Tapaustutkimus: Roskapostilinkkien syöttö sivustolle

Miten puhdistimme verkkosivuston, jonka sisällön loppuun oli lisätty roskapostilinkkejä, jotka tarttuivat yhä uudelleen ja uudelleen.

Written by: Lisa Karvonen on
Categories: Case Studies, Tietoturva
Tagged: , , ,

Kun sivustoa vastaan hyökätään, se on yleensä bottien riehumista eikä henkilökohtainen hyökkäys, mikä on hyvä tietää ja muistaa. Botit eivät kuitenkaan nuku, ja ne iskevät sivustollesi jatkuvasti, löytävät aukon, hyödyntävät sitä ja jatkavat samaa väsähtämättä.

Eräässä tapauksessa siivosimme pienen verkkosivuston, jonka sisällön loppuun oli lisätty roskapostilinkkejä, ja siivouksen ja asennuksen tsekkauksen jälkeenkin linkit ilmestyivät uudelleen.

Näkyvät linkit

Sisällön lisääminen oli tässä tapauksessa kohtuullisen fiksusti tehty. Linkit piilotettiin kirjautuneilta käyttäjiltä, jotta ylläpitäjät ja muut sivustolla useammin vierailevat käyttäjät eivät näkisi niitä lainkaan.

Linkit näytettiin myös satunnaisesti. Joskus ne näkyivät, kun sivu latautui, seuraavalla kerralla eivät lainkaan. Tämä on hyvä tapa haittaohjelmille kiertää havaitseminen ja hämmentää haittaohjelmien skannereita.

Toistuva infektio

Pluginien ja valmiiden teemojen ylikuormitus on yleensä suurin syypää tietoturva-aukkoihin ja haavoittuvuuksiin, mutta kyseinen sivusto oli jo virtaviivaistettu. Ydin oli ajan tasalla. Lisärit olivat ajan tasalla, ja niihin oli myös asennettu WAF.

Kun olimme palauttaneet puhtaan varmuuskopion ja varmistaneet, että kaikki oli mahdollisimman turvallista (omassa hostauksessa ilman DNS-suojausta), otimme seuranta- ja lokitiedot käyttöön ja kävimme sivustolla seuraavana päivänä. Se oli jälleen saanut tartunnan.

Ongelman ratkaiseminen

Palautimme taas puhtaan varmuuskopion. Poistimme ja kirjoitimme yli kaikki WP:n ydintiedostot uudelleen (ne on poistettava ensin, siltä varalta että kansioissa on ylimääräisiä tiedostoja). Suoritimme myös tiedostojen eheyden tarkistuksen, jossa verrataan plugin- ja teematiedostoja WP:n arkistossa oleviin tiedostoihin. Kovensimme WAF:ia entisestään.

Loimme myös mukautetun lisäosan, joka löysi haittaohjelman allekirjoituksen sivustolta. Jos haittaohjelma ilmaantui uudelleen, lisäosa piilotti sen kävijöiltä ja varoitti meitä. Lisäosa oli väliaikainen ratkaisu, mutta oli myös mukava tietää, että haittaohjelma ei näkyisi kävijöille edes sekunnin ajan.

Onneksi lisäosa ei lopulta koskaan laukaissut hälytystä, mikä johtui todennäköisesti siitä, että vuotava lisäri oli korjattu sen muutaman päivän aikana, jolloin seurasimme sivustoa.

Tämä tapaus osoitti, että vaikka tekisi kaiken oikein, on silti tekijöitä, joihin ei voi vaikuttaa. Tärkeintä on minimoida riskit valvomalla ja toimimalla mahdollisimman ennakoivasti sekä hankkimalla mahdollisimman paljon varajärjestelyjä pahimman varalle.

Kuva: Hannes Johnson @ Unsplash

Lisa Karvonen

Kirjoittaja: Lisa Karvonen

Lissu on full-stack-kehittäjä, joka aloitti työskentelyn WordPressin parissa vuonna 2004. Siitä lähtien hän on koodannut lisäosia, teemoja ja sovelluksia yrityksille ja organisaatioille sekä WordPressissä, Multisite-järjestelmässä että muissa PHP/MySQL-sovelluksissa.

Hän alkoi kehittää WP-Ensure-alustaa vuonna 2017 vastauksena asiakassivustojen hyökkäyksiin, ja on siitä lähtien jatkuvasti kehittänyt ja laajentanut yritystä ja alustaa.

Hän on alun perin kotoisin Skotlannista, mutta asuu Suomessa miehensä, poikansa, kahden koiransa, kahden kissansa ja riutta-akvaarionsa kanssa.

Quick Security Audit

Our quick website security audit instantly checks for common issues and delivers a detailed report to your inbox. No hassle, just clear insights.

Käytämme parasta

Alue- ja kielivaihtoehdot

Pidämme verkkosivustosi Helsingissä taataksemme yksityisyyden, nopeuden ja turvallisuuden.

Valitse alueesi ja kielesi alla:

U.S.A.

Yhdysvaltojen kansallislippu.
English

UK

The Union Jack.
English

Suomi

Suomen kansallislippu.
Suomi