Azt hiszem, nem új keletű dolog, hogy egyes jóarcok weboldalakat törnek fel.

Hallottunk már arról, hogy egyes kormányzati, vagy kormány közeli weboldalakat az Anonymous támadott meg - amivel is a regnáló hatalommal szembeni tiltakozásuknak adtak hangot. Láttunk olyat is, hogy egyes hazai wellnesshotelek honlapjain az ISIS zászlaja tűnt fel - ők a világgal harcolnak, és ahol lehet, fitogtatják az erejüket. Olyat is nem egyszer tapasztaltunk, hogy vicces kedvű fiatalok csupán kedvtelésből rosszalkodnak, evvel mutatva tudásukat társaiknak vagy épp a barátnőjüknek.

Mi ezekben a közös? Az, hogy a megtámadott oldal a böngészőben azonnal hirdeti: ezt az oldalt feltörték.

Ez az idő elmúlt, ez már nem divat. Sőt, némelyik módszer roppant szerethető - de csak az ötlet miatt.

Nemrég történt, hogy egy ismerősöm kért segítséget egy ilyen támadás kapcsán.

A támadó nyomai a weboldalon nem voltak láthatóak - ez érthető is, hiszen a rendszer erőforrásait lopta (spameket küldött a rendszerből), és nem volt célja a lebukás. Itt kell megjegyezzem, hogy pár éve kezdett el terjedni az a szemlélet, hogy a feltört gép addig hasznos csak, amíg azt észre nem veszik. Minél később tűnik fel az üzemeltetőnek, hogy baj van, annál tovább lehet szívni a vérét a feltört rendszernek. Manapság az oldalfeltörések túlnyomó többsége ilyen.

Ismerősöm ott követett el hibát, hogy nem tartotta napra készen a weboldalának motorját, és az a Joomla verzió, amely a rendszerén futott, súlyos biztonsági résekkel volt tele - így, hiába a jól beállított központi védelem, áldozattá vált.

Azonnal frissítette a CMS motort, ám nem járt sikerrel, és segítséget kért.

Amikor átnéztem a weboldalát, és ráakadtam a trükkre, nem akartam hinni a szememnek.

A támadó a weboldalának kódjában egyáltalán nem tett kárt. Kihasználta a biztonsági rést, hozzáfért a fájlrendszerhez, de semmi kárt nem okozott - többek között ezért is volt hatástalan a frissítés: azt ugyan megakadályozta, hogy ismét kihasználják ugyanazt a sebezhetőséget, azt azonban, hogy az ártó kód tovább éljen, nem.

A trükkös bűnöző ugyanis csak annyit tett, hogy néhány .PHP fájlt elhelyezett itt-ott a rendszerben, mintha azok a forrás részei lennének - még a dátumokra is ügyelt, hogy ne legyen könnyen megtalálható. Ez természetesen édeskevés, hiszen a kód nem fut le, amikor a weboldalt megnyitja valaki - látszólag ártalmatlan, de csak látszólag.

A nagy trükk

Az ötlet nagyon jó. A támadó módosított a weboldalon egyetlen fájlt. A robots.txt-ben felsorolta azokat a fájlokat, amelyeket a rendszerhez illesztett; amik az ártó kódot tartalmazták, elérési úttal együtt. Ezt a fájlt élő ember nem használja, csak a webet szinte minden időpillanatban pásztázó keresőrobotok. Google, Bing, Yahoo, és a kisebbek, akik rengetegen vannak.

A keresőbotok úgy pásztázzák a rendszereket, hogy ne okozzanak nagy terhelést, percenként talán egy hívás, ha beesik. Ez elég ahhoz, hogy az így meghívott .PHP kódnak köszönhetően óránként 10-15 ezer spam-et kiküldjön a rendszer.

Szerencsére egy-két fájlra a robots.txt alapján rátalálva, könnyen beazonosíthatóvá vált az összes kéretlen .PHP és .HTML fájl.

Nem tudom, hogy kinek volt az ötlete a keresőbotokkal elvégeztetni a piszkos munkát, de őszintén gratulálok hozzá, fantasztikus ötlet volt, és ismét tanultunk valamit.