Хакнутые истории. Часть 3. HaCkeD By BALA SNIPER

8 мая нынешнего года началось с фразы друга «Взломали меня» во Вконтакте. Один из проектов Димона (d_ma привет!) хакнули изощренным способом: в заголовках сайта красовалось Hacked By BALA SNIPER | BALA SNIPER Was Here, а при открытии страниц выскакивала ошибка и надпись «Hacked By BALA SNIPER». Причем, судя по способу взлома, он попал под случайную раздачу, ибо как таковой целевой атаки на его проект не было. Немногим ранее было взломано огромное количество сайтов на платформе WordPress. Первое, что пришло в голову – не проверить ли мои проекты на предмет хака, но все обошлось. Безопасность, как и прежде, на высшем уровне. Данная история поведает о том, как админская любопытность довела до курдистанских хакеров, которые воюют против ИГИЛ (тут я должен сказать, что они запрещены российским законодательством), но тем временем эти же Kurdish Hacker`ы ломают сайты других ни в чем не повинных админов.

Как выяснилось позднее, уязвимость была в шаблоне Vantage к WordPress. Скорее всего, этот самый BALA SNIPER использовал ее для смены кодировки на сайте, ибо все взломанные на WP сайты при просмотре исходной страницы имеют кодировку UTF-7. Как известно, с данной кодировкой намного «проще» использовать xss-уязвимости.

Правда, до того, как выяснилось о зараженной теме, я успел по очереди поотключать плагины, провести сканирование файлов на дату изменения и изучить другие взломанные сайты. У всех были однотипные ошибки в стиле «PHP Warning: htmlspecialchars() [«function.htmlspecialchars»>function.htmlspecialchars]: charset `UTF-7′ not supported, assuming iso-8859-1 in /var/www/vhosts/домен.ру/httpdocs/wp-includes/formatting.php on line 3582, но что самое интересное, изменения коснулись только базы.

При переходе на стандартную тему, страницы сайта открывались нормально, а вот на взломанном шаблоне были проблемы. Причем, среди всех хакнутых сайтов не нашлось ни одного со стандартной темой, что говорит о том, что проблема как раз кроется в использовании зараженных тем. Но проблема обрела колоссальный масштаб, когда я увидел, сколько проектов было хакнуто тем самым BALA SNIPER из Курдистана.

Как решить проблему со взломом BALA SNIPER?
Первым делом не нужно паниковать, ибо паренек обходится обычным дефейсом и заливкой пары файлов. Судя по взломанным проектам, все хакнутые сайты можно поделить на 2 категории:
— сайты взломаны посредством уязвимости в шаблоне и имеют лишь изменения в базе в виде смененной кодировки на UTF-7, надписи в заголовках и описании сайта (Hacked By BALA SNIPER | BALA SNIPER Was Here), но при этом у части проектов страницы открываются нормально, а у некоторых выдают ошибку «Hacked By BALA SNIPER».
— у хакнутых проектов имеются все вышеуказанные изменения, но при этом в папке wp-content имеется файл sniper.html или директория «strelok» с интересными записями, начиная от простой фразы «Хакед бай Бала Снайпер» и заканчивая этой:

«HaCkeD By BALA SNIPER
Long Live to peshmarga
KurDish HaCk3rS WaS Here
baladarin3@gmail.com
FUCK ISIS!».

Именно благодаря этой записи, удалось узнать почтовый ящик этого бала дарына (с казахского – одаренный мальчик) и выйти на след взломанных им проектов.

Решить проблему взлома Bala Sniper довольно просто.
1. Откройте админку блога и смените дизайн на любой другой. Это избавит вас от нерабочих страниц и позволит вам вернуть работоспособность проекта на WordPress.
2. Удалите от греха подальше зараженную тему и проверьте, нет ли у вас лишних файлов в корне сайта, а также в папках wp-content и wp-content/uploads.
3. Наберите в адресной строке http://название_блога/wp-admin/options.php и в строке blog_charset смените кодировку UTF-7 на UTF-8. Заодно поправьте описание и название сайта.
4. Сохраните все и по возможности смените пароль к админке блога.

Как защитить свой блог от взломщиков?
Конечно, всегда лучше принимать превентивные меры, дабы быть уверенным в защищенности своего проекта. Чтобы не попасть под подобную «раздачу» хакеров, при использовании чужих тем и шаблонов, нужно сделать следующее:
1. В header.php темы вручную прописать.
2. Перед заливкой темы на сайт переименовать директорию шаблона.
3. Чем меньше хакер знает о вашем шаблоне, тем лучше: убираем из темы файлы readme.html, screenshot.png и лицензию. Также из файлов CSS и PHP удаляем строки-напоминания о названии темы.
4. Закрываем все пустые директории обычной «нулевой» заглушкой index.php (wp-content, uploads и другие папки).
5. При наличии прямых рук переименовываем все переменные в теме на свой лад.
6. Кроме этого, не помешает прочесть эту статью и провести мероприятия по защите администраторской части блога.

Что это BALA SNIPER?
Если у вас в блоге появилась надпись «HaCkeD By BALA SNIPER» или страница с текстом «HACKED BY BALA SNIPER KURDISTAN HACKER TEAM, Death To ISIS. We Are Kurdish Hacker, We Are All Peshmarge Fuck ISIS , We Are All Muslim , Hacking Isn’t Prime ! We Are All Fighting To Freedom Kurdistan», знайте, ваш сайт теперь поддерживает курдистанское движение хакеров и борется против мирового терроризма. А если без шуток, то вас взломал хакер с ником Бала Снайпер. Посмотреть список взломанных им сайтов можно здесь http://pastebin.com/u/BALASNIPER008 (файл Test index :D), и здесь http://www.zone-h.com/archive/notifier=BALA SNIPER. Как видно, под взлом попадают не только проекты на WordPress, но и на Joomla. И да, не забудьте отблагодарить парня, отправив ему письмо на baladarin3@gmail.com. Ведь именно благодаря ему, вы впервые в жизни задумались о безопасности своего сайта.