Τι ενημέρωση;
Σαν πάροχος διαδικτυακών υπηρεσιών και για λόγους διαφάνειας, θέλουμε να αναφέρουμε οποιαδήποτε περιστατικά σχετίζονται με την ασφάλεια των δεδομένων που φιλοξενούμε/διαχειριζόμαστε. Στο πλαίσιο αυτό, αναφέρουμε και αναλύουμε ένα πρόβλημα που απ’ ότι φαίνεται, ξεκίνησε στις ~23.30 του Σαββάτου 22/6/2019 και διορθώθηκε οριστικά από εμάς το μεσημέρι της Δευτέρας 24/6/2019. Συγκεκριμένα μια σελίδα που φιλοξενούμε, μολύνθηκε από κακόβουλους, και χρησιμοποιήθηκε τη Κυριακή 23/6 κυρίως σαν phish website, αποστέλλοντας ταυτόχρονα μερικές χιλιάδες spam email, και υποκλέπτοντας κωδικούς βάσης (mysql). Συμπληρωματικές τεχνικές εργασίες, σχετικές με την επίθεση αυτή και με σκοπό κυρίως τη πρόληψη, συνεχίστηκαν όλη τη Δευτέρα και τη Τρίτη που μας πέρασε (24-25/6/2019). Προσωπικά δεδομένα δεν επηρεάστηκαν.
Πιο αναλυτικά.
Το Σάββατο 22/6 στις 23.36, σε μια ιστοσελίδα με παλιό κώδικα CMS που φιλοξενούμε (joomla 1.5.xx, shared hosting πακέτο), κακόβουλοι κατόρθωσαν και ανέβασαν malware (σαν εκτελέσιμα αρχεία php), που με τη σειρά τους, και εκμεταλλευόμενα σωρεία προβλημάτων του παλιού κώδικα, κατόρθωσαν να χρησιμοποιήσουν την ιστοσελίδα αυτή κυρίως για phishing (υποκλοπή κωδικών). Συγκεκριμένα, ανέβασαν αρχεία που προσομοιώνουν τη σελίδα του Netflix, προκειμένου να αλιεύσουν κωδικούς από χρήστες του Netflix και απέστειλαν μερικές χιλιάδες spam/phish email προκειμένου να προσελκύσουν επισκέπτες στη “παγίδα”. Αντίστοιχα και για το google docs.
Τη Δευτέρα το πρωί, λάβαμε ειδοποίηση για μολυσμένα αρχεία στη συγκεκριμένη ιστοσελίδα από το αυτόματο anti malware scan στο server. Αντιληφθήκαμε επίσης μεγάλο όγκο email που έφυγε κυρίως τη Κυριακή ξημερώματα από το χρήστη της ίδιας σελίδας. Αμέσως απενεργοποιήσαμε τη συγκεκριμένη ιστοσελίδα, και προβήκαμε σε καθαρισμό της. Tα μολυσμένα αρχεία κρατήθηκαν σε καραντίνα, για επόμενο έλεγχο (forensics). Προλάβαμε να διαγράψουμε περίπου 3000 phish emails πριν αποσταλλούν στους παραλήπτες, αλλά 6000 περίπου είχαν ήδη φύγει. Τα phish emails που έφυγαν με τη σειρά τους προκάλεσαν άλλα προβλήματα. Κάποιοι φιλοξενούμενοι/ες θα πρόσεξαν ίσως καθυστερήσεις στις αποστολές email τη Δευτέρα και τη Τρίτη, λόγω του bad reputation system που χρησιμοποιούν οι περισσότεροι email servers. Από τις 26/6, δεν υπάρχει τέτοιο θέμα. Για την ιστορία, η συγκεκριμένη ιστοσελίδα, μετά από συνεννόηση με τον ιδιοκτήτη, διαγράφηκε οριστικά από τα συστήματα μας, τη Δευτέρα το απόγευμα.
Συμπεράσματα.
Αυτό που καταλαβαίνουμε ότι έγινε είναι: Το κακόβουλο 3ο μέρος, καταρχάς μπόρεσε και ανέβασε 2 εκτελέσιμα php αρχεία στο φάκελο cache του πανάρχαιου joomla 1.5 σαιτ. Χρησιμοποιώντας πιθανότατα μια από τις κοινές ευπάθειες που έχει το συγκεκριμένο CMS ή κάποιο από τα modules του. Κατόπιν με τα εκτελέσιμα αρχεία που ανέβασε, κατόρθωσε να υποκλέψει κωδικούς της βάσης και να τους στείλει σε δικό του freemail. Ανέβασε επίσης αρχεία για το phishing, νέο φάκελο NFX για netflix, και φάκελο GDOCS για google docs. Στη συνέχεια έβαλε να φεύγουν από το χρήστη της ιστοσελίδας, μερικές χιλιάδες phish/spam emails για να προσελκύσει θύματα στο “νέο phishing site”. Όλο αυτό δε του πήρε πάρα πολύ. Από τη στιγμή που έφυγαν τα email, δεν φαίνεται να ξαναχρησιμοποίησε τη σελίδα για άλλο σκοπό.
Παλιοί Κώδικες
Σε πρόσφατη ανακοίνωση μας, έχουμε επισημάνει τα προβλήματα που αφήνει ο παλιός κώδικας (ιστοσελίδες) χωρίς συντήρηση/αναβαθμίσεις. Ειδικά σε shared hosting περιβάλλοντα όπως το “κυρίως” δικό μας με πολλούς χρήστες και διαφορετικούς κώδικες. Τα κενά ασφαλείας που υπάρχουν εκεί είναι πολλά και σοβαρά. Όσο περισσότερο μένουν ασυντήρητες οι σελίδες, τόσο περισσότερες “τρύπες” τους ανακαλύπτονται. Και κακόβουλα μέρη τις χρησιμοποιούν ευρέως ψάχνοντας όλο το διαδίκτυο για τέτοιους κώδικες, δεν είναι κάτι σπάνιο. Ο αριθμός των bots καθημερινά που αναζητούν/επιτίθενται/σπαμάρουν, είναι μεγαλύτερος από αυτό των πραγματικών επισκεπτών. (ένας λόγος που συνήθως αγνοούμε τα στατιστικά/analytics των σελίδων, ως πραγματικά στοιχεία).
Γι’ αυτό και προτείνουμε πάντα σωστή συντήρηση με τακτικές αναβαθμίσεις για όλα τα δημοφιλή CMS και τα plugins/modules/themes τους. Με προαιρετική επιπλέον τεχνική υποστήριξη για παρακολούθηση και σφίξιμο της ασφάλειας τους. Έτσι μειώνονται πάρα πολύ οι πιθανότητες τέτοιων περιστατικών ασφαλείας. Χωρίς γνωστά κενά ασφαλείας οι ενημερωμένοι κώδικες θεωρούνται και πιο “ασφαλείς”.
Η Πρίζα
Εμείς από τη πλευρά μας, παρακολουθούμε συνεχώς και με διάφορους τρόπους την “υγεία” των συστημάτων μας. Καθημερινά με anti-malware εφαρμογές, monitoring εργαλεία με ειδοποιήσεις για υψηλό φόρτο ή περίεργη δραστηριότητα, κ.α. Καθετί “περίεργο” αναλύεται, και διορθώνεται το γρηγορότερο δυνατό. Επιπλέον, αναλύοντας το τι έγινε φροντίζουμε να μην ξανασυμβεί με ότι νέα προληπτικά μέτρα μπορεί να χρειαστούν. Η διαδικασία προστασίας των συστημάτων και των δεδομένων δεν είναι κάτι πάγιο, αλλάζει καθημερινά και φροντίζουμε να μένουμε ενημερωμένοι όσο αυτό είναι δυνατό σε ένα περιβάλλον με διαρκείς προκλήσεις.