O que fazer quando o seu blog sofre um ataque?

Escrito em: 16-07-2008
Por: Paulo Faustino
Inserido em: Sobre o Wordpress

(9 votos, média: 4.78 de 5)

Loading ...

Envie o post para um Amigo!

Imprima este Post

Novo aqui no blog ? Talvez queira subscrever o nosso RSS Feed Completo ?

Se é um leitor extremamente regular aqui do blog, certamente deverá ter-se apercebido dos problemas que tive com ele desde as 7h da manhã, altura em que ainda estava acordado e a batalhar contra um exploit que minou aqui o blog de código malicioso e me destruiu enúmeras pastas e ficheiros.
O alerta foi dado inicialmente pelo colega Tico Alves a quem agradeço do fundo do coração, caso contrário nem teria reparado no que se estava a suceder, porque estava online, mas a trabalhar em projectos de clientes, pelo que nem tinha o separador do Fique-Rico aberto. Ao menos estava online e consegui recepcionar o email do Tico e analisar logo de seguida o problema.

A brecha foi executada a partir do servidor onde estamos alojados, porque ao que parece o exploit foi também colocado no servidor, que por sua vez estava a dar um erro de sistema sempre que alguém entrava num dos sites alojados na companhia. Como o meu AVG não me notificou do problema, fiquei a sabê-lo por intermédio do colega João Ferrão, a quem também agradeço a preocupação de me alertar para o problema. Foi através dele que consegui realmente percepcionar a dimensão do problema e o que se estava a passar, e rapidamente coloquei a informação em contacto com o sysadmin que em poucos minutos resolveu o problema e removeu o exploit do servidor. Até essa data, nem a conecção RSS entre o blog e o Feedburner funcionava, o que representa sempre um problema gravissimo. Mais tarde foi o colega Muhammad que me contactou também a reportar a situação do aviso de virus.

Este é o exploit que foi executado aqui no blog e que remete para uma página “pinoc.org”.

Mas então como é que resolveste o problema Paulo?
Antes de tudo tenho tentado ser um profissional mais ou menos cauteloso, e independentemente de em 3 semanas ter tido diversas adversidades, a verdade é que nenhuma me mandou abaixo simplesmente porque sou cauteloso e protego-me contra eventuais problemas deste tipo. Isso quer dizer que na verdade em tinha backups de todos os ficheiros base do meu blog wordpress com data de dia 7, e que não sofreram alterações até ao dia de hoje, e tinha também um backup da base de dados do blog com a data de ontem.

O ensinamento do passado serve como exemplo
Na semana passada relatei os problemas de alojamento que levaram à suspensão da actividade do blog por cerca de 34 horas, onde expressei uma série de ensinamentos acerca das atitudes a tomar em situações de crise como estas. Os backups são certamente uma das maiores prevensões que existem contra problemas deste tipo, e avanço mesmo com a ideia de que os backups dos servidores de alojamento não são suficientes para a sua segurança. Porquê? - Porque os backups de um servidor são geralmente feitos de 24 em 24 horas e sobrepostos uns sobre os outros, ou seja, você terá sempre um backup das últimas 24 horas, mas nunca nenhum antes desse. Isso significa também, que poderá haver azar, porque se a sua empresa de alojamentos tiver o backup programado para as 5h da manhã, e você for atacado às 4h ou às 4h30 da manhã, o servidor vai fazer uma gravação de um backup danificado, isto se você não conseguir actuar antes do backup ser feito, logicamente.
Quero com isto dizer que a segurança ao nível de backups em servidores é ainda muito limitativa e não permite que vivamos descansados quanto a potenciais ataques como este.

Análise do exploit e remoção de código malicioso
O pior deste tipo de ataques de exploit, é a injecção de código malicioso um pouco por todo o template do seu blog. Isso significa que o acto é feito em diversas páginas, e você terá invariavelmente de as correr a todas para saber onde está alojado o código.
A edição de ficheiros faço-a normalmente com o editor notepad++ que é gratuito e fantástico, e geralmente como tenho backups, comparo a data de edição de ficheiros, o seu peso e também o código que eles tinham e que têm neste momento. Fazendo uma comparação é mais fácil chegar-se a uma conclusão.

O Firefox tem uma ferramenta interna que poderá ajudar imenso a encontrar exploit’s e endereços URL não solicitados dentro dos seus ficheiros e templates wordpress. Abra o separador Ferramentas (Tools), depois clique em Informação de Página (Page Info) e de seguida escolha Links. Analise bem os agrupamentos de links e veja se nenhum deles é malicioso. Pode ler mais instruções sobre como proteger-se contra um hackeamento no seu template neste artigo do Wordpress-Love.

Novas medidas de segurança e análise profunda do problema
Há medida que o tempo vai passando vou-me apercebendo do real problema que este exploit foi e dos estragos que está a fazer a todos os clientes alojados no servidor Alpha onde eu também estou alojado. O exploit entrou pelo servidor primeiramente, e depois acedeu a todos os clientes que nele se encontravam, e minou todos os websites e blogs de código malicioso, o que significa que grande parte dos meus outros blogs também estão minados com código malicioso que terei de limpar “à mão” já de seguida.

Com a hiper-sensibilidade com que se fica quando um problema destes acontece, já tratei de fazer a análise de ficheiros 1 a 1 aqui no Fique-Rico e removi todos os iframes que esse exploiter me colocou no blog. No entanto poderá ter escapado qualquer coisa, pelo que se por ventura encontrar alguma coisa ou o seu anti-virus detectar algum virus, por favor comunique-me através da secção de contactos do blog, ou para o email: geral [at] fique-rico.com.

Entretanto aproveitei para actualizar o core do blog para o novo Wordpress 2.6 Final, actualizei todos os plugins para as últimas versões e até ver não foram necessários fazer ajustes de compatibilidade tanto em Internet Explorer 7 como em Firefox. Se por ventura encontrar algum elemento do blog fora do sítio ou desenquadrado por favor contacte também.
Este novo Wordpress 2.6 apresenta algumas melhorias interessantes, especialmente ao nível da segurança, com protocolos SSL e encriptação de dados de maior qualidade. Esperemos que seja possível evitar mais problemas com a actualização também.

Analisar o exploit e o seu comportamento
Geralmente os exploits trabalham com um padrão bastante semelhante em todos eles. Promovem conteúdo ou websites ilícitos e actuam em ficheiros standard dos blogs e websites, como o footer.php, index.php, header.php, entre outros.
A actualização do blog para uma nova versão é uma forma de limpar muitos ficheiros do Wordpress, o que pode ser uma grande vantagem para si, uma vez que evita andar manualmente a editar o código de todos os ficheiros ou a analisar o problema mais profundamente.
Depois disso deverá analisar o padrão de actuação do exploit e verificar de que forma ele actua. Aqui no blog actuou tanto em ficheiros primários como aqueles que indiquei em cima, como também alguns ficheiros de index.php de sub-pastas e também no código de alguns plugins. Os plugins foram seguramente um dos maiores problemas deste exploit, uma vez que estavam praticamente todos devidamente configurados e traduzidos para Português, pelo que ter de refazer esse trabalho todo novamente era impensável.

Proteja o seu blog Wordpress com plugins de Segurança

Hoje em dia toda a protecção é pouca pelo que proteger-se contra eventuais ataques à segurança do seu blog é extremamente importante. Recomendo-lhe que instale e faça uso de uma série de plugins de segurança no seu blog Wordpress, para evitar que o acesso aos seus dados seja fácil, e ocorra em situações deste tipo, que são tudo menos agradáveis.

1. WordPress Database Backup

Utilizo este plugin há algum tempo e embora seja bastante eficaz no envio de backups para o email, ainda não entendi muito bem como é que os backups são restaurados. Provavelmente se acontecer alguma coisa irá necessitar de ajuda a repor as bases de dados, mas…. o mais important é ter os dados!

2. Semisecure Login

Este plugin aumenta a segurança da caixa de login do Wordpress, uma vez que utiliza um módulo de encriptação de dados MD5 na password. Irá necessitar de JavaScript para que a encriptação dos dados funcione na perfeição. Se por ventura o Javascript não estiver a funcionar, poderá loggar na mesma.
A caixa de login é um dos meios mais fustigados pelos hackers e crackers que procuram recolher a sua informação de login para depois entrarem na sua conta Wordpress.

3. AskApache Password Protect

Este é um poderoso plugin que irá proteger o seu painel de Admin Wordpress com uma protecção de elevada qualidade ao nível do htaccess e por meio de password, prevenindo assim o acesso a bots e exploiters não solicitados.

4. WP Security Scan

Este fantástico plugin serve como scanner do seu blog, para procurar problemas de segurança e verificar as passwords de acesso ao seu blog, permissão de ficheiros, segurança da base de dados, possibilidade de esconder a versão Wordpress que utiliza, e ainda protecção e segurança para o seu painel de Administração.

Se gostou deste post, considere subscrever o nosso RSS Feed Completo!
Ou então Subscreva o Fique Rico por Email!

Faca uma doacao!

26 Comentários até ao momento..

Gattune! | July 16th, 2008

(subscrito aos comentários) Add karma

Opa!
Utilizo o WP Security Scan a algum tempo. Ele pede para montar um arquivo .htacess para a pasta WP-ADMIN, não encontrei muito artigo sobre esse tema na web, mas não um usuário comum poderia ter dificuldade em montá-lo

the best | July 16th, 2008

Tudo aconteceu muito rápido. Ainda bem que os amigos lhe avisaram e você pode avisar ao sysadmin, em algumas hospedagens tercerizadas você não tem acesso.

O mais importante é ter um bkp de tudo. Eu confesso que só faço backup total dos arquivos uma vez por semana e do banco de dados três vezes na semana. E Graças a Deus nunca precisei deles para nada.

the best publicou um post sobre..Esse é o nosso judiciário

Marcelo França | July 16th, 2008

Paulo, hoje cedo recebi esta mensagem de vírus pelo meu AVG este tal de ‘pinoc.org’ Mas eu tinha aberto várias abas no firefox.. e não consegui captar qual site tinha sido capturado no antivírus.
Mas que bom que agora tudo está resolvido.

Precisando de algo, pode contar comigo.

Abraço!

Marcelo França publicou um post sobre..Solução online para seu backup

Daniel | July 16th, 2008

Paulo verifique se não foi criado um novo usuário, muitas vezes ele não aparece na administração só podendo ver em analise as tabelas do banco de dados.

Daniel publicou um post sobre..Quando Começa as Olimpíadas 2008?

Diogo, D-Iglesias.com | July 16th, 2008

Ainda bem que já está tudo a funionar. Obrigado pelos plugins

Cumprimentos

Diogo, D-Iglesias.com

Diogo, D-Iglesias.com publicou um post sobre..O teu blog não presta quando…

Fernando (Mestre Zen) | July 16th, 2008

Cara, sabotar site do governo… blza! Roubar de instituições gigantes, até entendo. Mas o que um safado/canalha/salafrário ganha sacaneando um blog???? Me diz?
Revolta isso, viu? ¬¬

Fernando (Mestre Zen) publicou um post sobre..[Especial Cavaleiro das Trevas] As Origens de Batman

Diego teka | July 16th, 2008

so uma pessoa incapaz e invejosa pra agir dessa forma
ergua a cabeça e segue em frente sucesso!

joao ferrao | July 16th, 2008

a internet está cada vez mais cheia de pessoas com inveja dos projectos dos outros, é preciso ter muito cuidado com aquilo que nos gostamos e depositamos todo o nosso esforço. ainda bem que ja esta tudo resolvido, isso e que e importante.

com isto tudo, vou acabar por proteger melhor os meus projectos, deviam fazer o mesmo.

abraço [] Paulo

Celão | July 16th, 2008

(subscrito aos comentários) Add karma

Paulo,

É realmente terrível quando isso acontece.
Sua sorte foi ter sido avisado sobre o problema por um amigo.
Quando isso aconteceu comigo, o cliente (dono do site) havia percebido o problema e ligou pra mim revoltado da vida.
Imagina a trabalheira que deu tentar convence-lo de que não era uma falha do site/sistema que eu havia desenvolvido, e sim, de uma vulnerabilidade do servidor!

Realmente é muito chato isso…

Sobre o backup do Wordpress Database Backup, ele faz um DUMP da base de dados (formato SQL).
Para restaurar, basta ter um cliente mysql (MyManager, MysqlControlCenter, ou até mesmo o phpMyAdmin) e executar essa query com o banco vazio pra restaurar tanto a estrutura quanto os dados do backup.

Muito bom… utilizo ele…

Grande abraço e parabéns mais uma vez pelo post!

Celão

Alex | July 16th, 2008

É sem dúvida com estas lições de vida que ficamos mais fortes e nos concentramos ainda mais para que estas falhas não voltem a acontecer. Devemos sempre considerar todas as hipoteses e ouvir diversas opiniões antes de tomar uma atitude.

Que não volte a acontecer é o que te desejo. Abraço Paulo!

Katiero | July 16th, 2008

Que problema desagradável, sorte que estava com backups e não teve maiores problemas. Eu já tive problemas com servidor e tinha backups de tudo então foi fácil. Recomendo que utilize o próprio cPanel para realizar um backup, ou então salve o arquivo XML pelo próprio painel do WordPress, que é simples, rápido e já me salvou. Depois na nova instalação é somente ir até o painel e importar este XML e pronto, tudo no lugar, posts, páginas, comentários. Só não salva configurações de plugins e do próprio sistema, é preciso fazer tudo. Lembrando que você deve ter salvo a pasta uploads onde se encontram as imagens, caso tenha problemas é sempre bom ter isso salvo. Aqui os backups posso dizer que são em tempo real, e ainda rapidamente passo para o HD externo caso o HD do PC de algum problema.

Katiero publicou um post sobre..Não sou picareta, diz hacker que abre iPhone

Leandro Lourena | July 17th, 2008

é Paulo pra ter sucesso com blogs, tem que passar por cada uma heim.
mais pode ter certeza que cada vez mais seu blog vai crescer em meios a essa
dificuldades.

Eu não tenho costume de fazer backup no meu, vou começar a fazer agora.

abraços!!

Daniela | July 17th, 2008

Olá.

Desculpe não comentar a respeito de mais ums dos seus belíssimos textos. Estou com um prblema e não sei como resolvê-lo.

Eu uso o feedburn, e desde o dia 21 de junho ele não acrescenta minhas atualizações no blog nos feeds. o que eu faço?

Se puderes me ajudar, dar alguma dica ficaria muito agradecida.

Daniela publicou um post sobre..Batman vs The Dark Knight Trailer

Marcos Elias | July 17th, 2008

Valeu pela dica do plugin que protege o wp-admin!

Vai ser muito útil para mim. Eu já pensei em configurar o bloqueio manualmente no .htaccess mas acabei me confundindo sobre a configuração então não o fiz.

Quem tem IP fixo, uma boa é bloquear via .htaccess o acesso à administração para todos os IPs, deixando apenas o usado pelo dono do blog. Nessas horas, pena que a maioria das conexões residenciais não fornecem IP fixo. E outra, a mobilidade ficaria prejudicada, já que não seria possível se logar a partir de outro lugar.

Marcos Elias publicou um post sobre..Como definir ou alterar o remetente dos e-mails com a função mail do PHP

Tico Esteves | July 17th, 2008

Olá Paulo, tudo bem?

Agora está tudo bem sim (já respondi). Fiquei feliz em saber que ajudei!

Valeram as dicas, mais alguns plugins que ainda não conhecia, vou conferir.

Há, é Tico Esteves e não Alves

Um abraço e qualquer coisa pode contar comigo!

Tico Esteves publicou um post sobre..Liberdade de expressão - Eu gosto de blogar!

Muhammad | July 17th, 2008

Sempre usas o Nod também! ehehe

Abraço!

Paulo Frexinho | July 17th, 2008

(subscrito aos comentários) Add karma

Olá Paulo!
Ainda bem que conseguiste ultrapassar mais este revés!
A capacidade de organização e actuação que demonstras é um exemplo para muitos de nós!
Deste lado, parece-me que está tudo OK com o teu blogue.

Um abraço,
Paulo Freixinho

Paulo Frexinho publicou um post sobre..Dois meses de diHITT

15 coisas para fazer imediatamente no seu blog. Corra! | Fique Rico Online | July 17th, 2008

[...] desse tipo, mas se estiver em alojamento próprio, aconselho vivamente a instalação de alguns plugins de segurança para uma maior protecção. Não se esqueça que a protecção engloba não apenas a encriptação [...]

Marcos A.T. Silva | July 17th, 2008

(subscrito aos comentários) Add karma

Olá Paulo!

Que bom que conseguiu resolver todos os problemas, e sem perda de dado algum.

Abraços!

Marcos A.T. Silva publicou um post sobre..Nova versão do cliente Woopra lançada

Paulo Faustino | July 18th, 2008

@ Gattune
Obrigado pelo comentário colega. A vantagem do plugin é que facilita bastante a criação do ficheiro, algo que geralmente é complexo e muita gente não arrisca a fazer sozinho.

@ The Best
Obrigado pelo comentário colega. Penso que o colega tem os timmings errados. O banco de dados é o mais importante e o que sofre actualizações mais frequentemente, portanto, sugiro que faça backup dele todos os dias. É uma questão de um minuto ou dois.

@ Marcelo França
Obrigado pelo comentário colega. Agradeço a preocupação e ajuda.
Eu fui avisado por um colega que faz uso do NOD32 e me alertou para essa chamada de atenção do anti-virus.

@ Daniel
Obrigado pelo comentário e pela dica colega. Na verdade o ataque foi central, ao nível do servidor e atingiu cerca de 400 clientes. Felizmente já foi corrido um script no apache do servidor e tudo está regularizado.

@ Diogo
Obrigado pelo comentário colega.

@ Fernando
Obrigado pelo comentário colega. O ataque foi global ao nível do servidor, e atingiu cerca de 400 clientes, mas ainda assim, não consigo encontrar explicação para tamanha estupidez….

@ Diego Teka
Obrigado pelo comentário colega. Sempre em frente e na procura do sucesso, que isto não para, nem ninguém nos coloca em baixo! Obrigado pela força!

@ João Ferrão
Obrigado pelo comentário e pelo alerta amigo. Foste muito importante neste processo todo e penso que os ensinamentos daqui retirados, poderão servir todos os presentes e futuros bloggers.

@ Celão
Obrigado pelo comentário colega e pela excelente explicação. Já fico mais descansado quanto ao facto de ele me fazer backups diários semanalmente. Toda a protecção é pouca, e como tal, faço também backups diários manualmente.

@ Alex
Obrigado pelo comentário colega. Agora é sempre em frente!

@ Katiero
Obrigado pelo comentário colega. Eu faço backups diários, manualmente e através do Cpanel. Geralmente só salvo as bases de dados e pastas que foram actualizadas durante as últimas 24 horas. Não vale a pena estar sempre a fazer backups de tudo.

@ Leandro Lourena
Obrigado pelo comentário colega. Sugiro mesmo que faça backups regulares do seu blog, caso contrário, um dia irá arrepender-se de perde tudo o que fez, sem explicação possível. Vamos em frente que estamos mais fortes que nunca!

@ Daniel
Obrigado pelo comentário colega. Enviei um email para me adicionar para vermos o problema, mas não recebi resposta. Contacte-me para: geral [at] fique-rico.com

@ Marcos Elias
Obrigado pelo comentário colega. Esse plugin é de facto fantástico e deverá resolver muitos dos seus problemas ao nível de configurações de segurança. Boa sorte com ele.

@ Tico Esteves
Obrigado pelo comentário colega. Fico muito feliz pela sua chamada de atenção. Foi vital para o resolver deste problema.
Ah, e peço desculpa pela confusão do Esteves com Alves, ehehehe.

@ Muhammad
Obrigado pelo comentário colega. Por acaso não uso. Essa chamada de atenção foi feita pelo colega Ferrão, mas entretanto vou tratar de arranjar o NOD32 aqui para o PC.

@ Paulo Freixinho
Obrigado pelo comentário colega e pela preocupação demonstrada. Agora está tudo felizmente despachado, e fui feliz porque estive cordado até às 8h da matina e pude agir em conformidade. Depois passei 5h a remover código dos meus sites. Mas nada que não se resolva.

@ Marcos Silva
Obrigado pelo comentário colega. Também fico feliz com isso. Acredite!

Obrigado a todos!

Tico Esteves | July 19th, 2008

Opa!

Olha só Paulo, as vezes me esqueço que estou “falando” com alguém de tão longe.

O “Há” refere-se a uma brincadeira (”serginho malandro - há!!!”) brincadeira de boteco (tipo barzinho :D). Só gozação.

Eu imagino o sufoco que você deve ter passado, não esquenta!

Um abraço!

Tico Esteves publicou um post sobre..Liberdade de expressão - Eu gosto de blogar!

Falha de Segurança no Wordpress : Máquina Do Dinheiro - SEO, Marketing, Publicidade, Investimentos - Forex e Acções | July 20th, 2008

[...] para completar este post e para certificar que os seus níveis de segurança estão em máximo! Visite este link para saber como o Paulo resolveu o seu ataque de “Exploits”…(ou algo do [...]

Thiago Alexandre | August 7th, 2008

Por incrível que pareça, tem muitos invejosos que gosta de ver os outros no fundo do poço. Mas é isso aí, são boas essas dicas.

Abraço!

Thiago Alexandre publicou um post sobre..Ferramenta do Google mostra termos mais procurados por países

Um plugin, muitos estragos no Inversu Magazine | August 22nd, 2008

[...] O que fazer quando o seu blog sofre um ataque? (Fique-rico.com) [...]

Onde comprar alojamento para o seu blog ou website? | Fique Rico Online | September 21st, 2008

[...] para quem quer ter um blog de sucesso, nomeadamente a velocidade de acesso ao blog, o nível de segurança do blog, entre outras coisas. É importante então saber escolher uma empresa de alojamentos que seja [...]

Onde comprar alojamento para o seu blog ou website? | Misto Quente | September 21st, 2008

[...] quem quer ter um blog de sucesso, nomeadamente a velocidade de acesso ao blog, o nível de segurança do blog, entre outras coisas. É importante então saber escolher uma empresa de alojamentos [...]

COLOQUE UM COMENTARIO

Quer anunciar aqui por apenas 20EUR/mês?

Quer ajuda para vender publicidade no seu blog? http://tinyurl.com/6jbolq 6 hours ago
Preparando todos os conteúdos e projectos para viajar amanhã até Londres. 6 hours ago
Hoje temos o Brasil vs Portugal. Jogo fantástico para ver durante a madrugada :) 23 hours ago
Dicas para encontrar o ritmo perfeito para o seu blog: http://tinyurl.com/6s4new 2008/11/19
1º Workshop da Google Portugal foi uma treta. Falar e programar para Google Maps? WTF? oO 2008/11/19
Ainda à luta com a constipação. Maldita tosse.... 2008/11/19
Viajar para Lisboa dentro de 1h30 para o 1º WorkShop da Google Portugal. 2008/11/18
Quer construir um blog em Part-Time? http://tinyurl.com/64r2hj 2008/11/18