https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2015/12/ttn201512161547.html
Murretut Wordpress ja Joomla -sivustot ohjaavat haittaohjelmia jakaville sivustoille
16.12.2015 klo 15:47 - Päivitetty 18.12.2015 klo 14:33
Suomessa yleisesti käytössä olevat julkaisujärjestelmät Wordpress ja Joomla ovat verkkorikollisille houkuttelevia kohteita muun muassa haittaohjelmien levitystarkoitukseen. Julkaisujärjestelmiin kohdistuu jatkuvasti hyökkäyksiä automatisoiduilla työkaluilla. Mikäli verkkorikolliset löytävät haavoittuvan julkaisujärjestelmän, valjastetaan se haitalliseen tarkoitukseen.
Murretulle verkkosivustolle lisätään haitallinen uudelleenohjaus, joka pahimmillaan johtaa sivulla vierailevan käyttäjän laitteen saastumiseen haittaohjelmalla. Erityisesti tietoja salaavat kiristyshaittaohjelmat, kuten Cryptowall ovat rikollisten suosiossa.
Murrettuja sivustoja havaitaan Suomessa useita kymmeniä viikottain. Kyberturvallisuuskeskus ilmoittaa havaitut sivustot palveluntarjoajalle, joka puolestaan välittää ilmoituksen loppuasiakkaalle. Verkkosivun ylläpitäjä puhdistaa sivuston haitallisesta koodista sekä sivuille istutetuista takaovista. Murrettu sivusto altistaa kävijät haittaohjelmille kunnes sivu on puhdistettu.
Tietoturvayhtiö Sucuri julkaisi artikkelin, jossa kuvataan yhtä tapaa levittää haittaohjelmia murretun verkkosivun avulla. Samaa keinoa on käytetty paljon myös Suomessa. Artikkelissa kuvataan murretuille sivustoille lisättyä haitallista ohjelmakoodia sekä tiedostoja, joihin haitallinen koodi lisätään.
Haitallinen ohjaus on Wordpress-alustalla usein lisätty tiedostoon wp-includes/nav-menu.php ja Joomla-alustalla tiedostoon includes/defines.php. Näiden lisäksi verkkorikolliset jättävät takaoven yhteen tai useampaan eri tiedostoon palvelimella.
Mikäli alla olevia merkkijonoja löytyy palvelimen tiedostoista tai palvelimen tarjoamalta verkkosivulta, on sivusto todennäköisesti murrettu:
_PHP_SESSION_PHP
new Date().getTime() 60*60*24*7*1000
$cookie_name . '=' . mt_rand(1, 1024)
var a="'1Aqapkrv' and '00'02)'02' (satunnainen muuttujan nimi)
'<div id="mxcgokabue" style="display:none">ancga---- (satunnainen muuttujan nimi)
Tietomurron ja takaovien tuntomerkkejä voi etsiä palvelimen tiedostoista sekä lokeista seuraavilla tavoilla:
Erikoisen nimiset tiedostot www-rootissa, public_html-hakemistossa tai näiden alihakemistoissa.
Tiedostot, joiden aikaleimat poikkeavat muista tiedostoista.
Tietyt avainsanat tiedostojen sisällössä, jotka voivat viitata obfuskoituun koodiin tai järjestelmäkomentoihin.
Poikkeava määrä liikennettä sivustolle.
Poikkeuksellisia merkintöjä palvelinlokissa tai IDS:n lokeissa, esimerkiksi
tiedostoja, joita haetaan vain tietyllä User Agentilla tai erikoisilla parametreilla
kirjautumisia poikkeuksellisista sijainneista
pyyntöjä, joiden osana on tiedostojärjestelmän polku tai komento.
Tässä apua etsintään:
Etsi takaoviin liittyviä avainsanoja (kuten eval, base64_decode, shell_exec, preg_match) palvelimeltasi esimerkiksi Linuxin grep-työkalulla. Vinkkejä etsintään on muun muassa sivulla Finding Vulnerabilities .
Etsi tekstipohjaisia tiedostoja, joiden entropia on korkea (yli 5,5) esimerkiksi Linuxin entropy-työkalulla. Korkea entropia www-palvelimen tekstitiedostoissa (.php, .sh, .asp, .py, jne) viittaa obfuskoituun koodiin.
Huomioi, että osa hyväntahtoisiin tarkoituksiin käytetyistä skripteistä on voitu tarkoituksella tiivistää (ns. minifioida), jolloin niiden entropia on korkea. Tällaiset skriptit on usein nimetty päätteellä .min.js.
Edellä mainituissa etsinnöissä NeoPI-työkalu (Linux ja Windows). NeoPI on ladattavissa githubista ja sen käytöstä on ohje Infosec Instituten sivuilla.
Yllä olevat vinkit on julkaistu myös aiemmassa Tietoturva nyt! -artikkelissa Takaoven avulla palvelintasi käyttää joku muu.
Julkaisujärjestelmiä tulee ylläpitää ja päivittää aktiivisesti, sillä niistä löydetään jatkuvasti haavoittuvuuksia, joihin julkaistaan korjauksia. Myös julkaisujärjestelmien liitännäiset tulee päivittää ja tarpeettomat liitännäiset sekä teemat poistaa käytöstä.
Sivuston tietoturvan tarkistamiseen kannattaa käyttää myös Wordfencen tarkistuslistaa WordPress-sivustojen turvaamiseen. Osa ohjeista pätee myös muihin julkaisujärjestelmiin.
https://blog.sucuri.net/2015/12/evolution-of-pseudo-darkleech.html
https://heimdalsecurity.com/blog/ultimate-guide-angler-exploit-kit-non-technical-people/
Haittaohjelma tarttuu, vaikka et klikkaisi mitään - osa 1
Haittaohjelma tarttuu, vaikka et klikkaisi mitään - osa 2
Takaoven avulla palvelintasi käyttää joku muu
Tietomurrot blogeissa
ALERTNET
0
80
Vastaukset
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Heikki Silvennoinen petti vaimoaan vuosien ajan
Viiden lapsen isä Heikki kehuu kirjassaan kuinka paljon on pettänyt vaimoaan vuosien varrella.2814672Miksi ihmeessä nainen seurustelit kanssani joskus
Olin ruma silloin ja nykyisin vielä rumempi En voi kuin miettiä että miksi Olitko vain rikki edellisestä suhteesta ja ha282508- 242181
Persut nimittivät kummeli-hahmon valtiosihteeriksi!
Persujen riveistä löytyi taas uusi törkyturpa valtiosihteeriksi! Jutun perusteella järjenjuoksu on kuin sketsihahmolla.932176Onko ministeri Juuso epäkelpo ministerin tehtäviensä hoitamiseen?
Eikö hänellä ole kompetenttia hoitaa sosiaali- ja terveysministetin toimialalle kuuluvia ministerin tehtäviä?1291817Sakarjan kirjan 6. luku
Jolla korva on, se kuulkoon. Sain profetian 22.4.2023. Sen sisältö oli seuraava: Suomeen tulee nälänhätä niin, että se261462- 161442
Kenen etua Stubb ajaa Euroopassa ilmoittaessaan olevansa enemmän Ruotsalainen
Tasavallan presidentti Alexander Stubb kertoi ensimmäisellä valtiovierailullaan Ruotsissa, että hän ei ole koskaan tunte3431418Avaa sydämesi mulle
❤ ❤❤ Tahdon pelkkää hyvää sulle Sillä ilmeisesti puhumalla Avoimesti välillämme Kaikki taas selviää Kerro kaikki, tahdo361357Elia tulee vielä
Johannes Kastaja oli Elia, mutta Jeesus sanoi, että Elia tulee vielä. Malakian kirjan profetia Eliasta toteutuu kokonaan351247