אתמול פנה אלי לקוח שתאר בעיה באתר: כל מי שנכנס לכתובת של האתר שלו – מופנה לאתר עם הפרסומת שבתמונה, ולפעמים גם לכתובת עם פרסומת אחרת.
חלקכם מכירים את התופעה הזו גם עם אתרי מ^ן וכדומה.
אז מה הבעיה? לקוחות נכנסים ונופלים בפח, האתר מזיק לבעליו ומזיק למבקריו.
אז מה עושים במקרה כזה?
כצעד ראשון – סרקתי את האתר עם הכלי של https://sitecheck.sucuri.net
ותתפלאו – הוא לא מצא שום דבר. סרקתי גם עם VirusTotal – וגם הוא לא הראה אינדיקציה חשודה.
איפה המלכוד? אי אפשר לראות מה הקוד הבעייתי אפילו ב view sorce כי בכל פעם שמנסים להיכנס לאתר, ולא משנה לאיזה כתובת – אני מופנה ישר לעמוד הפרסומת.
מלכוד שני – מאותה סיבה, אין לי אפשרות להתחבר לפאנל ניהול של האתר, לא משנה איזה URL אני אתן לדפדפן – אני יעבור לאתר הזדוני.
לפי תיאור המקרה שנתתי פה, אפשר להבין שמדובר פה ב SQL INJECTION קלאסי.
איך גיליתי את זה?
נכנסתי לDB [דרך Phpmyadmin אם זה משנה]
ובטבלה בשם wp_options יש שורה של כתובת האתר. והערך שהיה בפנים – היה לא אחר מכתובת האתר של האתר הזדוני.
ברגע ששינתי את הערך לכתובת האתר המקורי – האתר היה נגיש ויכולתי להתחבר לפאנל ניהול האתר.
מי שביצע את ההזרקה עשה את זה בצורה חכמה שהייתי צריך לשנות את כתובת האתר בכמה מקומות נוספים.
אז זהו? הבעיה מאחורינו?
ממש לא.
התקנתי תוסף ניקוי ואבטחה בשם WP CERBER שאני חושב שהוא אחד המשובחים שיש היום בכל מה שקשור לניקוי וירוסים.
ותתפלאו – גם הוא לא מצא שום בעייתיות באתר. כי שוב – מדובר על הטמעה של קוד, זה קורה הרבה סה"כ, ולגיטימי.
אז אחרי חיפוש, ראיתי שהמחרוזת שמכילה את כתובת האתר הזדוני נמצאת בעוד עמודים, התוקף, דאג להזריק את שורת הקוד הבאה לכל פוסט באתר, מעל 450 פוסטים: <script src='https://]linetoadsactive[.]com/m.js?s=q' type='text/javascript'></script>
אז הצעד הבא שננקט – הוא הסרה של כל המחרוזות הקיימות.
אחרי הסרה מלאה של כל ההפניות הזדוניות – אפשר לעבור הלאה לעדכון האתר, עדכון תוספים – עדכון וורדפרס, שדרוג גרסאת PHP ושאר ירקות.
*גילוי נאות – האתר היה בן 6 שנים, לא נגעו בו מאז. לא ביצעו עדכונים לכלום. הגיוני מאוד וככל הנראה שהיכולת של התוקף להזריק את הקוד לאתר נבעה מחולשה של אחד התוספים המותקנים אצלו באתר.
לא סתם אומרים. לעדכן לעדכן.
זה חשוב.
– אבל לא פתוח חשוב מזה, גיבויים. בלי גיבויים אני לא זז מטר.
שמרו על עצמכם ועל הנכסים שלכם.
מקווה שלמדתם ונהנתם!
נ.בעל הדרך תוציאו מייל ללקוחות שלכם שאתם נותנים שירות שנתי חד פעמי של עדכון האתר ועדכון תוספים כולל גיבויים בעלות של X ועל הדרך תעזרו להם והם כמובן יתנו את התגמול המתאים לזה בשבילכם. זה אחלה UPSELL ללקוחות שלכם.
השירות הזה יעזור להם לשמור על העסק שלהם על הרגליים