Corellialla on uusi osoite! Löydät meidät syyskuun alusta lähtien osoitteesta Kalevankatu 9, 00100 Helsinki, Hotelli Tornin kanssa samassa korttelissa. 

Tiedustelut myynti@corellia.fi tai 040 7070 202

Hakkereita ja harmia

Olen viime viikon aikana saanut avunpyyntöjä kahdelta eri taholta. Kummallakin oli ongelmana sivuston hakkerointi. Toisella saitilla oli tehty ihan haittaa, eikä sivusto ollut enää lainkaan saavutettavissa, vaan käyttäjälle näytettiin toisen saitin sisältöä.  Toisessa tapauksessa on hakkeri vain hankkinut itselleen sulan hattuun näyttämällä käyneensä sivulla.

Case 1: sivusto pois pelistä

Kyseinen sivusto on ollut hyökkäyksien kohteena aiemminkin. Silloin sivuille ilmestyi nettipelikasinoiden mainoksia. Sivuston navigaatio katosi, joten muu sisältö kuin etusivu jäi näkymättä. Varsinainen sisältö yleensä säilyy sillä se on tallessa tietokannassa. Silloin annoin ohjeita korjauksiin ja sivuston tekijä noudatti osaa niistä. Epäilin, että tilanne tulee vielä toistumaan. Niinhän se toistui. Tällä kertaa vaan niin, ettei sivustolle päässyt enää edes kirjautumaan.

Viimeviikon tapauksessa sivusto latautui ensin näkyviin mutta siirtyi hyvin pian toiseen osoitteeseen. Sivuston sai latautumaan jos esti JavaScriptin suorittamisen. Mutta… Koska sivuston kirjautuminen oli toteutettu erillisellä plugin –lisäosalla joka käyttää JavaScriptiä ei sivuston ylläpitonäkymään päässyt lainkaan.  Alla video, jossa näkyy sivuston siirtyminen hakkerin määrittämään toiseen sivustoon.

Videolla laitan osoiteriville ensin hakkeroidun sivuston osoitteen, johon selain siirtyy. Muutamassa sekunnissa sivun latautumisen jälkeen selain siirtyy kuitenkin toiselle sivustolle. Tämä oli tehty muokkaamalla WordPressin muutamia PHP -tiedostoja.

Case 1 korjaus

Sain sivuston takaisin toimintaa vasta saatuani tunnukset palvelimelle jossa aloin tutkimaan WordPressin tiedostoja. Mitä on muutettu ja missä välissä vieras toiminta alkaa sivuilla. Seuraamalla sivun lataukseen tarvittavien php-tiedostojen ketjua löysin varsin pian muutetut tiedostot ja sain palautettua ne entiselleen. Sivusto toimi mutta vielä oli tehtävä korjaushommia linkityksiin ja kuviin sekä muutamiin muihin määrityksiin

Sivusto on nyt jälleen linjoilla mutta uskon sen joutuvan jonain päivänä jälleen murron kohteeksi. Tämä ei ollut ensimmäinen kerta, eikä varman viimeinenkään. Olen suositellut sivuston omistajalle täysin uutta asennusta. Tällainen moneen kertaan hakkeroitu sivusto olisi syytä korjata kunnolla.

Case 2 yksi sulka lisää hakkerin hattuun

Tässä toisessa tapauksessa kyseessä on sivusto, jota ei ole vielä julkisesti otettu käyttöön mutta asennukset on tehty jo joitain kuukausia sitten. Viime perjantaina minulle kerrottiin, että siellä on todennäköisesti ollut joku vierailija. Näin olikin.

Tällä kertaa ainoa näkyvä muutos oli se, että sivuston pääkäyttäjän käyttäjänimi oli muutettu nimeksi ’crack’. Tiedoksi, että wordpressissä ei voi kertaalleen luodun käyttäjän käyttäjänimeä enää muuttaa. Ainoa tapa muuttaa sitä on pääsy suoraan sivuston käyttämään tietokantaan ja muuttaa se siellä. WordPressin hallinnasta ei ole siihen mahdollisuutta.

Tässä tapauksessa hakkeri on vain halunnut näyttää päässeensä palvelimelle  mutta muuta harmia ei ollut tehty.  Ehkä kyseessä on vain pisteiden kerääminen joissain piireissä ja yksi sulka lisää hakkerin hattuun.

Koska sivusto oli vasta testi- ja tutustumiskäytössä, ehdotin sillekin uutta asennusta. Tällä kertaa alkuperäinenkin asennus oli tehty melkein ohjeideni mukaan mutta ei täysin.

Kuka, miten ja miksi?

Case 1 tapauksessa kyseessä lienee skripteillä tapahtunut automaattinen murto. Skripti hakee WordPress sivustoja ja sellaisen löytäessään kokeilee siihen ohjelmoituja konsteja päästä muuttamaan sisältöä. Jos skripti onnistuu on tuloksena jokin automaattisesti tehty muutos. Siksi tällaiset hakkeroinnit näyttävät varsin rujoilta. Osa sisällöstä on muutettu mutta sivustoa ei ole otettu kokonaan haltuun. Tosin tässsä ekassa tapauksessa tavallaan oli.

Case 2 olikin sitten hankalampi ja uhkaavampi. Ihan vain siksi, että kyseessä oli vain hienovarainen osoitus että palvelimella ollaan käyty.  Tulkitsen tapauksen myös sellaiseksi, että sen on tehnyt todennäköisemmin joku ihminen tarkoituksella. Ei automatisoitu skripti.

Kysymykseen miksi tällaista tehdään ei voi vastata yksiselitteisesti. Näissä kahdessa edellä mainitussa tapauksessa on molemmissa eri vaikuttimet. Toisella pyritään ohjaamaan liikennettä toiselle sivulle. Intressit ovat joko taloudelliset tai muiden mahdollisten haittaohjelmien levittäminen. Jälkimmäisessä tapauksessa kyse on ilmeisemmin ollut taidonnäytteestä ilman hyötymistarkoitusta.

Sivustosta turvallinen

Heti alkuun on todettava, että täysin turvallista, ’hack proof’ sivustoa ei olekaan. Viime viikkojen aikana olemme kuulleet uutisissa Suomen ulkoministeriön tietomurrosta, Adoben käyttäjätietojen varastamisesta, NASA:n ja USA:n puolustusvoimien joutumisesta tietomurron kohteekse. Joka NSA:n järjestelmiin on murtauduttu.

Eli jos jollakin on riittävän suuri intressi ja riittävästi resursseja (osaamista), voidaan mikä tahansa järjestelmä murtaa. Täydellisen turvallista verkkoon liitettyä järjestelmää ei ole.

Jokaisen kannattaisi kuitenkin tehdä sivustonsa turvaamiseksi ainakin sellaiset toimenpiteet, joilla voidaan estää suurin osa hyökkäyksiltä.

Hardening your WordPress

WordPress asennuksen jälkeen tulee parantaa oletusasennuksen jäljiltä tietoturvaa. Aihe on liian kattava yhden blogipostauksen aiheeksi. Mikäli ylläpidät tai suunnittelet ottavasi käyttöön WordPressiä, käy nyt lukemassa ainakin codex:sta ohjeita http://codex.wordpress.org/Hardening_WordPress

Tälläistä tällä kertaa. Muistakaa ottaa varmistukset sekä sivustolle tietokannasta että koko sivustosta. On nimittäin helpompi palauttaa ajantasaisista varmistuksista kuin tehdä kokonaa uusiksi.