Před pár dny jsem řešil problém u jednoho napadeného WordPress. Kvůli šabloně stáhnuté z warez webu došlo ke kompletnímu ovládnutí instalace.Dokonce bylo změněno i heslo administrátora, zřejmě aby útočník získal čas. Samozřejmě to není nic co by se nedalo vyřešit. Problém ovšem nastal u obnovy dat ze zálohy.

Majitel webu měl zálohu webu pomocí pluginu, který prováděl zálohování automaticky na službu wedos disk, což je v současné době poměrně populární řešení, protože 5 GB wedos disk získáte zdarma ke každému webhostingu automaticky. Nastavení je velmi jednoduché. Stačí v podstatě zadat přístupy k FTP a je hotovo. Problém byl v tom, že majitel webu takto na jeden disk zálohoval několik webů.

Útočník jakmile získal přístup do instalace tak ze zálohovacího pluginu získal přístup i k externímu úložišti. Z toho pak vytáhl zálohu databází a souborů všech webů, které byly obdobně zálohovány. Součástí každé zálohy byl i soubor wp-config.php, kde jsou přístupové údaje k databázovému serveru. S těmi pak není problém přes phpMyAdmin kompletně jakoukoliv instalaci plně ovládnout.

Backdoor jsme tak našli u tří ze sedmi zálohovaných WordPressů a to pomocí naposledy změněných souborů.

A poučení pro nás všechny? Pokud zálohujete na externí úložiště, tak se ujistěte, že každý web může zapisovat jen a pouze do jednoho adresáře. V případě že dojde k napadení instalace, tak se útočník dostane jen do toho jednoho adresáře, kde je záloha a nikoliv k ostatním. Sice je s tím nějaká práce, zakládat FTP účet pro každou instalaci/zálohu WordPress, ale do budoucna si díky tomu můžete ušetřit spousta problémů.

Druhou možností je samozřejmě jednosměrně zálohy odesílat. Například v případě menších databází dobře poslouží i emailová schránka. Stačí databázi zaheslovat a poslat na email. Pokud útočník nemá přístup k emailu, tak se k záloze nedostane.