קללת ה- c99madshell

חשבון האיחסון של אחד הבלוגים היותר ותיקים שאני מנהל נפרץ לאחרונה. הפריצה לחשבון לא היתה דרך הבלוג עצמו אלא דרך מערכת פורומים לא מעודכנת שהזנחתי. האינדיקציה הראשונה שקבלתי היתה מספק האיחסון שכתב לי כי כנראה החשבון נפרץ ושימש לשליחת דואר זבל.

During an investigation into server load and possible spam related issues on our server it has been brought to our attention that an account within your control has been sending out unsolicited email messages (SPAM). It is our belief that this incident may not have been intentional. The account in question may actually be victim to one or more compromised third party web scripts (forum, blog, guest book, content management system). An attacker can take advantage of known security weaknesses in your software and use it for other purposes (spamming) without your knowledge.

פחות מיממה לאחר מכן קבלתי גם מייל מאלוהי הגוגל שגילה כי האתר שלי משמש לפישינג. הסתבר שהחשבון שלי הפך ללא פחות מאשר "לסניף" של בנק Chase.

We recently discovered that some pages on your site look like a possible phishing attack, in which users are encouraged to give up sensitive information such as login credentials or banking information. We have removed the suspicious URLs from Google.com search results and have begun showing a warning page to users who visit these URLs in certain browsers that receive anti-phishing data from Google.

לאחר ניטרול הפורום ומחיקת הדפים ותתי-המתחמים שנוצרו על-ידי הפורץ ניסיתי להבין מאיפה הוא נכנס. השורה התחתונה היא שאני לא בטוח אך במערכת הפורומים הלא מעודכנת היו פרצות אבטחה מדווחות. ניסיתי להבין כיצד פעל הפורץ לאחר שכבר נכנס. התשובה לכך הגיעה לאחר מספר ימים כאשר גיליתי כי הגיעו לאתר שלי מבקרים (בעיקר מניגריה) אשר חיפשו מחרוזות הכוללת את מילת החיפוש c99madshell. בחיפוש קצר בגוגל תמצאו מידע רב בנושא.

מחרוזת חיפוש ספציפית גרמה לי להזיע: c99madshell perms. פשוט תכנסו לאחת מתוצאות החיפוש הראשונות ותראו איך אתם נכנסים לשרת של מישהו ולמעשה יכולים לעשות בו כרצונכם. זוועה בהתגלמותה.

מסקנה שכבר כלנו מכירים: לעולם לא להשאיר מערכות לא מעודכנות!