Matúš Koprda 25.1.2012

Takto vám hacknú Wordpress

Akým spôsobom a prečo nám hackli Wordpressový blog, ako sa tomu brániť a ako ho hacknú aj vám

Wordpress je v aktuálne neuveriteľne rozšírený. Firmy ho používajú ako CMS a robia v ňom robia celé stránky. Za takú popularitu Wordpress vďačí kope pluginov, ktorými sa dá takmer všetko riešiť a v značnej miere aj lacným témam. Nakoľko sa dá ale veriť pluginom, ktoré mohol naprogramovať skoro ktokoľvek? Asi viete kam tým smerujem.. Čo by ste povedali, keby na svojom serveri nájdete takúto srandu?

Včera som to našiel na našom blogu brm.sk. Tento malý nástroj sa volá WSO web shell a je určený na jednoduché ovládanie vášho servera útočníkom cez PHPčko. Dajú za z neho prezerať, uploadovať a vymazávať všetky súbory ku ktorým má PHP prístup a ak je to povolené, dokonca aj spúštať shellové príkazy.

A to nie je všetko. WSO shell sa nakopíroval len ako vedľajší efekt. Hlavná časť, vďaka ktorej som útok objavil, infikovala všetky Wordpress inštalácie na serveri. Návštevníkom týchto blogov sa potom zobrazoval na stránke takmer neviditeľný iframe, v ktorom sa načítala stránka s windowsovým vírusom. Vírus sa dostáva do počítača napríklad cez chyby v starom Flashi, Jave, Internet Exploreri a iných programoch/pluginoch. Pravdepodobne...

Ťažko povedať, aký vírus tam v skutočnosti je. V rámci skrývania sa pred vyhľadávačmi a administrátormi zvyknú takéto stránky posielať vírus len raz denne na jednu IP adresu. Vyhľadávače blokujú úplne a adresa s vírusom sa občas mení. Preto Google nenašiel vôbec nič ohľadom adresy "http://analyze.net.tf/in.cgi?2". Keď som stránku otvoril normálne, tiež sa tvárila, že neexistuje. Dá sa však zistiť, že je registrovaná, takže pravdepodobne sa len "schováva".

Podľa logov vidno, že útok nebol cielený. To sa ani nestáva moc často. Wordpress beží na neskutočne veľa miestach, takže hackerom sa oplatí spraviť skript, ktorý skúša všetky stránky po celom nete a využíva chyby v pluginoch a témach.

Hackeri potom jednak predávajú prístupy na servery a jednak majú záujem rozširovať vírusy, vďaka ktorým vznikajú tzv. botnety, čo sú siete infikovaných počítačov. Od správcu takejto siete si klienti kupujú rozosielanie spamových mailov alebo DDoS útoky.

Obeťou sa teda môžete ľahko stať aj vy.. skript napáda všetkých doradu. Navyše ak máte na jednom serveri veľa Wordpressov a nie sú oddelené, pravdepodobne zle dopadnú všetky.

Je môj blog ok?

Konkrétne túto infekciu, čo som popisoval ľahko odhalíte tak, že v roote Wordpress inštalácie je adresár .cache a v ňom súbory pomenované ako 120124 a tmp_120124. Tam je uložený zoznam IP adries a zamaskovaný Javascript, ktorý vytvára iframe s vírusom.

Samotný škodlivý kód sa ale pripája na niektorý z 90 wordpressových súborov v adresári wp-includes. Skript zámerne mení formu, takže sa nedá ľahko vyhľadať. Ale na pohľad je celkom nápadný.

Takto vyzerali napadnuté súbory na konkrétne na našom webe meta.php, post.php, script-loader.php. Všetky sú v podstate o tom istom. Obsahujú string zakódovaný cez base64 a z-gzip-ovaný. Ten sa spustí buď cez eval() alebo cez preg_replace(). Áno, preg_replace má z nepochopiteľných dôvodoch v sebe zabudovaný eval(), stačí za matchovací string dať písmeno e - "/.*/e" a už je galiba. :p

Vírus sa ale dostáva hlavne cez pluginy a témy, takže treba prehľadať všetky php súbory vo "wp-content", ideálne v celom Wordpresse. Zvyknú mať kadejaké vtipné, kvázi nenápadne sa tváriace názvy, napríklad ak sa škodlivý skript nachádza medzi javascriptami, volá sa jquery.facebox.php, ak v cache, je to niečo v štýle ccc781414d9f71fda8c4c1cfec1f55d1.php.

Ak poznáte tools na automatické odstraňovanie takéhoto svinstva, napíšte do komentov, určite sa niekomu zídu. :)

Ako sa proti tomu brániť

Vždy keď používate niečo tak rozšírené a rozšíriteľné ako Wordpress, ste v ohrození. Najlepšie je mať custom systém s dobrou ochranou. To, samozrejme, nie je vždy možné. Ak teda máte radi Wordpress, dávajte si pozor na pluginy a témy, predovšetkým na také, čo manipulujú so súbormi alebo obrázkami. A updatujte na najnovšie verzie.

Útok na brm.sk bol napríklad uskutočnený cez knižnicu "timthumb", ktorá slúži na generovanie malých náhľadov obrázkov. Odkedy v nej niekto našiel exploit, v ohrození sú tisíce tém a pluginov. Platené témy boli pomerne rýchlo opravené, ale o neplatených rozšíreniach sa to nedá povedať.

Ďalší príklad je "1-flash-gallery". V prístupovom logu servera som našiel takmer každý deň pokus o uploadnutie škodlivého súboru cez /wp-content/plugins/1-flash-gallery/upload.php?action=uploadify&fileext=php. A to takýto plugin ani nemáme.

Edit: Ako na kontrolu bezpečnosti vašeho Wordpressu a odstránenie nebezpečných rozšírení si môžete prečítať v tomto návode http://www.techforum.sk/showthread.php?t=7040&p=11200#post11200 (vďaka za tip Janovi Bočíncovi)

Matúš Koprda

Momentálne robím internety a keď budem veľký, snáď sa dostanem aj k hrám alebo niečomu zmysluplnému. :) Mám rád minimalizmus, obskúrnu hudbu, všetko geeky a rýpanie sa v detailoch. Ďalšie kecy odo mňa nájdeš na brm.sk a na Twitteri @blade_sk.

16 komentárov k článku:

Komentovať môžu iba prihlásení

Zaregistruj sa cez bezplatnú registráciu alebo použi login cez Facebook (FB Connect)

Prihlás sa tu, ak už máš profil na Zajtra.sk:

Matúš Koprda 5.3.2012 20:05:31
Ešte môžeš mať zlú tému. Niektoré neupdatované témy používajú starú knižnicu timthumb, čo bol v poslednej dobe asi najrozšírenejší exploit.

Dušan Duški 4.3.2012 16:14:13
čiže ak mám čistý WP bez nejakých pluginov tak riziko je minimalne?

Maroš Kováč 30.1.2012 14:39:35
Zaujímvaý a užitočný článok. Sám mám web bežiaci na WordPresse, čiže viem, že si mám dávať pozor. Vďaka za tento článok! :)

Michal Hadár 30.1.2012 13:12:51
use typo3 instead :)

Ľuboš Perniš 26.1.2012 15:23:34
Ďakujem ozaj za tip... Je to dosť dôležité :)

Ján Bočínec 26.1.2012 02:13:48
@Zoltan nemusíš mazať, stačí keď si aktualizuješ na najnovšiu verziu :) http://code.google.com/p/timthumb/

Zoltán Mitlík 25.1.2012 20:33:06
dik..uz aj mazem timthumb :D :D

Ján Bočínec 25.1.2012 18:46:49
@Werdy ako som už spomínal nižšie, na <a href="http://www.techforum.sk/forumdisplay.php?f=2">fóre podpory pre WordPress</a> som v jednom príspevku zhrnul cesty ako sa dá s tým popasovať.

Werdy 25.1.2012 18:03:34
Ďakujem za článok, ja som vôbec rád, že sa na slovenskom internete nájde server kde sa o takýchto veciach píše. Prudkým kritikom nik nebráni napísať kvalifikovaný článok na túto tému. Tiež si ich rád prečítam. Ako bežného užívateľa by ma ale zaujímalo ako zistím ktorá téma či modul je v poriadku.

mhp 25.1.2012 16:42:55
myslim, ze pravda bude asi tak v strede. urcite je tento clanok osozny v tom smere, ze sa dostava do povedomia sirsej (a nevedomejsej) "web dev" verejnosti to, ze podobne systemy ako WP vedia byt napadnutelne (a hlavne za urcitych okolnosti...).

z druhej strany tvrdenie, ze lepsie je nepouzivat WP je asi trosku pritiahnute za vlasy (i ked, pre neznalych ludi, ktory sa tym nezaoberaju, ako to Matus spominal by to platit mohlo. tym by som asi tiez odporucil sa v tom prilis nevrtat a neinstalovat kadeco, len tak pre istotu...).

kazdopadne som rad, ze sa tu objavuju aj clanky na trosku serioznejsie temy :) .

Erik Depi Gyepes 25.1.2012 16:39:16
Zabil.. :-)

Nabuduce, ale najdi aj ako problem realne riesit a rozpis sa o tom, napisat len tolko, ze nepouzivat WP je nezodpovedne..

Matúš Koprda 25.1.2012 16:30:32
Pointa nie je, že Wordpress je zlý. Pointa je, že Wordpress je obľúbeným terčom útokov a je k nemu veľké množstvo pluginov a tém, pri ktorých nikto nezaručí aké sú bezpečné. Preto sa pri používaní akýchkoľvek rozšírení dosť ohrozuješ.

Keď si stiahneš nejakú fajn tému a nevŕtaš sa v nej, nemáš šancu zistiť, že obsahuje timthumb.. alebo iný exploit. Čo myslíš, koľko ľudí, čo boli radi, že si vôbec nahodili Wordpress vie, že aj <b>téma</b> môže byť nebezpečná?

Bežnému používateľovi nenapadne ani, že tá "awesome image gallery plus turbo" môže byť hrozbou.

Btw náš blog nebol priamo napadnutý, útok išiel cez kamoškin blog na subdoméne, kde bola exploitable téma.

Patrik Bóna 25.1.2012 16:27:53
"Ako sa proti tomu brániť
Nepoužívať Wordpress."

Nabuduce napis takuto perlu (a to co nasledovalo za tym), hned na zaciatok, nech viem, ze taky chaby clanok ani citat netreba.

Ján Bočínec 25.1.2012 15:36:25
Tento článok má dosť slabú výpovednú hodnotu. Čo si chcel povedať vlastne, že webové stránky sú napadnuteľné? Seriózne riešenie tu nie je síce poskytnuté ale aspoň je tu ako tak popísaný priebeh, rozsah a vysvetlenie "nákazy". Neuviedol si ani dosť podstatnú vec a to verziu napadnutého WordPress.

Jadro tohto systému je dosť nepriestrelné a nikto ti nekáže inštalovať haldy neoverených modulov a tém z pofidérnych zdrojov. O exploite TimThumb sa vie už dlhšiu dobu a že s týmto objavom prichádzate až teraz a dokonca sa ešte pochválite tým, že ste nepodnikli potrebné kroky a zvaľujete to na WordPress ako taký je smiešne.

Bohužial za takéto "hacknuté" stránky si užívatelia môžu väčšinou sami, či už ich nevedomosťou alebo snahou ušetriť kde sa dá (hosting, warez…) a to už nehovorím, že niektorí si otvoria bránu na svojom serveri priamo cez FTP klienta, ktorý bol napadnutý trojským koňom.

Na druhej strane som rád, že sa tu objavil tento článok, lebo osvety v tomto smere nie je nikdy dosť a zainteresovaní (všetci čo majú webové stránky :)) sa začnú aspoň viac zaujímať.

O rôznych nástroj a technikách na odstránenie sme sa bavili už niekoľkokrát aj na našom fóre podpory http://www.techforum.sk/showthread.php?t=7040&p=11200#post11200