داستان هک شدن صدها وبلاگ وردپرسی بر روی Network Solutions

یادداشت: روز پیش گزارش شد که صدها وبلاگ وردپرسی که بر روی Network Solutions میزبانی می شدند، هک شده و وبلاگشان کاربران را به صفحه ایی که حاوی بدافزار بود، هدایت می کرد.  اما چه اتفاقی افتاد و مقصر این اتفاق که بود؟… کاربر؟ وردپرس یا Network Solutions؟!

پس نگاهی به مواردی که دست به دست هم دادند تا این اتفاق بیافتد، می اندازیم…

متاسفانه، اولین نمره ی منفی از آن ِ وردپرس است. وردپرس “برخی اطلاعات حساس” پایگاه داده اش را به صورت “ساده” در فایل wp-config.php ذخیره می کند (توضیح: البته گمانم منظور ایشان، در اینجا، منحصرا جدول wp_options باشد).

– “برخی اطلاعات حساس”: credential ها، آن چیزهایی هستند که “شما” می دانید (مثلا کلمه ی عبور). یا چیزهایی که هوییت شما را تایید می کند (مثلا اثر انگشت یا اثر صدا).

– منظور از “ساده” ذخیر کردن همان ذخیره به صورت clear text است؛ یعنی رمزگذاری نشده.

این فایل پیکربندی (wp-config.php) باید تنها و تنها توسط سرور (مثلا آپاچی) خوانده شود اما بعضی از کاربران (مثلا شما!) نسبت به وضعیت مجوز آن بی توجه هستند (به جای ۷۵۰، دسترسی ۷۵۵ است). پس یک نمره ی منفی هم به کاربر تقدیم می کنیم!

کاربری بر روی Network Solutions از این اتفاق ناخجسته با خبر می شود در نتیجه تصمیم میگیرد تا اسکریپتی ساخته و از طریق آن فایل های wp-config که به صورت اشتباه پیکربندی شده اند را بیابد. پس آخرین نمره ی منفی را به این کاربر بداندیش تقدیم می کنیم!

همان کاربر بداندیش، در نتیجه ی جست و جویش، صدها فایل با پیکربندی اشتباه را می یابد.

کاربر بداندیش تصمیم می گیرد تا حمله ایی به این وبلاگ ها ترتیب داده و پایگاه داده شان را دست کاری کند. و بدین ترتیب مقدار ِ siteurl تمام این وبلاگها به سایت ِ حاوی بدافزار اشاره می کند.

– مقدار siteurl از جدول wp_options در پایگاه داده وردپرس تان قابل مشاهده است.

می بینید که تمام این سهل انگاری ها رخ داد تا این اتفاق بیافتد. می شود وردپرس را به خاطر این بی توجهی سرزنش کرد. می شود کاربر را به خاطر امن نکردن وبلاگش مقصر دانست. یا اینکه Network Solutions را برای اینکه اجازه داد همچین اتفاقی بیافتد، خطا کار دانست.

البته به این هم دقت داشته باشید که وردپرس تنها “سیستم مدیریت محتوی” نیست که برخی اطلاعات حساس را به صورت ساده ذخیره می کند. اینکه Network Solutions را مقصر این اتفاق بدانیم، نیز درست نیست چرا که این اتفاق می توانست در هر میزبانی بیافتد.

– ضمنا شما می توانید permission فایل wp-config.php را به ۷۵۰ تغییر دهید(چطوری؟).

– نکته ی بسیار جالب: تنها ۶ آنتی ویروس این بدافزار را تشخیص دادند! Avast، AVG، DrWeb، GData، کاسپرسکی و Sunbelt

انتهای پیام/.

رضا، وبلاگ دنیای زیبای وب

  • احسان

    ممنونم از بابت این خبر

    من permission فایل wp-config.php را به ۷۵۰ تغییر دادم

    لطفا بفرمائید برای امنیت بیشتر دیگه چیکار کنم که خیالم راحت باشه؟

    بازم ممنونم از لطفتون

پاسخ دادن به احسان لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.

جایزه همراه اول