressourcer, jeg har fun­det brugbare:

Sørg også for at begrænse ret­tighed­erne på dine filer og map­per. Jeg bemærkede, at man nemt overser wp-config.php i den henseende. Sæt manuelt ret­tighed­erne på denne fil til 600, så andre ikke kan læse den. Se udførlig artikel hos Word­Press om hvor­dan man gør.

Instal­lér sikker­hed­splu­g­ins i Word­Press, f.eks.:

  • AskA­pache Pass­word Pro­tect — der gener­erer .htac­cess filer for dig.
  • Login Lock­Down — der tjekker om der har været mange forgæves login­forsøg fra en given ip adresse, samt blok­erer denne.
  • AntiVirus — der tjekker dine theme-filer for infektion.
  • WP Secu­rity Scan — der scan­ner din Word­Press instal­la­tion for sår­barheder og fores­lår udbedringer.

Og endelig: Skift kode­ord, skift kode­ord, skift kode­ord. The Blog Her­ald har gode tips til, hvor­dan man finder på et godt ét.

Har Giga­host et sikker­hed­shul og bliver jeg hacket igen?

Giga­host har ikke nød­vendigvis et sikker­hed­shul, men det er da prob­lema­tisk, at man skal bruge samme bruger­navn og kode­ord til alt. Og ja, efter­som jeg ikke helt ved, hvor­dan hack­eren kom­mer ind, bliver jeg måske hacket igen. Men så kan det altså godt ske, jeg skifter web­ho­tel og ser om det løser problemet.

By Morten Brunbjerg Bech • Web Development 1 • Tags: , , , , ,