זה אולי הדבר הכי משביז שיכול לקרות לבעל אתר: פריצה. אם בזה לא די, אין לי מושג איך זה קרה ומשום כך אין לי דרך לוודא שזה לא יקרה שנית.
אתמול בשעות אחר הצהריים התחיל האנטי-וירוס שלי (NOD32) להתנהג באופן מוזר. הוא דיווח שיש אתר שמנסה להתחבר לאתר בעל שם מוזר ושהאתר הזה מלא בוירוסים. מכיוון שבאותו הרגע היו לי בערך 15 חלונות פתוחים, וכיוון ש-NOD32 טיפל בבעיה, לא התרגשתי. אבל כאשר בשעות הערב מרק כתב הערה ממנה השתמע שהגלוב הוא המקור של הוירוס, מיהרתי לבדוק את העניין.
בדיקה קצרה העלתה שכל קבצי ה-PHP על השרת, כולם, ללא יוצא מהכלל – גם אלו שאינם קשורים לגלוב – נדבקו בקוד זדוני. בכל קבצי ה-PHP נוספה שורה מוצפנת בראש הקובץ, המורכבת מלא פחות מ-3,430 תווים המפנים לקוד מוצפן אחר המפנה לאיזשהו אתר בסין. האתר הזה ניסה להדביק את הגולשים בוירוס ולפחות במקרה אחד ידוע לי שהוא הצליח. הוירוס נקרא Internet Security 2010 והוא חתיכת דרעאק שלא מהעולם הזה (כאן ניתן למצוא הוראות הסרה).
ניסיון להסיר את הקוד באופן ידני העלה חרס והגלוב קרס לחלוטין. ניסיון להוריד את מסד הנתונים כדי לוודא שהוא תקין, הוביל למסקנה שמסד הנתונים הושמד. הגיבוי האחרון של מסד הנתונים נעשה בראשית ינואר 2010 מה שאומר שכל התכנים שהועלו במהלך חודש ינואר, נעלמו. זאת ועוד, מעולם לא ניסיתי להחזיר את הגלוב כולו מגיבוי שכזה ולך תדע עד כמה הוא אמין.
זה היה הרגע שבו הוזעק ר"ש וכמו תמיד, הוא סיפק תמיכה טכנית, מוסרית ודתית (תוך שהוא ממלמל "ברוך דיין אמת" על מסד הנתונים שנפטר). המסקנה היתה שיש צורך למחוק את כל הקבצים שמאוחסנים בשרת, כולם כולל כולם, ולנסות ולהתחיל מההתחלה.
השרת נמחק. כולו. העליתי את קבצי הוורדפרס האחרונים שיש לי (גם הם, מלפני כמה חודשים טובים) עם ההגדרות הקיימות בניסיון לבדוק את מסד הנתונים. בסביבות השעה 02:00 בלילה הסתבר שמסד הנתונים, אחרי הכל, לא נפגע. הבוקר העליתי את גרסת הוורדפרס המתאימה. התקנתי מחדש פלאגינים, גיביתי את מסד הנתונים ואת הקבצים והגלוב חזר לחיים.
חברת "לך-אבאל'ה", אצלה מאוחסן הגלוב, טוענת בתוקף שהיא לא יודעת מה הבעיה ושלחה לי ערימה של הוראות כיצד להיזהר מתוכנות זדוניות. בחייאאת אמאשלכם. באמת?! אני דווקא חושב שהאשמה נעוצה בהם או נכון יותר בשכנים שלי בשרת אשר מישהו מביניהם נפרץ וכך הגיעו אליי, אבל אין לי דרך לדעת. גרסת הוורדפרס בה אני משתמש היא הגרסה האחרונה (וממילא ר"ש טוען שזו לא פריצה לוורדפרס אלא ניצול של חולשה בקבצי PHP) והסיסמה לשרת ה-FTP לא נפרצה. האופן שבו הקבצים נדבקו מלמד על שימוש בסקריפט אבל לא ברור איך הוא הצליח להדביק את קבצי ה-PHP ואיך ניתן להתגונן.
אני מודה שזה קצת מוציא את החשק ואם יש חיסרון אחד גדול בניהול פלטפורמה בכוחות עצמך, הרי היא כאן לפניכם: לשבת עד שעות הבוקר המוקדמות, למחוק, להעלות, לעדכן ובאופן כללי לסבול מבכאב ראש ולב. אני מקווה שזה מאחורינו.
תודה לכל אלו שהציעו את עזרתם בטוויטר נוכח הייאוש וההרס ולכל שאר האנשים שהשיאו עצות, שלחו רעיונות וביקשו לסייע.
הגלוב חזר. עייף, מותש, אבל הוא כאן.
כתיבת תגובה