הזהרו: התקפה נרחבת על אתרי אינטרנט בארץ ובעולם בימים האחרונים
מדובר באחת ההתקפות הגדולות שידעו אתרים ישראלים בשנים האחרונות ויש לה השלכות מרחיקות לכת גם על המבקרים באתר שעשויים להפוך לחשופים בפני תוכנות כופר
קרדיט תמונה: Getty Images Israel
בשנים האחרונות התרגלנו כבר להתקפות חוזרות ונשנות על אתרי אינטרנט בישראל, אם מצד האקרים ועברייני סייבר, או מצד קבוצות כמו אנונימוס, שבדרך כלל נגמרו בנזקים שוליים או ללא כל השפעה מלבד חוסר זמינות של האתר למספר דקות.
אבל בימים האחרונים אנחנו מזהים גל של התקפות כנגד אתרים בישראל ובעולם, שמגמד את מרבית ההתקפות שנראו בשנים האחרונות, גם מבחינת מספר האתרים שנפגעים, וגם מבחינת הנזק בפועל לגולשים שמבקרים באותם אתרים.
מדובר בהתקפה שבמסגרתה נפרצים שרתי web מבוססי WordPress ו-Joomla, ונשתל בהם קוד שמפנה כל גולש שנכנס לאתר להפעלה של קוד זדוני שמאוחסן בשרת אותו הכינו התוקפים מראש. הקוד הזדוני מסוג Trojan Downloader משמש במרבית המקרים כשלב ראשון בהדבקה של תוכנות כופר או סוסים טרויאנים שמיועדים לגניבה של פרטי כניסה לאתרי בנקים ואשראי.
ההתקפה הנ”ל שמשתמשת ב-fake jQuery injection אינה חדשה, ונמצאת בשימוש ע”י האקרים כבר זמן רב, מאז ש-jQuery הפכה לאחת מספריות ה-JavaScript הנפוצות ביותר. אולם מעולם לא נראתה בתפוצה רחבה כזו. מדובר באחת ההתקפות הנפוצות ביותר שזוהו בישראל בשנים האחרונות.
כך תזהו ותתגוננו
ישנן מספר פעולות שמנהל או מתחזק של שרת web נדרש לבצע במקרה שגולשים מדווחים על זיהוי של הנוזקה JS/TrojanDownloader.FakejQuery כשהם נכנסים לאתר, או במקרה שהוא רוצה לוודא שהאתר\ים שלו לא נפגעו:
1. קודם כל, במקרה של פגיעה חשוב לאתר ולמחוק את ההפניה לקוד הזדוני, ולא למהר לשחזר את האתר מגיבוי, דבר שיוביל כנראה להדבקה מחדש של האתר.
יש לחפש ולמחוק את הערך jquery.min.php
כך יכולה להיראות ההפניה בקוד:
חשוב לציין שבגלל באג בקוד של ה-injector, יכולות להופיע מספר הפניות לסקריפט ה-PHP הזדוני, משום שהוא נשתל בכל מקום באתר לפני הערך. הדומיין הנ”ל יכול גם להשתנות אם התוקפים יעדכנו אותו, דבר שסביר שיקרה.
2. כדי לאבטח את האתר מפגיעה חוזרת, חשוב לבצע את הפעולות הבאות:
• לשנות את הסיסמאות לכל אתרי ה-WordPress וה-Joomla, ולהגדיר סיסמאות מורכבות עם 13 תווים לפחות.
• לוודא שלא נוספו למערכת משתמשים עם הרשאות מנהל. (חשוב לזכור שבמרבית המקרים אין צורך ביותר ממשתמש מנהל אחד). אם דרושים משתמשים נוספים מלבד המנהל, ניתן להקצות להם user roles לפי הצורך, ולא הרשאות מנהל.
• לוודא שמערכת ה-Content Management System – CMS מעודכנת, וגם כל רכיבי ה-third party מעודכנים בעדכוני האבטחה האחרונים.
• חשוב להגדיר הגנה כנגד התקפות brute force שמגבילה את מספר הפעמים שניתן להקליד סיסמה שגויה לכניסה למערכת.
• מומלץ גם להוסיף Web Application Firewall – WAF בתור שכבת הגנה נוספת לשרת ה-web.
3. כדי להעלות את רמת האבטחה של האתר עוד יותר, וגם ללמוד עוד על התחום, מומלץ להשתמש במאמר שנכתב על ידי בונה אתרים שהאתר שלו נפרץ מספר פעמים, והחליט ליצור מדריך מקיף בנושא.
המאמר נותן 3 רמות של הגדרות אבטחה למתחיל, מתקדם ומומחה, והוא כתוב בצורה ידידותית וברורה.
אמיר כרמי
לוחם בווירוסים ופשע מקוון בלילה ופותר למשתמשים בעיות ביום. מומחה אבטחת מידע ורוקר מושבע. מנהל הטכנולוגיות בחברת קומסקיור, הנציגה הבלעדית בישראל של חברת ESET, מפתחת האנטי וירוס ESET NOD32 וחבילת האבטחה ESET Internet Security
הגב
3 תגובות על "הזהרו: התקפה נרחבת על אתרי אינטרנט בארץ ובעולם בימים האחרונים"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
היי יש לי בלוג באורדפרס תוכל לעשות מדריך שלבים איך לבדוק ובמקרה ש מה לעשות אשמח מאוד.
רותם
תתקין וורדפנס WordFence
גיקטיים היקרים – אנא אפשרו באפליקציה שלכם צפיה בכתבות במצב שכיבה Landscape וגם אפשרות להגדלת התוכן ע”י הצביטה המוכרת וכן פתיחת תמונות ע”י הקשה עליהן.
כיום, הכל מוצג במצב אנכי Portrait בלבד והתמונה עם סטטיסטיקות האיומים בלתי קריאה בעליל.