https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2015/12/ttn201512161547.html
Murretut Wordpress ja Joomla -sivustot ohjaavat haittaohjelmia jakaville sivustoille
16.12.2015 klo 15:47 - Päivitetty 18.12.2015 klo 14:33
Suomessa yleisesti käytössä olevat julkaisujärjestelmät Wordpress ja Joomla ovat verkkorikollisille houkuttelevia kohteita muun muassa haittaohjelmien levitystarkoitukseen. Julkaisujärjestelmiin kohdistuu jatkuvasti hyökkäyksiä automatisoiduilla työkaluilla. Mikäli verkkorikolliset löytävät haavoittuvan julkaisujärjestelmän, valjastetaan se haitalliseen tarkoitukseen.
Murretulle verkkosivustolle lisätään haitallinen uudelleenohjaus, joka pahimmillaan johtaa sivulla vierailevan käyttäjän laitteen saastumiseen haittaohjelmalla. Erityisesti tietoja salaavat kiristyshaittaohjelmat, kuten Cryptowall ovat rikollisten suosiossa.
Murrettuja sivustoja havaitaan Suomessa useita kymmeniä viikottain. Kyberturvallisuuskeskus ilmoittaa havaitut sivustot palveluntarjoajalle, joka puolestaan välittää ilmoituksen loppuasiakkaalle. Verkkosivun ylläpitäjä puhdistaa sivuston haitallisesta koodista sekä sivuille istutetuista takaovista. Murrettu sivusto altistaa kävijät haittaohjelmille kunnes sivu on puhdistettu.
Tietoturvayhtiö Sucuri julkaisi artikkelin, jossa kuvataan yhtä tapaa levittää haittaohjelmia murretun verkkosivun avulla. Samaa keinoa on käytetty paljon myös Suomessa. Artikkelissa kuvataan murretuille sivustoille lisättyä haitallista ohjelmakoodia sekä tiedostoja, joihin haitallinen koodi lisätään.
Haitallinen ohjaus on Wordpress-alustalla usein lisätty tiedostoon wp-includes/nav-menu.php ja Joomla-alustalla tiedostoon includes/defines.php. Näiden lisäksi verkkorikolliset jättävät takaoven yhteen tai useampaan eri tiedostoon palvelimella.
Mikäli alla olevia merkkijonoja löytyy palvelimen tiedostoista tai palvelimen tarjoamalta verkkosivulta, on sivusto todennäköisesti murrettu:
_PHP_SESSION_PHP
new Date().getTime() 60*60*24*7*1000
$cookie_name . '=' . mt_rand(1, 1024)
var a="'1Aqapkrv' and '00'02)'02' (satunnainen muuttujan nimi)
'<div id="mxcgokabue" style="display:none">ancga---- (satunnainen muuttujan nimi)
Tietomurron ja takaovien tuntomerkkejä voi etsiä palvelimen tiedostoista sekä lokeista seuraavilla tavoilla:
Erikoisen nimiset tiedostot www-rootissa, public_html-hakemistossa tai näiden alihakemistoissa.
Tiedostot, joiden aikaleimat poikkeavat muista tiedostoista.
Tietyt avainsanat tiedostojen sisällössä, jotka voivat viitata obfuskoituun koodiin tai järjestelmäkomentoihin.
Poikkeava määrä liikennettä sivustolle.
Poikkeuksellisia merkintöjä palvelinlokissa tai IDS:n lokeissa, esimerkiksi
tiedostoja, joita haetaan vain tietyllä User Agentilla tai erikoisilla parametreilla
kirjautumisia poikkeuksellisista sijainneista
pyyntöjä, joiden osana on tiedostojärjestelmän polku tai komento.
Tässä apua etsintään:
Etsi takaoviin liittyviä avainsanoja (kuten eval, base64_decode, shell_exec, preg_match) palvelimeltasi esimerkiksi Linuxin grep-työkalulla. Vinkkejä etsintään on muun muassa sivulla Finding Vulnerabilities .
Etsi tekstipohjaisia tiedostoja, joiden entropia on korkea (yli 5,5) esimerkiksi Linuxin entropy-työkalulla. Korkea entropia www-palvelimen tekstitiedostoissa (.php, .sh, .asp, .py, jne) viittaa obfuskoituun koodiin.
Huomioi, että osa hyväntahtoisiin tarkoituksiin käytetyistä skripteistä on voitu tarkoituksella tiivistää (ns. minifioida), jolloin niiden entropia on korkea. Tällaiset skriptit on usein nimetty päätteellä .min.js.
Edellä mainituissa etsinnöissä NeoPI-työkalu (Linux ja Windows). NeoPI on ladattavissa githubista ja sen käytöstä on ohje Infosec Instituten sivuilla.
Yllä olevat vinkit on julkaistu myös aiemmassa Tietoturva nyt! -artikkelissa Takaoven avulla palvelintasi käyttää joku muu.
Julkaisujärjestelmiä tulee ylläpitää ja päivittää aktiivisesti, sillä niistä löydetään jatkuvasti haavoittuvuuksia, joihin julkaistaan korjauksia. Myös julkaisujärjestelmien liitännäiset tulee päivittää ja tarpeettomat liitännäiset sekä teemat poistaa käytöstä.
Sivuston tietoturvan tarkistamiseen kannattaa käyttää myös Wordfencen tarkistuslistaa WordPress-sivustojen turvaamiseen. Osa ohjeista pätee myös muihin julkaisujärjestelmiin.
https://blog.sucuri.net/2015/12/evolution-of-pseudo-darkleech.html
https://heimdalsecurity.com/blog/ultimate-guide-angler-exploit-kit-non-technical-people/
Haittaohjelma tarttuu, vaikka et klikkaisi mitään - osa 1
Haittaohjelma tarttuu, vaikka et klikkaisi mitään - osa 2
Takaoven avulla palvelintasi käyttää joku muu
Tietomurrot blogeissa
ALERTNET
0
82
Vastaukset
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Katso: Ohhoh! Miina Äkkijyrkkä sai käskyn lähteä pois Farmi-kuvauksista -Kommentoi asiaa: "En ole.."
Tämä oli shokkiyllätys. Oliko tässä kyse tosiaan siitä, että Äkkijyrkkä sanoi asioita suoraan vai mistä.... Tsemppiä, Mi1897566- 424362
Poliisiauto Omasp:n edessä parkissa
Poliisiauto oli parkissa monta tuntia Seinäjoen konttorin edessä tänään. Haettiinko joku tai jotain pankista tutkittavak262145Haluan jutella kanssasi Nainen
Olisiko jo aika tavata ja avata tunteemme...On niin paljon asioita joihin molemmat ehkä haluaisimme saada vastaukset...O192069Onko mies niin,
että sinulle ei riitä yksi nainen? Minulle suhde tarkoittaa sitoutumista, tosin eihän se vankila saa olla kummallekaan.271899Armi Aavikko Malmin hautausmaa
Haudattiinko Armi arkussa Malmin hautausmaalle vai tuhkattiinko hänet? Kuka tietää asiasta oikein?371708Voitasko leikkiä jotain tunnisteleikkiä?
Tietäisi ketä täällä käy kaipaamassa.. kerro jotain mikä liittyy sinuun ja häneen eikä muut tiedä. Vastaan itsekin kohta771706Haluisin suudella ja huokailla
ja purra kaulaasi ja rakastella sinua. Haluisin puristella rintojasi ja pakaroitasi. Ei sinulla taida olla kuitenkaan ni221649Tietysti jokainen ansaitsee
Hän varmasti ansaitsee vain parasta ja sopivinta tietenkin, suon sen onnen hänelle enemmän kuin mielelläni. Aika on nyt171613Miksi näin?
Miksi vihervassut haluaa maahan porukkaa jonka pyhä kirja kieltää sopeutumisen vääräuskoisten keskuuteen? Näin kotoutumi391438