This site hacked

הדפסה

לא מצחיק

קראתי על זה בעיתונים, שמעתי שזה קרה לאחרים. אתמול זה קרה לי ואם זה קרה לי זה יכול לקרות לכל אחד, לא כי אני מומחה גדול פשוט בגלל שזה יקרה.

אתמול אחה"צ קיבלתי טלפון מלקוחה מבוהלת שהאתר שלה נפרץ, בדיקה קצרה העלתה שהצדק איתה. מדובר באתר תדמית מבוסס ג'ומלה שלמרות פשטותו הפונקציונלית השקעתי בו שעות רבות בבניית התבנית והתאמת העיצוב.

כאמור זו הפעם הראשונה שלי ולכן לקח לי חצי שעה להירגע ולהבין מה עלי לעשות. בעיקר הייתי לחוץ משאר האתרים שלי שמאוחסנים יחד.

התחלתי במייל בהול לחברת האחסון (המצוינת), הם החזירו תשובה מהירה ויעצו לי:
1.    להחליף מידית את כל סיסמאות הftp
2.    לנסות את הגיבוי האוטומטי שהם מבצעים
3.    לעדכן את גרסאות התוכנות בהן אני משתמש

החלפתי את כל הסיסמאות כולל אלו של ניהול האתרים ושל בסיסי הנתונים (רמז: תקלה נוספת בהמשך), בדקתי את הגיבוי האוטומטי וכמובן שהוא לא היה רלוונטי מכיוון שהם גיבו רק שבוע אחורה וכנראה שאתר נפרץ לפני זה ובנוסף גיליתי שלא עדכנתי את גרסת ג'ומלה האחרונה.

למזלי הפורצים הנוצצים לא מחקו את תיקיית התמונות ומבסיס הנתונים הצלחתי להציל חלק מהתכנים אבל יש לי בהחלט כמה תהיות ומסקנות ביניים מתבקשות:
-    אני לא מומחה גדול ולכן אני לא יודע איפה הפרצה שקראה לגנבים. האם נפרץ דווקא האתר הזה בגלל שאני כתבתי את התבנית?
-    חייבים גיבוי עצמי, או לשלם על שירות כזה. אחרת כנראה שבזמן אמת תישארו ערומים. יש כל מיני רכיבי גיבוי לג'ומלה, אני בודק את זה כרגע ואדווח בהקדם.
-    עדכון גרסאות, כמו שכתבתי למעלה.
-    בדיקה שגרתית של תקינות האתרים, פעם פעמיים בשבוע לגלוש (למרות שאנחנו כבר לא גולשים) ולראות שהכל בסדר.

Imageבסופו של ערב ארוך הצלחתי להשתלט על האתר, התקנתי ג'ומלה מחדש ושמתי שלט under construction. רק כדי לבדוק שהכל בסדר ניסיתי את הבלוג בו אתם צופים וגיליתי להפתעתי הודעה שהאתר, וכל שאר האתרים שלי, לא מצליח להתקשר אל בסיס הנתונים (ראה שתי פסקאות למעלה).

אם שיניתם את סיסמת בסיס הנתונים האתר הופך מיידית ללא זמין כולל מערכת הניהול. יש לגשת באמצעות ftp לתיקיית השורש ולעדכן את הסיסמה בקובץ configuration.php בפרמטר $mosConfig_password.

ולא אמרתי אף מילה על ערבים...

תגובות
הוסף תגובה
אילן  - גיבוי בסיס נתונים     |2009-12-18 21:17:12
באתרי ג\'ומלה שאני מנהל, שמתי תוסף השולח
אלי מידי יום קובץ גיבוי של בסיס הנתונים. זה
מאד חשוב למקרים כאלו.
איתמר  - ושמו בישראל     |2009-12-18 21:16:34
שתף אותנו בשמו של התוסף
ארז וולף  - לפני שנבהלים     |2009-12-18 21:16:06
הרבה מהפריצות לאתרי ג\'ומלה הם למעשה
פריצות לשרת ולא למערכת הניהול. כלומר, גישה
ומחיקה של קבצים ולא כניסה דרך הממשק.

שימו
לב! בעיקר ההאקרים מטורקיה (הטורקמיסטנים) לא
נוהגים למחוק את האתר, הם פשוט מחליפים את
קובץ הקופניגורציה (configuration.php) כך, שבעצם האתר
כולו, הקבצים והתכנים, עדיין קיימים וכל מה
שצריך לעשות זה רק לשחזר את קובץ
הקונפיגורציה והאתר יחזור לפעילות.
הוסף תגובה
שם:
דואל:
 
אתר:
כותרת:
אנא מלא את קוד האנטי-ספאם שאתה רואה בתמונה.

3.26 Copyright (C) 2008 Compojoom.com / Copyright (C) 2007 Alain Georgette / Copyright (C) 2006 Frantisek Hliva. All rights reserved."

עדכון אחרון ( חמישי, 08 נובמבר 2007 01:03 )