הגלוב נלחם בקוד זדוני – סיכום אירוע

זה אולי הדבר הכי משביז שיכול לקרות לבעל אתר: פריצה. אם בזה לא די, אין לי מושג איך זה קרה ומשום כך אין לי דרך לוודא שזה לא יקרה שנית.

אתמול בשעות אחר הצהריים התחיל האנטי-וירוס שלי (NOD32) להתנהג באופן מוזר. הוא דיווח שיש אתר שמנסה להתחבר לאתר בעל שם מוזר ושהאתר הזה מלא בוירוסים. מכיוון שבאותו הרגע היו לי בערך 15 חלונות פתוחים, וכיוון ש-NOD32 טיפל בבעיה, לא התרגשתי. אבל כאשר בשעות הערב מרק כתב הערה ממנה השתמע שהגלוב הוא המקור של הוירוס, מיהרתי לבדוק את העניין.

בדיקה קצרה העלתה שכל קבצי ה-PHP על השרת, כולם, ללא יוצא מהכלל – גם אלו שאינם קשורים לגלוב – נדבקו בקוד זדוני. בכל קבצי ה-PHP נוספה שורה מוצפנת בראש הקובץ, המורכבת מלא פחות מ-3,430 תווים המפנים לקוד מוצפן אחר המפנה לאיזשהו אתר בסין. האתר הזה ניסה להדביק את הגולשים בוירוס ולפחות במקרה אחד ידוע לי שהוא הצליח. הוירוס נקרא Internet Security 2010 והוא חתיכת דרעאק שלא מהעולם הזה (כאן ניתן למצוא הוראות הסרה).

ניסיון להסיר את הקוד באופן ידני העלה חרס והגלוב קרס לחלוטין. ניסיון להוריד את מסד הנתונים כדי לוודא שהוא תקין, הוביל למסקנה שמסד הנתונים הושמד. הגיבוי האחרון של מסד הנתונים נעשה בראשית ינואר 2010 מה שאומר שכל התכנים שהועלו במהלך חודש ינואר, נעלמו. זאת ועוד, מעולם לא ניסיתי להחזיר את הגלוב כולו מגיבוי שכזה ולך תדע עד כמה הוא אמין.

זה היה הרגע שבו הוזעק ר"ש וכמו תמיד, הוא סיפק תמיכה טכנית, מוסרית ודתית (תוך שהוא ממלמל "ברוך דיין אמת" על מסד הנתונים שנפטר). המסקנה היתה שיש צורך למחוק את כל הקבצים שמאוחסנים בשרת, כולם כולל כולם, ולנסות ולהתחיל מההתחלה.

השרת נמחק. כולו. העליתי את קבצי הוורדפרס האחרונים שיש לי (גם הם, מלפני כמה חודשים טובים) עם ההגדרות הקיימות בניסיון לבדוק את מסד הנתונים. בסביבות השעה 02:00 בלילה הסתבר שמסד הנתונים, אחרי הכל, לא נפגע. הבוקר העליתי את גרסת הוורדפרס המתאימה. התקנתי מחדש פלאגינים, גיביתי את מסד הנתונים ואת הקבצים והגלוב חזר לחיים.

חברת "לך-אבאל'ה", אצלה מאוחסן הגלוב, טוענת בתוקף שהיא לא יודעת מה הבעיה ושלחה לי ערימה של הוראות כיצד להיזהר מתוכנות זדוניות. בחייאאת אמאשלכם. באמת?! אני דווקא חושב שהאשמה נעוצה בהם או נכון יותר בשכנים שלי בשרת אשר מישהו מביניהם נפרץ וכך הגיעו אליי, אבל אין לי דרך לדעת. גרסת הוורדפרס בה אני משתמש היא הגרסה האחרונה (וממילא ר"ש טוען שזו לא פריצה לוורדפרס אלא ניצול של חולשה בקבצי PHP) והסיסמה לשרת ה-FTP לא נפרצה. האופן שבו הקבצים נדבקו מלמד על שימוש בסקריפט אבל לא ברור איך הוא הצליח להדביק את קבצי ה-PHP ואיך ניתן להתגונן.

אני מודה שזה קצת מוציא את החשק ואם יש חיסרון אחד גדול בניהול פלטפורמה בכוחות עצמך, הרי היא כאן לפניכם: לשבת עד שעות הבוקר המוקדמות, למחוק, להעלות, לעדכן ובאופן כללי לסבול מבכאב ראש ולב. אני מקווה שזה מאחורינו.

תודה לכל אלו שהציעו את עזרתם בטוויטר נוכח הייאוש וההרס ולכל שאר האנשים שהשיאו עצות, שלחו רעיונות וביקשו לסייע.

הגלוב חזר. עייף, מותש, אבל הוא כאן.

31 מחשבות על “הגלוב נלחם בקוד זדוני – סיכום אירוע

  1. ראשית, שווה מאד לעבוד עם חברת אכסון ישראלית שעושה גיבויים באופן סדיר. כאשר דבר כזה קורה (ודברים כאלו תמיד קורים ובדרך כלל בעיתוי מחורבן למדי), התמיכה המהירה של איש IT מקצועי בעברית שווה את משקלה בזהב.
    גם כך ההפרש בעלות הוא זניח בין גו-דדי,דרימהוסט ודומיהם לבין חברת אכסון ישראלית רצינית.

    שנית, כתבתי מאמר על הקשחת וורדפרס ללא מתכנתים, יכול להיות שהוא יהיה לך לעזר:
    http://tinyurl.com/yg2v5yh

  2. רן – בעוד שאין כל ספק שבכל הקשור לתמיכה אתה צודק ב-100%, הרי שבכל הקשור לעלות, המחירים של חברות האחסון הישראליות הם מזעזעים עד בלתי אפשריים. טרם מצאתי חברת אחסון ישראלית, רצינית ובעלת משקל, שיכולה להתחרות במחירי האחסון (כולל נפח תנועה, מקום על השרת וכדומה) הניתנים בארה"ב. אם אתה יכול להצביע על אחת כזו, אשמח.

  3. היי יובל,
    כאחד שעובד בחברת הוסטינג, אני יכול להבטיח לך שקשה מאוד להתחרות במחירים של ארה"ב כי שם אין לך את התעריפים שספקי אינטרנט גובים, מחירי שרתים רצחניים וכו' וכו'.
    מה שכן, אני ממליץ לך בחום למצוא לך חבילת VPS בחו"ל במחיר שווה (יש מספיק מתחרים בארה"ב שמציעים עיסקה די שווה). לגבי אבטחה: אם יש לך VPS, מישהו יכול חד פעמית לעשות לך הגדרות ולבדוק שהכל סגור והשאר ברוב המקרים זה רק עניין של עדכון (פקודת yum update לדוגמא).

  4. יש לי הוסטינג מעולה להמליץ לך, שבו אתה יכול לעשות גיבויים בהקלקת עכבר פשוטה – כמה שאתה רוצה. והתמיכה שלהם יותר טובה מגו-דדי, זה בטוח. אם תרצה – דבר איתי.

  5. מצטרף לדברים של יובל – מחירי אחסון בישראל הם בלתי סבירים בעליל. אני באופן כללי מרוצה מגו דדי, ויש להם אפילו תמיכה מהירה בטוויטר שנעזרתי בה. למיטב ידיעתי יש להם uptime טוב משל דרימהוסט, וודאי שטוב מכל ספק אינטרנט בישראל.

  6. יובל, אני ממליץ על http.co.il, יש להם מחירים אטרקטיביים ושירות טוב מאד. האתרים של numenore.com נמצאים שם כבר שנים ותמיד כשהתעורר הצורך קיבלתי תמיכה טובה ומהירה מאד בכל שעה.

  7. כנ"ל http.co.il אחלה חברה תוכל כמו כן לנסות עוד שתי חברות מובילות בשוק הישראלי lom.co.il ואת החברת אחסון אתרים hostdime.co.il שתיהן מעולות סך הכל המחיר הוא הקובע בסוף. בתמיכה לדעתי כל החברות האלו שציינתי שוות למדאי.

    בהצלחה!

  8. רן, הבעיה של היו"ר לא הייתה הגיבויים, (שגו דאדי אגב עושה על בסיס סדיר למיטב ידיעתי) אלא קוד שנדבק. הסיכון שזה אגב יקרה הוא יותר גבוה באיכסון בישראל על פני איכסון בחו"ל כי בעוד שרוב הספקיות יוצרות יוזר פיזי לכל משתמש, הישראליות לא עושות כך (וזה למה אתה יכול לקבל SSH בדרימהוסט למשל אבל לא בספקית ישראלית).

    יו"ר, לדעתי פשוט לסגור את הקבצים של הערכה לעריכה ע"י השרת (כלומר רק קריאה) יכול מאוד לעזור מפני הישנות של מקרים כאלה.

  9. רן ודבי – קחו לדוגמה את http.co.il. חזקה עליהם שהם באמת נותנים שירות טוב. המחיר שלהם הוא לא פי שניים מזה שאני מקבל ב"גו-דדי" הוא בערך פי ארבע (אני מדבר על החבילה של ה-100 שקל בחודש – ללא מע"מ).

    אני חושב שאני מדבר בשם רבים כשאני אומר שאני מוכן ואפילו שמח לשלם עבור מוצר מקומי גם אם הוא קצת יותר יקר ממוצר זר, אבל פי ארבע? ואני לא מדבר על זה שגם בתוך החבילה הזו אני מקבל תנאים פחות טובים מהחבילה שאני מקבל בגו-דדי.

  10. יובל, השאלה אם אתה לא יכול להסתפק בחבילות שנותנות לך נפח אכסון נמוך יותר. חבילה של 200 MB אכסון עולה 45 ש"ח לשנה.

    (למה אני נשמע כמו נציג מכירות לעזאזל 😉 ).

    תועלת היא עניין סובייקטיבי לגמרי. קרה לי בעבר הרחוק מקרה דומה לזה שלך, בעיתוי גרוע מאד והכשלון עלה לי המון כסף. התמיכה ההודית של אותו ספק לא רק שלא הועילה אלא גם הזיקה. אחרי כן החלטתי שפשוט לא כדאי לי לגעת בשרתים שיתופיים לא ישראלים למעט VPSים (אבל זה סיפור אחר).

  11. רן (14): התשובה היא לא. רק מסד הנתונים של הגלוב לבדו שוקל קרוב ל-100 מגה שלא לדבר על זה שהיום אחסון הוא הדבר הכי זול בעולם ואם יש לי כבר שרת בענן, למה שאני לא אגבה אליו קבצים נוספים?
    אני לא רוצה לחשוב פעמיים לפני שאני מעלה לאתר שלי משהו ועם 200 מגה אני צריך לחשוב חמש פעמים. לא מתאים לי, בוודאי לא כאשר בשוק ישנם שירותים שמציעים ג'יגות על ג'יגות במחירים שהם רבע מהמחיר של 200 מגה.

  12. הי, גם אני נדבקתי.

    פשוט עשיתי ניסוי – תוך כמה זמן ארגיש בעובדה שאין לי אנטיוירוס. אתמול הרגשתי. לא היה חכם מצדי.

    אני מבין שהחוויה שלך הייתה יותר קשה משלי – הייתי צריך להוריד אנטי וירוס כדי להסיר את הדרעק הזה.

    אגב – זה וירוס ממש מטומטם – הוא כל הזמן אומר לך שיש לך וירוסים במחשב, ורוצה שתקנה את הרישיון לאנטי וירוס בשביל שהוא יסיר אותם… פלח שוק מאוד מעניין

  13. מסכימה עם יובל – המחירים של המאחסנים פה בארץ הם שערורייתיים, מה גם שבכלל לא מובטח שירות 24/7 או בכלל שהשרת באמת פה בארץ (לחובבי בדיקות המהירות למיניהם).

    חלקם הגדול גם נותנים אחסון עם פיצ'רים ירודים, כמו לוח בקרה מאוד מוגבל, בלי PHPAdmin ועוד כל מיני דברים חשובים שכאלה.

    ואגב, מנסיוני עם דרימהוסט הם באמת לא משהו.

  14. הפעם לא צחקתי.
    ברוך רופא חולים, ואני שמח לראות שאתה מתאושש.

    תן סימן כשהגלוב יתחיל להתלוצץ עם קוראיו.

  15. הכי חשוב לא לקחת את זה אישית – זו התקפה אוטומטית, ואנחנו רואים אותה די הרבה. החדירה היא דרך ה- FTP, וככל הנראה המשפט שלך "הססמה ל- FTP לא נפרצה" לא נכון.

    – אבירם

  16. הגלוב חזר לחיים אחרי שכבר צלבו אותו וירטואלית.
    אפשר להתחיל דת חדשה מהעניין הזה.
    שמעתי שזה מאד רווחי.

  17. יש בכלל ספקיות שמחזיקות חוות שרתים משלהן בארץ? הרי כולן שוכרות שטח מספקיות מקומיות או בינלאומיות למיטב ידיעתי.
    בכל מקרה, הפרצה הזאת הייתה יכולה להתרחש גם בארץ וגם בחו"ל, ואין שום מוקד תמיכה טכנית שיגע לך בקבצים גם בארץ וגם בחו"ל, לא משנה באיזה מחיר. יכול להיות שזה כשל של וורדפרס, יכול להיות שזאת בעית סיסמה, יכול להיות שיובל עשה את הכל בשביל לקבל תשומת לב. לא קרה כלום חוץ מקצת לחץ ושעות שינה. מחיר זניח לחלוטין למישהו שהוא אבא של שלוש בנות.

  18. אני רוצה להגיב לכמה דברים פה:
    1. ניצן (11) – דווקא יוצרים יוזר פיזי לכל אחד, אפילו פר דומיין יוצרים יוזר. לא פותחים SSH ברוב המקרים הרבה משתתמשים פשוט מזיקים עם זה במיוחד (מכיר הרבה סיפורים על זה, סיפורים שרוב ספקי האחסון ובגינם לא נותן SSH.
    2. רויטל 17) – המחירים יקרים יותר כי רוחב הפס פה עולה הרבה יותר (אשמה של ספקי האינטרנט עצמם), השרתים עולים הרבה יותר. יחד עם זאת, מחקר קטן יכול לגלות מציאות לא רעות פה בארץ. אגב, כיום כמעט כל ספקי האחסון נותנים לך CPanel וכחלק ממנו גם PHPMyadmin.
    3. יובל (22) – אפשר לוותר על FTP ולהשתמש ב-WebDav שנתמך גם בווינדוז/מק/לינוקס, ויש גם אפשרות הצפנת נתונים בזמן תעבורה.
    4. מומי והחתול (24) רוב מוחלט של ספקיות האחסון – השרתים שלהם פה בארץ, ופקודת traceroute פשוטה יכולה לאמר לך אם הספק אחסון נותן לך מקום בשרת שהוא בארץ או בחו"ל. הקטע שאף אחד לא יגע לך בקבצים בארץ ובחו"ל הוא פשוט לא נכון וזה תלוי בחוזה השרות שאתה חותם עם ספק האחסון.

    והנה עוד טיפ קטן:
    אפשר ורצוי לשמור גיבוי offsite ואפילו לא צריך לשלם על כך. חברות כמו Zymic נותנות לך להקים אתר בחינם עם 6 ג'יגה מקום. לא צריך להרים שם אתר, אבל אפשר לשים סקריפט בשרת הבלוג (יש גם תוספים לוורדפרס שעושים זאת) שאחת ליום יצור מספר קבצי tar.bz2 ויאחסן אותם בשרת חיצוני (כמו Zymic במקרה הזה, ולי אין שום קשר לחברה הזו, אגב).

  19. לא רק שהאתר שלנו מאוחסן אצל "לך אבא'לה" מאותן סיבות, אלא שהוא נדבק בוירוס בעל תופעות דומות ולמזלנו גם אנחנו הצלחנו לשחזר את האתר מגיבויים ישנים רק לאחר מחיקתו המוחלטת ותו לא.
    הדבר מחזק מן הסתם את תחושתך הראשונית שזה לא קשור במאום למה היה לך על שטח האכסון שלך אצלם – אלא לפריצה שהתרחשה אצלם ובתחום אחריותם.

  20. אחרי שראיתי דבר דומה קורה לאתר "הידען" (מומלץ בחום) התקנתי את הפלאגין שמאפשר גיבוי לאמאזון S3. עולה מאז כמה סנטים לחודש (כנראה שבגלוב זה יגיעה לדולר או שניים)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *