Kun sivustoa vastaan hyökätään, se on yleensä bottien riehumista eikä henkilökohtainen hyökkäys, mikä on hyvä tietää ja muistaa. Botit eivät kuitenkaan nuku, ja ne iskevät sivustollesi jatkuvasti, löytävät aukon, hyödyntävät sitä ja jatkavat samaa väsähtämättä.

Eräässä tapauksessa siivosimme pienen verkkosivuston, jonka sisällön loppuun oli lisätty roskapostilinkkejä, ja siivouksen ja asennuksen tsekkauksen jälkeenkin linkit ilmestyivät uudelleen.

Näkyvät linkit

Sisällön lisääminen oli tässä tapauksessa kohtuullisen fiksusti tehty. Linkit piilotettiin kirjautuneilta käyttäjiltä, jotta ylläpitäjät ja muut sivustolla useammin vierailevat käyttäjät eivät näkisi niitä lainkaan.

Linkit näytettiin myös satunnaisesti. Joskus ne näkyivät, kun sivu latautui, seuraavalla kerralla eivät lainkaan. Tämä on hyvä tapa haittaohjelmille kiertää havaitseminen ja hämmentää haittaohjelmien skannereita.

Toistuva infektio

Pluginien ja valmiiden teemojen ylikuormitus on yleensä suurin syypää tietoturva-aukkoihin ja haavoittuvuuksiin, mutta kyseinen sivusto oli jo virtaviivaistettu. Ydin oli ajan tasalla. Lisärit olivat ajan tasalla, ja niihin oli myös asennettu WAF.

Kun olimme palauttaneet puhtaan varmuuskopion ja varmistaneet, että kaikki oli mahdollisimman turvallista (omassa hostauksessa ilman DNS-suojausta), otimme seuranta- ja lokitiedot käyttöön ja kävimme sivustolla seuraavana päivänä. Se oli jälleen saanut tartunnan.

Ongelman ratkaiseminen

Palautimme taas puhtaan varmuuskopion. Poistimme ja kirjoitimme yli kaikki WP:n ydintiedostot uudelleen (ne on poistettava ensin, siltä varalta että kansioissa on ylimääräisiä tiedostoja). Suoritimme myös tiedostojen eheyden tarkistuksen, jossa verrataan plugin- ja teematiedostoja WP:n arkistossa oleviin tiedostoihin. Kovensimme WAF:ia entisestään.

Loimme myös mukautetun lisäosan, joka löysi haittaohjelman allekirjoituksen sivustolta. Jos haittaohjelma ilmaantui uudelleen, lisäosa piilotti sen kävijöiltä ja varoitti meitä. Lisäosa oli väliaikainen ratkaisu, mutta oli myös mukava tietää, että haittaohjelma ei näkyisi kävijöille edes sekunnin ajan.

Onneksi lisäosa ei lopulta koskaan laukaissut hälytystä, mikä johtui todennäköisesti siitä, että vuotava lisäri oli korjattu sen muutaman päivän aikana, jolloin seurasimme sivustoa.

Tämä tapaus osoitti, että vaikka tekisi kaiken oikein, on silti tekijöitä, joihin ei voi vaikuttaa. Tärkeintä on minimoida riskit valvomalla ja toimimalla mahdollisimman ennakoivasti sekä hankkimalla mahdollisimman paljon varajärjestelyjä pahimman varalle.

Kuva: Hannes Johnson @ Unsplash