Chà, tôi ở đây để nói với bạn rằng nó CÓ THỂ xảy ra với bạn.
Trang web này đã bị hack trong đêm Giáng sinh vừa qua. Điều đã xảy ra là một phần của xu hướng lớn hơn và đáng lo ngại trong đó các trang web và blog doanh nghiệp nhỏ đang bị tấn công và xâm phạm. Các trang web WordPress dường như là một mục tiêu cụ thể.
$config[code] not foundTôi đã quyết định chia sẻ câu chuyện của mình, với hy vọng rằng nó sẽ giúp bạn tránh bị hack hoặc nếu điều đó xảy ra, hãy nhanh chóng phục hồi.
Chi tiết xấu xí
Vào sáng Giáng sinh, tôi đã cố mở trang này vì tôi thường làm việc đầu tiên vào buổi sáng, chỉ để kiểm tra nhanh.
Trang chủ của trang web hoàn toàn trống! Không có gì. Nada. Tôi cũng không thể đăng bất cứ điều gì mới. Tôi nhận ra rằng một cracker đã hack trang web. Khi tôi điều tra sau ngày hôm đó, tôi phát hiện ra khá nhiều thiệt hại cho trang web, bao gồm:
- Tất cả các plugin WordPress đã bị hủy kích hoạt
- Một số trang đã bị xóa, bao gồm thư mục Chuyên gia, trang Bản tin, trang Giới thiệu và các trang khác.
- Danh sách blog đã bị xâm phạm, với khoảng một chục liên kết được chèn vào các trang web người lớn và các trang web dược phẩm.
- Gần 50 liên kết ẩn đến các trang web người lớn, các trang web dược phẩm và các trang web rác khác đã được phân tán trong tiêu đề và chân trang. Bạn không thể thấy các liên kết khi nhìn vào trang web thông qua một trình duyệt tiêu chuẩn như Internet Explorer, vì chúng được cố ý ẩn bằng mã HTML. Tuy nhiên, các công cụ tìm kiếm có thể nhìn thấy các liên kết, tất nhiên.
Với việc đó là một kỳ nghỉ, tôi đã tự mình làm những gì có thể để khôi phục trang web và ngày hôm sau nhận được sự giúp đỡ. May mắn thay tôi sử dụng một công ty lưu trữ chuyên nghiệp với sự hỗ trợ điện thoại tuyệt vời. Và quản trị trang web hợp đồng của chúng tôi, Tim Grahl, đã siêu và bỏ mọi thứ để đáp ứng.
Làm việc với tư cách là một nhóm, chúng tôi đã quản lý để trang web hoạt động và có thể hiển thị trở lại vào cuối ngày 26 tháng 12.
Tuy nhiên, tôi ít biết rằng thử thách vẫn chưa kết thúc. Tôi mới chỉ nhìn thấy phần nổi của tảng băng vào ngày đầu tiên. Tôi sớm phát hiện ra những gì các tin tặc THỰC SỰ đã làm.
Tin tặc chơi các công cụ tìm kiếm
Ngay từ đầu tôi đã luôn tự hỏi, ‘Tại sao ai đó sẽ hack trang web này? Không có gì có giá trị (đối với một hacker) trong đó. Không có số thẻ tín dụng. Không có dữ liệu bí mật. Không có thông tin khách hàng.
Lúc đầu, tôi đánh bóng nó lên phá hoại.
Nhưng khi tình hình diễn ra và tôi phát hiện ra nhiều thiệt hại hơn, tôi nhận ra đây không phải là phá hoại. Thay vào đó, hoạt động hack này là tất cả về đánh cắp các trang web và blog doanh nghiệp nhỏ và sử dụng chúng để tạo liên kết đến các trang web khác để trò chơi các công cụ tìm kiếm .
Các tin tặc tìm thấy một lỗ hổng bảo mật và vào bên trong trang web của bạn. Họ kiểm soát thông qua các tập lệnh biến trang web của bạn thành một máy bay không người lái tạo liên kết. Các liên kết được tạo trên trang web của bạn (không có kiến thức của bạn) được trỏ đến các trang web khác, trong nỗ lực đưa các trang web khác đó lên đầu kết quả của công cụ tìm kiếm.
Bẫy trong một vòng Splog
Một ngày sau khi tôi phát hiện ra vụ hack, tôi đã học được phần tồi tệ nhất: các tin tặc đã xâm nhập một phần của trang web này vào một vòng splog (blog spam).
Manh mối đầu tiên đến từ Technorati.com khi tôi thấy số lượng liên kết đến Xu hướng kinh doanh nhỏ đã nhảy bởi một vài ngàn liên kết qua đêm. Tôi thật tuyệt, tôi nghĩ - trong khoảng 3 giây! Niềm vui của tôi chuyển sang ghê tởm khi tôi thấy rằng tất cả các liên kết đã sử dụng văn bản neo như, qua viagra, nhạc chuông dễ thương, nhạc chuông và các loại rác khác.
Các liên kết được lấy từ các splog của Nhật Bản. Mỗi Mỗi splog bao gồm danh sách hàng ngàn - nghĩa là hàng ngàn - các liên kết trỏ đến các trang trên các trang web khác, bao gồm hàng trăm trang giả mạo đã được thiết lập trên thư mục tmp của trang web này.
Điều đó khi tôi nhận ra những gì các tin tặc thực sự đã làm. Họ đã để lại một tập lệnh tự động tạo ra hàng trăm trang giả mạo trên trang web này. Những trang giả mạo đó lần lượt được chuyển hướng đến các trang web dược phẩm, người lớn và nhạc chuông. Bạn không thể thấy các trang giả mạo khi nhìn vào trang web này, nhưng chúng ở đó.
Sau đó, tin tặc đã tạo ra các vòng của các trang web khác, chủ yếu là blog, để liên kết đến các trang giả mạo trên Xu hướng kinh doanh nhỏ. Tất cả mọi thứ được thiết kế để cuối cùng gửi trọng lượng liên kết kết hợp đến các trang web dược phẩm, người lớn và nhạc chuông mà họ muốn xếp hạng cao trong các công cụ tìm kiếm.
Đây là cách thức hoạt động của nó:
Splog A >>> liên kết đến trang giả mạo trên trang web bị tấn công B >>> trang giả mạo này đã được chuyển hướng đến một trang web dược phẩm bán OxyContin.
Rửa sạch và lặp lại. Hàng ngàn lần.
Kết quả = tăng nhanh thứ hạng công cụ tìm kiếm cho trang web bán OxyContin.
Như bạn có thể thấy, đây không phải là một cuộc tấn công đơn độc trên một trang web. Đây là một kế hoạch phối hợp liên quan đến hàng trăm nếu không hàng ngàn của các trang web. Của tôi chỉ là một trong nhiều trang web bẫy.
Làm thế nào các tin tặc xâm nhập
Chúng tôi nghĩ rằng các tin tặc đã xâm nhập thông qua một phiên bản không an toàn của WordPress thông qua máy chủ. Ngoài ra, tôi đã thắng nhiều hơn, để không đưa ra một lộ trình về cách bẻ khóa các trang web khác. Cuộc tấn công dường như đến từ một địa chỉ IP của Nga.
Cuộc tấn công đã tận dụng thời gian nghỉ lễ, vì chủ nhà của tôi có một nhân viên bộ xương làm việc vào đêm Giáng sinh. Thật đáng ngạc nhiên, chưa đầy 2 ngày sau cuộc tấn công đầu tiên, trong khi chúng tôi đang trong quá trình sửa chữa cuộc tàn sát, các tin tặc đã quay trở lại! Lần này, nỗ lực hack đã bị ngăn chặn bởi hành động nhanh chóng từ phía công ty lưu trữ, chặn địa chỉ IP đang điên cuồng làm gián đoạn trang web.
Khi tôi nghiên cứu các bản hack khác, tôi đã choáng váng khi phát hiện ra rằng có hơn một chục phiên bản WordPress có lỗ hổng đã biết. Với ước tính khoảng 2 đến 3 triệu blog sử dụng WordPress, điều đó có nghĩa là rất nhiều blog có khả năng gặp rủi ro. Các trang web và blog đã có từ lâu và các trang web đáng tin cậy là những trang có khả năng bị tấn công.
Chỉ cần thực hiện tìm kiếm trong Google và bạn sẽ tìm thấy các báo cáo về các blog WordPress khác đang bị hack, bao gồm một số tốt nhất và sáng nhất. Ngay cả blog Al Gore, cũng đã bị hack.
Hơn nữa, nghiên cứu của tôi đã phát hiện ra ít nhất một nửa tá cách để thỏa hiệp các blog WordPress. Và với mỗi phương pháp tôi đã thấy, tôi chắc chắn kẻ xấu biết 2 tá người khác.
Hành động khắc phục
Chúng tôi đã thực hiện một số bước để bảo mật trang web, bao gồm:
- Nâng cấp lên phiên bản mới nhất của WordPress.
- Loại bỏ một plugin mà nghiên cứu đề xuất có thể có lỗ hổng bảo mật và cập nhật tất cả các plugin còn lại nếu có phiên bản mới.
- Dọn dẹp tất cả các lỗi mà các tin tặc để lại, xóa các tập lệnh và các liên kết và trang trái phép của chúng. Chúng tôi không chỉ phải truy quét mã trang web của riêng mình mà còn cần công ty lưu trữ của chúng tôi làm điều đó cho toàn bộ máy chủ.
- Hoàn nguyên về một bản sao lưu cơ sở dữ liệu MySQL sạch từ trước cuộc tấn công.
- Chặn tự đăng ký trên trang web này.
- Thay đổi mật khẩu; xem xét nhật ký máy chủ cho các địa chỉ IP đáng ngờ và chặn chúng; và thay đổi một số thứ khác mà tôi không muốn gọi sự chú ý.
Có người hỏi tôi có dự định chuyển từ WordPress sang phần mềm khác không. Không, tôi dự định sẽ gắn bó với nó. WordPress là một gói phần mềm tốt và đã không còn đau đầu 99%. Tôi hiểu rằng cộng đồng phát triển WordPress đang làm việc để giải quyết các vấn đề bảo mật - hãy để Hy vọng họ làm như vậy trước khi WordPress phát triển một bản rap tệ hại không thể đảo ngược.
Tuy nhiên, tôi đã khởi động các biện pháp an ninh một vài bậc. Tôi tin rằng một hacker quyết tâm có thể tìm cách xâm nhập bất kì trang web, nếu họ thực sự muốn. Nhưng tại sao làm cho mình một mục tiêu dễ dàng?
Vì vậy, ngay lúc này, bạn có thể tự hỏi bạn có thể làm gì để bảo vệ blog hoặc trang web của mình. Tôi có một số gợi ý cho bạn. Nhưng vì bài viết này đã dài, tôi đã đưa chúng vào một bài viết riêng: Cách bảo vệ trang web WordPress của bạn.
56 Bình luận
