פריצה לשרתי גיקטיים: גם לנו זה קרה, איך התמודדנו?

איך הצליחו לפרוץ לגיקטיים ואיך התמודדנו עם זה – אל תדאגו, הסוף טוב והכל טוב. קצת על מאחורי הקלעים של האתר וחידושים בהם תוכלו להשתמש כבר היום.

 

shutterstock servers

בשבוע שעבר כתבים, עורכים וקוראים התלוננו על איטיות קלה באתר עד השבתה מלאה שלו. בחודשים האחרונים, הצמיחה שלנו כאתר אינטרנט הייתה כמעט אקספוננציאלית וכתוצאה מהצמיחה הזו, התחלנו להתמודד עם שורה של מתקפות על האתר ועל השרתים שלנו. בגיקטיים, אנחנו משתדלים לעמוד בכל סטנדרטי האבטחה המתקדמים ביותר אך לפעמים גם אנחנו לא מצליחים להגן על עצמנו מכל סוגי המתקפות האפשריות ושבוע שעבר – נפלנו קורבן לאחת המתקפות הקשות יותר שידענו.

ביום בהיר אחד

הכל התחיל ביום שני בשבוע שעבר, כאשר בערך בשעה 16:00 כל המעבדים על שרתי האתר הצביעו על 100% CPU, כלומר כל משאבי העיבוד שלנו היו תפוסים מלהגיב לגלישות הקוראים. אקדים ואומר שבסבירות גבוהה ביותר שום מידע אודות קוראים באתר לא נלקח או שונה, אך כתוצאה מהתפוסה המלאה של החומרה המריצה את אתר האינטרנט שלנו התחלנו לערוך סדרת בדיקות בכדי למצוא את מקור הבעיה. לאחר זמן קצר, הבחנו בחמישה תהליכים חשודים בשם kernelupdate, מהכרותנו עם המערכת לא הוגדרו עדכונים אוטומטים ובטח שאנחנו לא נוטים לעדכן ידנית את הקרנל, או כל משאב אחר באתר במהלך יום העבודה, לאחר בחינה נוספת ראינו ששורת ההפעלה המלאה של התהליך הייתה:

kernelupdates -B -o stratum+tcp://hk2.wemineltc.com:80 -u spdrman.9 -p passxxx/.

כפי שאתם מסוגלים להבין משם האתר (wemineltc.com) מדובר בסוכן לכריית Litecoin, אחת מהחלופות המוכרות ביותר למטבע הביטקוין. הרגנו את התהליכים באמצעות פקודת pkill -9 לשרת, אך לאחר מספר דקות הוא חזר בשנית. בשלב זה, הבנו שהבעיה היא לא נקודתית, אלא מגיעה ממקום אחר שלא הצלחנו באותו הרגע להבין בדיוק מהו.

אז איך הוא נכנס?

על השרתים שלנו היו מספר אתרים נוספים מבוססי WordPress (הפלטפורמה עליה רץ אתר גיקטיים ועוד כ-19 אחוזים מהאינטרנט, או כ-66 אחוזים מאתרי אינטרנט מבוססים CMS), כמו כל תוכנה אחרת, WordPress עלולה להכיל חולשות (Vulnerabilities) המאפשרות לתוקפים לפרוץ לשרתים עליה היא מותקנת ולהריץ משם כל מיני תוכנות זדוניות המשרתות את האינטרסים שלהן, בין אם מדובר בשרתים חיצוניים, קליינטים לשליחת דואר זבל או במקרה שלנו, סוכן לכריית לייטקוין.

ככל הנראה, התוקף השתמש בפלאגין או בחולשה באחד האתרים הישנים אשר רצו על גבי פלטפורמות WordPress שרצו על אותו השרת, והעלה לשם קובץ עם חתימה של תמונת gif. למעשה, בקובץ (כן, ניחשתם נכון) לא הייתה תמונה תמימה, אלא סקריפט הכתוב בשפת Perl שהוסיף שורות ריצה ל-Cron (קובץ תזמון אירועים של שרתי לינוקס) עם פעולות הורדה לקבצים נוספים – אחד הקבצים (64.tar.gz) היה הסוכן לכריית לייטקוין.

מקור: צילום מסך, Virustotal.com

מקור: צילום מסך, Virustotal.com

 

אז מה עשינו בכדי למגר את התופעה?

הקבצים הזדוניים הוחבאו בתיקיית /tmp/ תחת השמות abc.txt ו fix.txt. שתי תיקיות נוספת (נסתרות) /etc/.ice-unix/ (השניה באותיות גדולות) נוצרו ובהן למעשה הקובץ הרצה של הכורה. השורות שהתווספו ל-Cron הן למעשה בדיקה האם הכורה עדיין רץ – במידה ולא, להדליק אותו מחדש ואם הוא נמחק מסיבה כלשהי, להוריד אותו מחדש באמצעות פקודת wget פשוטה. לאחר בדיקות נוספות, נראה שרב הפניות נעשו דרך כתובות ip קבועות יחסית, לדוגמא 117.29.42.49 ו-220.160.51.149 שמקורן בפוזהו שבסין ולוס אנג’לס, ואכן נעשו פניות post לסביבה ישנה עליה הייתה מותקנת WordPress.

  • הרגנו את כל התהליכים, מחקנו את כל השורות ה”חדשות” מהקרונים, מחקנו את כל הקבצים הזדוניים, והכי חשוב הורדנו הרשאות ssh למשתמש של מנהל האתר ויצרנו משתמשים אישיים לכל מפתח.
  • שדרגנו את כל הפלאגינים והוורדפרסים וכיבינו אתרים שאינם עוד בשימוש.
  • נעזרנו ותרמנו לפוסט ב-serverfault שנפתח שעתיים לפני שהאירוע התרחש בשרתים שלנו.

כיצד תוכלו להמנע ממצב דומה בעצמכם?

לאחר שעברנו את הסאגה הלא נעימה, כל מה שנשאר לנו לעשות הוא לשתף את המשתמשים שלנו, המריצים אתר המבוסס על וורדפרס או כל פלטפורמת CMS אינטרנטית אחרת. אספנו עבורכם מספר צעדים שעשויים להפחית באופן משמעותי את הסיכויים שיפרצו לשרת שלכם, כמו שקרה לנו כאן בגיקטיים ויתקינו Litecoin Miner או הרבה יותר גרוע מכך – ימחקו לכם את תכני האתר.

  • מומלץ בחום לשדרג את גרסאת ה-Wordpress שברשותכם (במיוחד אם הפירוט העדכוני מצויין תלאי אבטחה).
  • כנ”ל לפלאגינים, תציצו מידי פעם לוודא שאתם מעודכנים.
  • התקינו כמה שפחות פלאגינים – הפתרון הפשוט לבעיות ב-Wordpress הוא להתקין פלאגין שעושה את מה שאתם רוצים אבל אם יש ביכולתכם להשקיע מעט יותר ולפתח את היכולת הזו בעצמכם, ללא ספק תעזרו לעצמכם להמנע מקוד שאינכם מכירים ואינכם יודעים כיצד מומש או מה החולשות שלו.
  • אם בכל זאת אתם הולכים על פלאגינים, תנסו לחקור מעט מהו הפלאגין המעודכן יותר, בעל תמיכה שוטפת ויוצר בעל מוניטין מוכר בעולם הפלאגינים.
  • מומלץ לתת לכל משתמש בשרת הרשאות מוגבלות על פי התפקיד.
  • מומלץ עוד יותר בחום לחסום את הפונקציות eval ,exec ו-system בשרת.

ובנימה אופטימית זו – חדש בגיקטיים

calendar2

עולם הטכנולוגיה, ההייטק והסטארטאפים לא נגמר רק במשרד או המעבדה, חברות רבות מקיימות כנסים, הרצאות, האקתונים, השקות ועוד. לוח האירועים שלנו מרכז את כל המידע אודות האירועים ודרכי ההרשמה אליהם.

בשבועות האחרונים אספנו ומימשנו את רב הפניות שלכם, הוספת פונקציונליות, תיקונים קוסמטים ושיפורי ביצועים. הוספנו שני כפתורים לשמירת אירועים ישירות ללוח השנה שלכם, אחד למי שבינכם משתמש ב Google Calendar והשני להורדת קובץ אירוע המתאים למשתמשי Outlook ו-iCal של Apple.

אם שמעתם על אירוע, כנס, או במידה ואתם מארחים כנס בנושא גיקי במיוחד וברצונכם לשתף אותו עם קוראי גיקטיים, תוכל לעשות זאת עם הכפתור הנמצא בפינה השמאלית של האתר – “הוסף אירוע”. כמו תמיד, אתם מוזמנים לשלוח אלינו פניות במייל האדום ולדווח לנו על באגים, גליצ׳ים עיצוביים או סתם על דברים מעניינים שקורים בעולם הטכנולוגי. אנחנו כאן בשבילכם!

קרדיט תמונה: Man without identity programing in technology enviroment with cyber icons and symbols / Shutterstock.com

servers via shutterstock

 

דניאל

דניאל הוא הגיק העומד מאחורי שרתי גיקטיים. מפתח ומכור למימון הפרוייקטיים ההזויים ביותר בקיקסטארטר.

הגב

11 תגובות על "פריצה לשרתי גיקטיים: גם לנו זה קרה, איך התמודדנו?"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אליחי טורקל
Guest

יש מצב אתם מעלים את תוכן הקובץ passxxx (אמור להיות באותה תיקיה של הקובץ kernelupdates)? קובץ זה אמור להכיל את הסיסמא של המשתמש לפול שבו הוא כרה את הליינטקוין. ובעזרת זה אפשר לדעת כמה הוא הצליח כבר להשיג.(ואולי אפילו להעביר אליכם את הכסף שהוא השיג בתור פיצוי :) )
(אם אתם רוצים עזרה בנושא הכרייה הנ”ל, להבין מה בדיוק ואיך, אשמח לעזור)

עופר
Guest

תודה תודה תודה ששיתפתם אותנו בכל הפרטים הטכניים של הפריצה.
כמפתח, תמיד מתסכל אותי שבדיווחים על פריצות, ובפרט כשמדובר בחברות גדולות ועצם הפריצה אינו סודי, אין פירוט טכני של אופן הפריצה. הרי אין שום סוד בשיטת הפריצה (היא כבר נעשתה) אז למה לא לחשוף את הדרך ולעזור כך לכל האחרים?
כל הכבוד לכם גיקטיים.

נדב
Guest

כמה טיפים –
ברמת המשתמש –
wordfence
bulletproofsecurity
בנוסף לא להתקין וורדפרס עם הprefix
wp_
אלא להחליף אותו
לא להשאר עם משתמש ADMIN
להחליף לשם פחות גנרי!

אגב למנהלי הסיפאנל ממליץ לבטל את הסימון מ EXECCGI בAPACHE CONFIG

ברמת השרת
MOD SECURITY + OWASP
קצת מעמיס ולפעמים מוסיף איזו חצי שנייה לעליית האתר – אבל עושה את העבודה

סקרן
Guest

לא הבנתי לא הבנתי

איך התוקף הריץ את הסקריפט החבוי בקובץ ה-GIF ?

נדרש הרשאות admin להוספת שורה ל-Cron.
האם התוקף השיג סיסמאות admin לשרת ? אם כן, אז באמית יצאתם בזול

Dekel
Guest

What about using a CDN??
That will protect you and will also improve your performance across the globe.

עמית
Guest

דרך פשוטה שהייתה עוזרת במראה הזה: תעבדו דרך Cloudflare. פשוט וקל ליישום באתרי WP.

שלז
Guest

לא להשתמש בפלאגינים? שטויות. תשתמשו בהם אבל תדעו מה אתם מכניסים. ותרמו חזרה קוד כדי שהפלאגין יהיה טוב יותר. פתרון של בעיית אבטחה לפלאגין שהרבה משתמשים בו זה הרבה יותר טוב מלפתור רק לאתר שלך

שו
Guest

למה לא להקשיח את הקבצים והספריות ?
יש לי כמה אתרים מבוססים על הפלטפורמה הזו, ועדיין לא הצליחו לעשות לי כלום כשכל הספריות והקבצים מוגדרים עם 555, ומשתמש MYSQL מוגדר עם קריאה בלבד…

כמובן שזה יתאם למי שלא צריך לשנות את האתר שלו כל שני וחמישי…

איל
Guest

אתר מעולה,מבקר כל יום תמשיכו כך

נועם
Guest

אתם אתר הטכנולוגיה הטוב והמושקע ביותר שאני מכיר. אבל….
חבל לי מאד שהאפליקציה לנייד פשוט לא טובה והיא מאד דומה לפלטפורמה של אתר שמותאם לנייד = לא נוח. מחכה בקוצר רוח לשדרוג האפליקציה. תודה.

אמיר
Guest

עלה בדעתכם אולי לבנות את האתר בעצמכם ולא להשתמש בוורדפרס כמו ילדה בת 12?
טוב שלא בניתם אותו בויקס. גם זה חינם, לא?
ברור שאתם חשופים לפריצות ותקיפות כי זה לא קוד שלכם, ויש תעשיה שלמה של איך לתקוף אתרי וורדפרס. ושוב, מאחר ולא אתם כתבתם, תתקשו גם לתקן ולסגור פרצות.
בהצלחה בכל אופן.

wpDiscuz

תגיות לכתבה: