Murretut Wordpress ja Joomla -sivustot ohjaavat haittaohjelmia jakaville sivustoille

Suomessa yleisesti käytössä olevat julkaisujärjestelmät Wordpress ja Joomla ovat verkkorikollisille houkuttelevia kohteita muun muassa haittaohjelmien levitystarkoitukseen. Julkaisujärjestelmiin kohdistuu jatkuvasti hyökkäyksiä automatisoiduilla työkaluilla. Mikäli verkkorikolliset löytävät haavoittuvan julkaisujärjestelmän, valjastetaan se haitalliseen tarkoitukseen.

Murretulle verkkosivustolle lisätään haitallinen uudelleenohjaus, joka pahimmillaan johtaa sivulla vierailevan käyttäjän laitteen saastumiseen haittaohjelmalla. Erityisesti tietoja salaavat kiristyshaittaohjelmat, kuten Cryptowall ovat rikollisten suosiossa.

Murrettuja sivustoja havaitaan Suomessa useita kymmeniä viikottain. Kyberturvallisuuskeskus ilmoittaa havaitut sivustot palveluntarjoajalle, joka puolestaan välittää ilmoituksen loppuasiakkaalle. Verkkosivun ylläpitäjä puhdistaa sivuston haitallisesta koodista sekä sivuille istutetuista takaovista. Murrettu sivusto altistaa kävijät haittaohjelmille kunnes sivu on puhdistettu.

Tietoturvayhtiö Sucuri julkaisi artikkelin, jossa kuvataan yhtä tapaa levittää haittaohjelmia murretun verkkosivun avulla. Samaa keinoa on käytetty paljon myös Suomessa. Artikkelissa kuvataan murretuille sivustoille lisättyä haitallista ohjelmakoodia sekä tiedostoja, joihin haitallinen koodi lisätään.

Haitallinen ohjaus on Wordpress-alustalla usein lisätty tiedostoon wp-includes/nav-menu.php ja Joomla-alustalla tiedostoon includes/defines.php. Näiden lisäksi verkkorikolliset jättävät takaoven yhteen tai useampaan eri tiedostoon palvelimella.

Mikäli alla olevia merkkijonoja löytyy palvelimen tiedostoista tai palvelimen tarjoamalta verkkosivulta, on sivusto todennäköisesti murrettu:

_PHP_SESSION_PHP
new Date().getTime() + 60*60*24*7*1000
$cookie_name . '=' . mt_rand(1, 1024)
var a="'1Aqapkrv' and '00'02)'02' (satunnainen muuttujan nimi)
'<div id="mxcgokabue" style="display:none">ancga---- (satunnainen muuttujan nimi)

Tietomurron ja takaovien tuntomerkkejä voi etsiä palvelimen tiedostoista sekä lokeista seuraavilla tavoilla:

  • Erikoisen nimiset tiedostot www-rootissa, public_html-hakemistossa tai näiden alihakemistoissa.
  • Tiedostot, joiden aikaleimat poikkeavat muista tiedostoista.
  • Tietyt avainsanat tiedostojen sisällössä, jotka voivat viitata obfuskoituun koodiin tai järjestelmäkomentoihin.
  • Poikkeava määrä liikennettä sivustolle.
  • Poikkeuksellisia merkintöjä palvelinlokissa tai IDS:n lokeissa, esimerkiksi
    • tiedostoja, joita haetaan vain tietyllä User Agentilla tai erikoisilla parametreilla
    • kirjautumisia poikkeuksellisista sijainneista
    • pyyntöjä, joiden osana on tiedostojärjestelmän polku tai komento.

Tässä apua etsintään:

  • Etsi takaoviin liittyviä avainsanoja (kuten eval, base64_decode, shell_exec, preg_match) palvelimeltasi esimerkiksi Linuxin grep-työkalulla. Vinkkejä etsintään on muun muassa sivulla Finding Vulnerabilities .
  • Etsi tekstipohjaisia tiedostoja, joiden entropia on korkea (yli 5,5) esimerkiksi Linuxin entropy-työkalulla. Korkea entropia www-palvelimen tekstitiedostoissa (.php, .sh, .asp, .py, jne) viittaa obfuskoituun koodiin.
  • Huomioi, että osa hyväntahtoisiin tarkoituksiin käytetyistä skripteistä on voitu tarkoituksella tiivistää (ns. minifioida), jolloin niiden entropia on korkea. Tällaiset skriptit on usein nimetty päätteellä .min.js.
  • Edellä mainituissa etsinnöissä NeoPI-työkalu (Linux ja Windows). NeoPI on ladattavissa githubista ja sen käytöstä on ohje Infosec Instituten sivuilla.

Yllä olevat vinkit on julkaistu myös aiemmassa Tietoturva nyt! -artikkelissa Takaoven avulla palvelintasi käyttää joku muu.

Julkaisujärjestelmiä tulee ylläpitää ja päivittää aktiivisesti, sillä niistä löydetään jatkuvasti haavoittuvuuksia, joihin julkaistaan korjauksia. Myös julkaisujärjestelmien liitännäiset tulee päivittää ja tarpeettomat liitännäiset sekä teemat poistaa käytöstä.

Sivuston tietoturvan tarkistamiseen kannattaa käyttää myös Wordfencen tarkistuslistaa WordPress-sivustojen turvaamiseen. Osa ohjeista pätee myös muihin julkaisujärjestelmiin.

Päivityshistoria

Asiasanat: Tietoturva , Kyberturvallisuus , NCSC-FI , Tietomurto , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248