Second step in forensic investigation vai hackeri uzbrūk 2 1

Nedēļu atpakaļ notika vēl viens interesants notikums, par kuru nebija laiks uzrakstīt.
Bet tā kā tas bija gana aizraujošs un iespējams kādam ļoti noderīgs, tad 6dienas dienā nolēmu to aprakstīt.

Viss sākās ar to, ka atnākot 5dien mājās atvēru pārlūkā savu blogu un tur man priekšā sagaidīja šāda bilde:

No sākuma cerēju, ka tas ir kaut kāds gļuks (naivi ne?) un atvēru administrēšanas paneli, bet tur tiešām kā pēdējais raksts rādījās “Hacked by n2n”.

Jocīgi bija arī tas, ka visi raksti kopš 2009. gada bija ievietoti “Trash”.

Pieņemu, ka nedarbs pastrādāts un brīnumdaris licis mani mierā, lēnā garā mēģinu saprast kas un kā.

Bet, kas tev deva- pēc aptuveni 1. minūtes pienāk epasts no wordpress- admin lietotājam nomainīts epasts un pieprasīta jauna parole.

Skaidrs tagad džekiņš jau mēģina tikt pie wordpress admin konsoles. Neko darīt- jābloķē viņam pieeja 🙂

No teorijas- ja vari kontrolēt ko tieši brīnumdaris (hacker) dara tavā lapā, serverī, utt, tas neapdraud draudu konfidencialitāti, integritāti, pieejamību, un ja tas palīdzēs viņu noķert, tad pieeju var riskēt saglabāt.

Ātri ielogojos hostera config panelī un aizliedzu piekļūt visam saturam (izņemot no manas IP).

Darīts- jāsāk skatīties kapēc tas varēja notikt-

Sāku tāpat, kā iepriekšējā rakstā par testa vides problēmām ar webalizer un awstat analīzi.

Skatos references:

pēdējā un svaigākā no pods.lv 🙂

Atveru pods.lv- tiešām pie pēdējiem komentāriem “Hacked by n2n”:

Cik sapratu, tas ir plugins, kas attēlo saistītos rakstus un tiklīdz manam rakstam nomainījās nosaukums, tas attēlojās iekš pods.lv.

Viltus trauksme ejam tālāk.

Kas mums ir ar apmeklējumu?

1 apmeklētās apskatījis- 408 lapas un uztaisījis 1507 hitus- uztaisītu noteikti vairāk, ja nepiegrieztu pieeju 🙂

Skatāmies, ko viņš ir vēris vaļā:

Tātad ievainojamība bija šajā failā.

Skatāmies vai varam sazīmēt ļauno IP adresi- varam 41.99.45.23. Google piedāvā izsmalcināti info par to.

Atveru wordpres.org un skatos vai nav konstatēta kļūda šinī failā un 2.9.2(pēdējā aktuālā uz to brīdi)- viss kārtībā, kļūda ir bet par to publika vēl nezin 🙂

Vairākos forumos (piemēram šinī) ir arī konstatēta šāda problēma, bet pagaidām bez atrisinājuma.

Atveru googli un mēģinu kaut ko sagooglēt.

Martā vienā lapā ir publicēts skaners, kas mēģina exploitēt arī šo failu.

Iespējams, ka pret mani tika pielietots tieši šis 🙂 Vēlāk biju domājis paeksperimentēt ko viņš tieši dara, kā strādā un kādus rezultātus var iegūt, bet kaut kā vēl līdz šai dienai nav sanācis laiks.

Atšķirībā no iepriekšējā raksta “Hackeri uzbrūk“- šoreiz ir pieejami apache access logs.

Sākumā ar lielu entuziasmu, bet pēc tam ar apnicību gāju tam cauri. Tomēr neko sakarīgu atrast neizdevās.

Visu laiku viens un tas pats-

1) admin-ajax.php failam tiek veikts POST pieprasījums- ļoti žēļ, ka apacis nelogo POST pieprasījumus, tas uzreiz atviegloto manu darbu un dotu skaidru atbildi- ko īsti brīnumdaris tur darīja.

Pats nepārbaudīju, bet uz ātro atradu pamācību, kā iemācīt apacim logot POST datus. Daudzi cepjās- logs augs nejēgā un to visu saglabāt nebūs iespējams, protams, bet ir jau alternatīvas- glabājam īsāku laiku, kopējam uz citurieni, utt. Viss ir atkarīgs vai no šādas info ir jēga- uzlaušanas gadījumā ir.

2) atgriezts rezultāts, pēc tam tiek veikts mistisks GET- cik sapratu atkarībā no POST pieprasījuma rezultāta.

Kas tad beigās tika izdarīts?

  • Veidojot mistiskos pieprasījumus http://dll.lv/wp-admin/admin-ajax.php failam brīnumdaris bija izdevies pārvietot lielu daļu rakstu uz trash.
  • Viņa posts “Hacked by n2n”, nebija izveidots no jauna, bet vienam rakstam no 2009, gada tika nomainīts saturs un virsraksts.
  • Tika izdzēsti visi tagi
  • Beigās izdevās nomainīt admin lietotāja epastu un tādā veidā iegūstot admina paroli.

!!!AAA tiko ienāca prātā- vai tikai nebija ievietojis kādā no rakstiem javascript, kas nostrādāja, kad biju ielogojis admin sadaļā un tādā veidā nomainīja admin epasta adresi?

Par labu šai teorijai ir fakts, ka epastu nomainīja apmēram 2. minūtes pēc tam, kad mājās biju ielogojies administrēšanas sadaļā, kaut gan uzbrukums jau bija sācies 1h atpakaļ.

Varbūt sakritība. Bet pārbaudīt man to vairs neizdosies, jo visu iepriekšējo saturu jau esmu izdzēsis.

Secinājumi:

Kārtējo reizi apstiprinās- uzstādod pēdējo “drošo” versiju, neviens nav pasargāts tik un tā.

Uzhakos ne tikai Windows, bet arī ar wordpress..

Backup- tas ir spēks 🙂

Manas darbības pēc tam?

Viss kā pēc grāmatas-

Lādējam no wordpres.org wordpress un pluginus no jauna (jo pastāv iespēja, ka esošajā struktūrā ir izveidoti backdoor),

Izveidojam jaunu datubāzi

No rezerves kopijas paceļam pēdējo “drošo” DB versiju (izvēlējos nedēļu pirms uzbrukuma, jo man tā pat pa vidu bija tikai 1 posts.)

Šoreiz nevis vienkārši admin lietotājam uzstādam sarežģītu paroli, bet to izdzēšam.

Uzstādam jaunas paroles.

Meklējam rakstus par wordpress drošību (izrādās viņu ir pa pilno, piemēram šāds) un izpildām to norādījumus 🙂

Uzstādam wordpress plugin (http://wordpress.org/extend/plugins/wp-secure-by-sitesecuritymonitorcom/), kas palielina drošību.

Uzstādam plugin (http://wordpress.org/extend/plugins/threat-scan-plugin/) , kas pārbauda vai sistēmā nav kaut kas ieperinājies.

Esam nemitīgā stresā 🙂

One comment on “Second step in forensic investigation vai hackeri uzbrūk 2

  1. Reply Kaspars May 16,2010 3:08 pm

    Google izmeta vēl vienu ierakstu par šādu kļūdu:
    http://www.fatihsyuhud.com/wp-admin-ajaxphp/

Leave a Reply