Marigold chytil vira (nebo spíš malware)

Patrick Zandl · 22. květen 2008

Tak se mi zase něco s Marigoldem podařilo. Chytil jsem virus. Tedy abych byl přesný, Marigold.cz chytil virus. Nebo ještě přesněji malware, škodlivý script šířený tentokráte přes webové prostředí. Pokud jste navštívili Marigolda a měli jste starší verzi MSIE, začal browser bláznit. A to bylo ono.

Jak se to stalo? Vcelku jednoduše. Používám pro Marigolda Wordpress, častý to terč útočníků. A bohužel v docela staré verzi 2.0.5, na kterou se vyrojilo pár exploitů, díky nimž bylo možné přes webové rozhraní změnit šablony i bez administrátorských práv. A tak se do patičky dostal i škodlivý javascript. Řešení je dvojí: rychlé bylo udělat CHMOD 644 na postižené soubory a editovat je ručně via FTP. Chyba postihuje uživatele, kteří kvůli svému pohodlí umožňují editaci šablon přes webové rozhraní. Změnou práv (nelze zapisovat do souboru přes web) se toto odstraní. Druhým krokem bude upgradovat na nejnovější Wordpress 2.5.1, k čemuž ale sbírám zatím spíše odvahu, protože to znamená zazálhovat - a to je u Marigolda na hodinu stahování dat i v práci na rychlé lince. Jenže tam na to totálně není čas. Od té doby, co jsem si omylem uspěchaným updatem vymazal hromadu dat z Chronomagu jsem už opatrnější.

Google bude ještě chvíli na Marigolda reagovat podrážděně, ale už je to snad všechno opravené, takže jde o to, až to googlisti opět zvalidují jako normální web. Uvidím, jak jim to dlouho bude trvat.

Je to pro mne zajímavé memento, byť přišedší zrovna v blbou dobu, kdy je dost práce na jiných věcech. Tak především je zřejmé, že malware se stává stále častějším problémem, narážím na takto “hacknuté” weby kolem sebe stále častěji. Navíc proti tomu existuje z hlediska webmastera špatná obrana, webmaster je většinou člověk mající aktuální verze prohlížeče i OS, do kterých se malware hůře boří. Naopak aktualizaci webslužeb rádi odbýváme, vím to podle sebe. Jak by také ne, aktualizovat Wordpress chvíli chce, i když u posledních verzí už je to jen přepsání starých souborů novými. Chtělo by to automatickou aktualizaci. Ta u Wordpressu zatím funguje spíše jen pro pluginy a tak trochu poloautomaticky. Ale hezky. A do třetice, ukazuje se, že monokultura už není škodlivá jen pro operační systémy, ale i pro webové aplikace. Díra ve Wordpressu je lépe zneužitelná, než díra v proprietárním CMS. Kam se přikloňí výhoda: k rychlým záplatám u Wordpressu se širokou základnou hackerů, nebo problematickému záplatování propietarit, které zajímají málokoho?

Co by bylo hezké? Nějaký webové scaner na malware. Zadáte adresu, zaplatíte paypalem, ono ji to sleduje, až se tam objeví malware, tak vám to napíše, co s tím udělat. Antivir pro webserver, řekl bych. Asi se časem nějaký objeví, proč by ne, je to díra na trhu. Stejně jako firewallscripty, které se snaží ošetřit nejčastější místa potenciálních průniků a slouží jako firewally pro webové aplikace. Možná jsem ho měl za 120 doláčů koupit. Ostatně, co si kdo o tom myslíte? Máte zkušenosti? Konkrétně třeba s Firewallscript.com?

A všem se omlouvám za ten malware.

Chcete tyto články emailem?

Twitter, Facebook