Почему за Wordpress тоже нужно ухаживать

July 10, 2013 Papertral Postfix wordpress блог спам уязвимости

Мне на днях взломали сервер, подложили бекдор, который рассылал спам. Я думаю, что бот, охотящийся на уязвимости Wordpress.

Как все было.

Сначала мне пришло письмо из Papertrail, сообщающее о переполнении логов. Неожиданно. Захожу на Papertrail, а там сплошные отбивки Postfix, о каких-то письмах от странных отправителей. Спам, но откуда?

Первая мысль была - что почему-то у меня Open relay. Хотя я довольно уверен, что мой Postfix защищен. Проверяю на mxtoolbox - таки да, защищен по полной программе. Значит, письма происходят с самого сервера.

Но откуда? Чтоб понять это, нужно изучить лог Postfix (/var/log/mail.log). Поскольку сразу из лога непонятно, откуда берутся письма, нужно выбрать один из кодов письма (вроде 7FB6DA16F2) и грепнуть по логу.

Проверив пару кодов, понимаю, что письма идут с одного из вордпрессовых блогов. Это было несложно понять, поскольку каждый сайт изолирован в отдельного пользователя, а Postfix записывает, какой пользователь отсылал письмо.

Никаких лишних процессов под этим пользователем не крутится. Значит, письма отсылаются через веб-сервер. Смотрю в логи веб-сервера и вижу запросы к интересному файлу типа /wp-admin/df77.php. Смотрю на файл - типичный бекдор, принимает параметром код и выполняет.

Так вот, на том блоге работал Wordpress 3.3, всего-то полуторагодичной давности. Поэтому дальнейший аудит я не стал проводить, обновил Wordpress, обновил плагины и надеюсь, что дыра заткнута.

Конечно, обновлять Wordpress гораздо проще, чем обновлять, скажем, Rails. Его можно даже обновлять на лету, прямо на сервере (чего я не делаю, потому что деплою из-под Git). И где гарантия, что все плагины будут работать и что тема не сломается и т.п. Лучше заводить блог на каком-либо сервисе - к счастью, таких полно, и многие поддерживают работу с любым доменом. То есть, если сервис даёт экспортировать данные, и его можно подключить к твоему домену, то ты ничего от этого не теряешь.

А я все думаю, как же обеспечить быстрое обнаружение таких вот вторжений - ведь переполнение логов произошло почти что случайно, а так я бы и не заметил, пока не попал бы в блеклисты и честные письма не перестали бы доходить.

Buy Me a Coffee at ko-fi.com