Jesu li opasni hakerski napadi u Hrvatskoj na neodržavane web stranice

Hakerski napadi u Hrvatskoj na web stranice postoje od kad je interneta i izrade web stranica. Najveći razvoj WordPressa bio je 2008. godine, ali WordPress još nije bio jako popularan, pa se u to vrijeme nije puno pričalo o ranjivostima WordPressa. Prvi put kada smo stvarno vidjeli izložene ranjivosti WordPressa bilo je tijekom hakiranja 2008. godine. Primarni napadi hakera tijekom ovog fijaska bili su korijenski direktorij WordPress stranice, datoteka wp-config.php, .htaccess datoteke, dodaci i teme. WordPress je počeo dobivati na snazi do 2008., a u isto je vrijeme počeo dobivati prilično lošu reputaciju zbog svojih sigurnosnih mjera. Godine 2008. TechCrunch je pokupio priču o fijasku hakiranja WordPressa: “Ako trenutačno nemate najnoviju verziju WordPressa, postoji velika vjerojatnost da je vaša stranica već ugrožena.” – TechCrunch

Naravno, ovo je bio samo početak ludog putovanja kroz WordPressov popis ranjivosti koji se stalno povećavao. Zapravo, korisnici WordPressa već su počeli biti oprezni 2008., jer su 2007. vlastiti poslužitelji WordPressa bili podvrgnuti nizu napada i hakerski napadi su generirali ranjivosti ugrađene u same WordPress zakrpe.

2009. (Godina ranjivosti)

Sigurnosni tim WordPressa imao je teške trenutke. Razlog je što potpuno ne uspijevaju zakrpati ranjivosti na vrijeme (ponekad godinama), ali od 2009. objavljuju ogromnu količinu sigurnosnih ažuriranja.

2009. je bila prva godina u kojoj smo vidjeli tonu sigurnosnih ažuriranja koja su zahtijevala od vlasnika web stranica da nadograde WordPress. Nažalost, hakeri koji pronalaze ranjivosti nekoliko dana nakon svake nadogradnje također se nastavila.

2010 (Tim Thumb)

2010. je bila još jedna velika godina za hakere i bilo je puno ažuriranja web stranica i ranjivosti, ali želimo se usredotočiti na veliku stvar — TimThumb. Zašto se želimo usredotočiti na TimThumb? Mislimo da je to prilično dobar primjer stanja sigurnosti a posebno sulude sposobnosti da ignorira ranjivosti jako dugo.

TimThumb je naziv .php datoteke koja sadrži veličine slika. Dakle, skripte, teme, ekstenzije (stvarno sve) godinama su koristile skripte koje bi mijenjale dimenzije datoteke unutar TimThumba. I, svih tih godina, web stranice su bile hakirane. Puno web stranica.

2010./2011.

bilo je vrijeme kada su se neke od prvih prijava počele slati na TimThumb. Web stranice su bile ugrožene, a hakeri su doslovno ispaljivali naredbe web stranicama i zatvarali ih koristeći ranjivosti u TimThumb-u. U 2014. TimThumb se još uvijek koristio — i naširoko — za otimanje web stranica. Hakerski napadi su išli preko kritičnih datoteke web stranica, WordPress je to i dalje ignorirao, a tisuće web stranica još uvijek su bile ranjive. To je skoro 5 godina. Recimo to opet — pet godina. TimThumb ostaje jedan od tri najveća sigurnosna rizika za dodatke do danas, prema Sucurijevom najnovijem izvješću o hakiranoj web stranici.

2011. – 2013. (Veće web stranice teže padaju)

Otprilike 2011. godine WordPress je počeo dominirati OSS CMS tržištem. Tone web stranica hrlile su na WordPress. Ovo je otprilike vrijeme kada je WordPress od “sklonog problemima” postao potpuno ranjiv. Od 2011. do 2013. pojavilo se više od 50 ranjivosti – od kojih je mnoge bilo lako učiniti. Hakeri su rušili ogromne web stranice i DDOS sve, od tvrtki do političkih kampanja.

Otprilike u to vrijeme počeli su se pojavljivati videozapisi koji prikazuju ljude kako preuzimaju WordPress web stranice u 5 minuta (i to s lakoćom).

2018. i nadalje…

Od 2013. do 2018. pojavilo se više od 275 ključnih ranjivosti. Bezbroj drugih za sve besplatne i komercijalne dodatke koji postoje. WordFence je 2017. izvijestio kako haker može upotrijebiti čak i WordPress instalacijski program za preuzimanje kontrole nad vašom web stranicom.

U vrijeme kada internet još nije bio toliko razvijen, održavanje web stranica nije se radilo redovito jer nije bilo niti potrebe s obzirom na relativno rijetke slučajeve gdje su hakerski napadi bili na stranice. Međutim, danas se neodržavanje web stranica može skupo platiti, jer su napadi na stranice sve češći. Prema Sucuriju, primjećen je veliki porast napada na neodržavanje wordpress stranica na način da se injektira kod na stranicu te se preko php-a stvara pozadinski ulaz na stranicu.

Hakerski napadi i ubacivanje koda

Dodavanje koda radi se preko plugina, koji je legitiman plugin na repozitoriju wordpressa tako da se kod aktivira kada netko posjeti stranicu sa svojim računalom. Smatra se da se u svijetu na ovaj način zarazi preko 4000 web stranica. Kao što je na ovome grafu vidljivo, u posljednje vrijeme je primjećeno višestruko povećanje skidanja plugina s repozitorija wordpressa a samim time i hakerski napadi.

Slika zaslona 2023 04 23 u 10.28.16

Ono što navedeni kod radi je da hakerski napadi kreću s pozadinskog ulaza i napadači automatski preuzimaju kontrolu nad web stranicom. Maliciozni kod se ubacuje preko baze podataka u tzv. ‘wp_posts’ table’, što je dodatni problem jer alati za pronalaženje koda vrlo često ne mogu otkriti zaraženost, upravo zbog pozicije koda. Kako bi mogli preuzeti kontrolu nad web stranicom, napadači instaliraju kod u nove stranice ili objave na sljedeći način:

Slika zaslona 2023 04 23 u 10.28.32

Kada se kod aktivira, stvara se ulaz koji se sprema na server stranice u root stranice s ovakvim imenom koda: 3e9c543a6b54r.php. Pokretanje koda se radi preko navedenih IP adresa:

  • 91.193.43.151
  • 79.137.206.177
  • 212.113.119.6

Preporuke

Sucuri iz toga razloga preporučuje kako bi se spriječili hakerski napadi da se na svim web stranicama stari plugini obavezno nadograde novijim inačicama, a plugini koji se ne koriste da se jednostavno izbrišu sa stranice. Naime stari plugini koji nisu updateani upravo omogućuju injektirane zaraženog koda.

S obzirom na sve navedeno, naš najvažniji prioritet kod održavanja je upravo redoviti update jer se hakerski napadi 2023 sprječavaju sa svakim updateom, naravno samo na stabilnim verzijama veze sistema, plugina i teme. Iako se internet čini siguran prostor, vrlo često to je zavaravajuće i napadači upravo i žele opuštanje korisnika kako bi mogli provesti svoje zle namjere.

Koliko stranice mogu biti ranjive pokazuje i podatak da je Wordfence Threat Intelligence pokrenuo postupak otkrivanja kritične ranjivosti u dodatku Elementor koji je svakom autentificiranom korisniku omogućio učitavanje proizvoljnog PHP koda. Elementor je jedan od najpopularnijih WordPress dodataka i instaliran je na više od 5 milijuna web stranica.

Ukoliko imate nekih pitanja na ovu temu, slobodno nas kontaktirajte.

Korisni linkovi:

Bleekingcomputer
Wordfence
Patchstack

Komentiraj

Ne možete kopirati tekst