הצד הטכני של התקפת הסייבר
-
-
קיבלתי:
רן בר זיק בטוויטר:
אתרים רבים של לקוחות של חברת יופרס - הורדו מהאוויר. חלק מהם הושחתו (לא נפרצו) על ידי האקרים משועממים עם הסרטונים הדביליים שלהם.ההודעה שפרסמה יופרס ללקוחות:
מה שמעניין הוא שהדף שנכנס במקום האתר מכיל קוד שמצלם את המשתמש (צריך לאשר מצלמה) ושולח את המידע לסקריפט בספק האחסון (שכבר ירד משם).
והנה עוד כמה פרטים. שימו לב - פרטים ראשוניים שהוקלדו תחת לחץ.
התוקפים החליפו בכל האתרים את הקובץ wp-includes/version.php - קובץ ליבה של וורדפרס שנטען בכל כניסה לאתר ומכיל ברגיל הגדרות של גרסאות בקובץ דומה אבל עם שתי תוספות לא חביבות.- כזו שכוללת את קוד ההשחתה שלהם >>
>> 2. תוספת שניה ולא חביבה מוחקת את מסד הנתונים של האתר. לחלוטין. אין לי את הקוד אבל יש לי צילום מסך. אפשר לראות את זה שם בבירור.
אנשים שמוקדם בבוקר עלו על זה והחליפו את הקובץ בקובץ תקין דיווחו שעד לפני שעה התוקפים שינו שוב את הקובץ. כלומר היתה להם גישה לעשות את זה >>
>> ליופרס יש כמה אתגרים - הראשון הוא להבין מאיפה התוקפים חדרו, השני הוא לשחזר את wp-includes/version.php לכל האתרים שלהם והשלישי הוא לשחזר את מסדי הנתונים של כל האתרים. במקביל להתמודד עם פניות של המון המון לקוחות.
בינתיים? הם מאשימים את האיראנים. זה תמיד עובד >>>> אם נכנסתם בטעות לאתר שנפרץ - לא נגרם נזק (גם אם אישרתם את המצלמה). צאו ממנו.
אם אתם בעלי האתר - אין לכם כרגע מה לעשות. יופרס טענו בהודעה שלהם שיש להם גיבויים.
וכן, מערך הסייבר יודע מזה - אין מה להתקשר אליהם.
ולא, לא בטוח שזה האיראנים ובדרך כלל מדינות לא עובדות ככה. >>>> האם לעזוב את יופרס, לתבוע אותם? לא. תקלות כאלו יכולות לקרות לכל אחד. קחו אוויר, הרבה אוויר. חברה נמדדת באיך היא מגיבה לאירוע כזה. להיות שקופים כלפי הלקוחות, לפרסם דו״ח פורנזי מסודר ולעמוד מאחורי הבעיה הן מה שהחברה צריכה. בוא נקווה שזה מה שהם יעשו.
מקור:
https://twitter.com/barzik/status/1263386043711094784?s=19 -
-
@dovid
לא הכללתי
רק הסברתי למה זה יכול להיות שהרוב שם אתרים חרדים (בהרבה מקרים הבונה הוא גם חרדי)אני אישית החלפתי את הקבצים ששונו בהתקפה והבוקר זה עבד יפה ואילו עכשיו האתר נסגר טוטלי.... אפ' את העמוד נחיתה היפה שלהם אין, פשוט אין גישה...
בטיפשוטי מרוב לחץ אפי' לא גיביתי את הקבצים.. ועכשיו אין אליהם גישה...
-
-
-
-
@dovid
אם מדובר בשרת מכונה משותפת
עם אפאצי וכדו
רק צריך להגדיר בכל הכתובות הפניה לדף בודד
אבל אם מדובר בVPS הם צריכים לכאורה להיכנס להגדרות של כל מכונה בנפרד ולהגדיר שם את אותה הגדרה
האם יש הבדל או שברגע שאתה על השרת אתה יכול לגשת לכל המכונות באופן חופשיאו שאני אשאל את זה באופן אחר
זה ברור לי שמנהל אחסון שרתים שיתופי עם CPANEL
יכול לגשת ברגע לכל הנתונים שלי
ואם מישהו מצליח לפרוץ את החשבון מנהל
הוא שולט ברגע על כל האתרים
האם זה כך גם בVPS? -
@nigun בVPS יש לו גישה פיזית לקבצים, אז כן הוא יכול.
אמנם קבצים מוצפנים הוא לא יכול לקרוא, אבל אני לא מכיר איך מצפינים בלינוקס (בwindows זה לסמן וי במאפיינים), וגם לא ראיתי שעושים זאת. וגם זה לא יעור מאומה מכתיבה דורסת של קובץ PHP אחר.
לפי מה ששמעתי על התקיפה לא בטוח שהיה להם בשום שלב גישה ממש לשרת, אלא רק לקבצי הPHP. הם תיאורטית הצליחו לעלות גירסה אחרת של קובץ הרצה שהסב נזקים. השאלה איך הם עשו את זה לכל האתרים בשלב הראשון לא קשה כי ייתכן שכולם חלקו את אותה פירצה (שהיא אולי שילוב בין תוסף לבין חולשה במכונות של uPress, או נטו תוסף אבל שרק לקוחות uPress שמו - הבנתי שאכן היה כזה דבר) והם עשו זאת לאחד אחרי השני,
אבל בהתקפה השניה ואלה שאחריה נראה שכן היה גישה פיזית.מנטור אישי למתכנתים (ולא רק) – להתקדם לשלב הבא!
בכל נושא אפשר ליצור קשר dovid@tchumim.com
-
-
@nigun אמר בהצד הטכני של התקפת הסייבר:
@dovid
לא מספיק לפרוץ את החשבון מנהל של השרת?
לא צריך גישת SSH בשביל להפיל שרת PHP.למיטב ידעתי הם לא הפילו, הם שוב כתבו קובץ PHP.
מי שהפיל זה uPress כדי להפסיק את ההתקפה.
לא הבנתי מה הקשר גישת ssh, לא היה להם בשום שלב מן הסתם גישה לssh. -
-
@nigun אמר בהצד הטכני של התקפת הסייבר:
לכאורה
זוכרני מפעם שיש איזו טכניקה להריץ פקודות sh עם php ע"י שהקובץ php פונה לקובץ בסיומת sh ואז זה כאילו שהורץ בטרמינל. אז לא צריך גישת ssh ממש. השאלה היא יותר שהרי אמור להיות שלכל יוזר יש את ההרשאות שלו וא"כ איך הצליחו להגיע לכל הרשת.
אולי לפי מה ש@dovid כתב אז בפעם הראשונה הפריצה היתה עם התוסף - ואז אולי הם קיבלו את הפרטים של הגישה, (כנראה שהסיסמאות הם לא חד צידיות). וככה יכלו לגשת בפעם השניה בצורה ישירה.
יתכן?
