המלחמה הממושכת והדי-כושלת בספאם טורדני הסתיימה לעת עתה בניצחון – שאולי היה יכול להגיע בשלב יותר מוקדם, אם הייתי משקיע יותר ב"דיבוג" הבעיה.
סביר להניח שהפעולות העוינות התחילו לפני כן, אך אני נעשיתי מודע לנושא אי-שם בשנת 2015, כשחברת אחסון האתרים שאיתה אני עובד נכנסה לשותפות עם שירות אבטחה בשם SiteLock. בצירוף מקרים מסקרן קיבלתי הודעה כללית על השותפות, וזמן קצר אחריה הודעה על "תוכן חשוד" באתר שלי. וכמובן, אם אני מעוניין להגן על האתר בזמן אמת באמצעות הגרסה המלאה בלה – בלה – בלה – תשלם – עוד. כתבתי להם שאני משלם מספיק כסף גם בלי דמי חסות, שזה אינטרס שלהם להגן על אתרי הלקוחות, ושאם יש בעיה אמיתית, שייתנו לי את הפרטים ואתקן אותה לבד.
בסופו של דבר, להפתעתי, דווקא הצלחתי לחלץ מהם את שמות הקבצים החשודים – קובצי php בודדים בתיקיות ההתקנה של WordPress – ואכן היה בהם איזשהו טקסט ג'יברישי לא צפוי. אני יודע מעט מאוד על php, אבל מספיק כדי להעיף מהקבצים האלה את התוכן הזר בלי לגרום נזק היקפי. העניינים נרגעו לזמן-מה, אך בהמשך התקרית חזרה על עצמה מספר פעמים, במרווחי זמן גדולים, ופה ושם אפילו "זכיתי" לראות את תוצרי הפריצה בעצמי, כשניסיתי להיכנס לבלוג שלי דרך הכתובת הרגילה או קישורים בפייסבוק ובמקום זה הגעתי לאיזשהו אתר שמוכר – או לפחות טוען שהוא מוכר – תרופות שהוא לא אמור למכור.
גניבת הלינקים הזו הייתה ספורדית, כנראה כדי לעכב את זיהוי הפריצה. אם כל הקוראים שלי היו מופנים תמיד לאתר ההוא, הייתי שומע על זה מהר מאוד; לעומת זאת, אם מדי פעם מישהו אחד מופנה לשם, ובניסיון הבא הוא כן מצליח להיכנס ל"בייט הלבן", יש סיכוי טוב שלא ידווחו לי ואולי אפילו לא יבינו שמדובר בפריצה.
הפריצות התבטאו תמיד באותה צורה – קוד זדוני בלתי קריא שהוחדר לקובצי php נבחרים – אם כי ההאקרים השתכללו מעט עם הזמן: לדוגמה, אם בעבר אפשר היה לתפוס את הקבצים הבעייתיים בקלות באמצעות תאריך השינוי האחרון, כעת נראה היה ש"שיחקו" גם עם התאריך. תוספי האבטחה ל-Wordpress שניסיתי בהתחלה לא זיהו את הקבצים הפרוצים או את שיטת הפריצה – הכול נראה להם תקין.
אם האתר שלי היה גדול, או כלכלי, בוודאי שהייתי משקיע זמן ו/או כסף ככל שנדרש בחקירת הפריצה ובפתרונה, אבל הוא לא, אז הסתפקתי באיתור וניקוי ידני של קבצים פרוצים בכל פעם שחברת האחסון או משתמש הודיעו לי על תקלה, מה שקרה פעם בכמה חודשים. לא נוח אבל לא נורא. חיפשתי ברשת מידע על אופן הפריצה עצמו, איך הצליחו להגיע לקבצים שלי בכלל, והגעתי להרבה דיונים אך אף אחד מהם לא באמת הועיל – היו פתרונות שכבר ניסיתי, הצעות לשירותים בתשלום, דברים שכבר מזמן לא רלוונטיים וכדומה.
ואז, יום אחד, גיליתי במקרה שהלינק לאתר העסקי שלי נגנב. זה כבר באמת לא לעניין. התחלתי בהתקנת שורה ארוכה של תוספי אבטחה (חינמיים), עד שאחד מהם (Wordfence) הצליח פתאום לעשות משהו שאף אחד מהאחרים לא עשה: הוא זיהה בעצמו קבצים עם תוכן חשוד. כעת יכולתי לא רק לאתר את הקבצים לתיקון הרבה יותר מהר – אלא גם לסרוק בעצמי מדי שבוע או יום ולגלות פריצות חדשות לפני שהן באו לידי ביטוי בשטח.
עם הברכה הזו הגיעה גם קללה. הסתבר שיש הרבה יותר קבצים פרוצים ממה שהכרתי עד כה, והם התחבאו בכל מיני תיקיות לא צפויות (כגון תיקיות המדיה). מעבר לזה, גם אחרי שניקיתי את כולם, צצו תמיד חדשים תוך ימים ספורים. מאיפה הם באים? כל התקנות ה-Wordpress שלי והתוספים הכי מעודכנים שאפשר, החלפתי את הסיסמאות (כולל של מסדי הנתונים), וידאתי שכל הרשאות הקבצים הן לפי ההמלצות… איפה הפירצה?
ואז, יום אחד, הופיע סוג חדש של תוכן בקבצים הפרוצים. במקום עשרות קילובייטים של קוד "מעורפל" (obfuscated), הופיעה רק שורה אחת, אמנם בקידוד לא שגרתי של תווים, אבל כזה שמפענחי קוד אונליין (כמו זה) מסוגלים לתרגם בקלות. הסתבר שהשורה הבודדת הזו היא קישור – ולא ישירות ל"בית המרקחת" הארור אלא לקובץ php שהושתל בהתקנת ה-wiki שלי. א-הה! עד עכשיו חיפשתי בעצם "מתחת לפנס"! ההתקנה הזו לא עודכנה המון זמן (ניסיתי והעסק הסתבך, אז עזבתי אותו), ומכיוון שהיא מחוץ ל-Wordpress, הסורק של Wordfence לא הגיע לשם ולא ראה את הקובץ הזדוני העיקרי, רק את הסימפטומים שלו. הגילוי הזה, יחד עם התועלת האפסית של ה-Wiki בכלל, הובילו אותי למסקנה שצריך לסלק את ה-Wiki, כפי שתיארתי כאן.
יומיים אחרי שעשיתי את זה, הופיעו שוב קבצים פרוצים. מתסכל, אבל הפעם כבר הייתי חכם יותר. האם נשאר משהו מחוץ ל-Wordpress באחסון שלי, שההאקרים עדיין יכולים להפעיל? ובכן, כן. כשיצרתי את האתר שלי, לפני יותר מעשר שנים, היו בו פחות או יותר רק דפי php מינימליסטיים שכתבתי לבד, וכמעט שכחתי מהם לגמרי בעצמי. מישהו או משהו מצא פעם דלת אחורית לשם (אני לא אגיד או ארמוז שזה אולי בגלל רשלנות של חברת האחסון), ומאז הסתתרו באותן תיקיות קובצי קוד מרושעים, שהתעוררו והפיצו מדי פעם את הנבגים שלהם… כשאיזשהו בוט תמים סרק והפעיל אותם במקרה? לפי פקודה מרחוק? מי יודע.
עברו יותר משבועיים מאז שניקיתי את הפינות החשוכות האלה, ומאז ועד היום לא התגלה שום קובץ פרוץ חדש. אני מתחיל לחשוב שהאיום הוסר סוף כל סוף. זה לא אומר שמחר לא תופיע איזו פריצה חדשה מסוג אחר, אבל נחמד לנשום קצת לרווחה. ואם אתם רואים משהו מוזר-ספאמי בבלוג, תודיעו לי, טוב? 🙂