Și nu ăia buni, ci alții noi, răi. Exact asta trebuia să fac acum, nu să termin lucruri care mi se tot rostogolesc și apar și apar situații.
Comentariile pe aici se aprobă manual, dar unele persoane sunt într-o listă pre aprobată și merge mai simplu. Alex e în lista aceea și, în mod normal, Jetpack doar îmi arată comentariul, nu aveam acces la nimic. El a comentat în jur de 12-1 noaptea, iar în maxim 1h i-a dispărut comentariul.
Fiind curios cum e treaba cu noul server am verificat ce se întâmplă. Comentariul dispăruseră de tot și, mai mult, site-ul în sine avea un nou homepage.
Hopașa, dar stai că lucrurile funcționează diferit pe Webinoly. Nu am terminat de configurat totul, neștiind că totul este în parametri, așa că: am 2 bănuieli de infiltrare.
- a scanat rapid că portul 22 e valid – în mod normal nu îl deschid p-ăsta pentru că Digi mai face figuri
- nu am schimbat încă utilizatorul de root, am lucrat de pe el
- nu am avut timp să pun SSH-ul, ci am rămas cu parola. Parola, din câte știu eu, e leak-uită în bazele de date.
- Webinoly funcționează diferit, pune un WP chel, dar te lasă el să execuți procesul de instalare. Și eu am dezactivat bulk HTTP-Auth. Ori, în partea cealaltă deja era un WordPress de la 0.
Sunt 14 site-uri pe server și nu ajunsesem nici la jumătate cu ele de configurat, dar m-au pălit. Am observat niște fișiere suspecte peste tot, așa că la 2 dimineața am dat direct reinstalare și pus backup de acum 2 zile. Au dispărut și niște comentarii de la voi, plus vreo 2 articole programate pentru viitor.
Am anunțat și pe cei cu cont de administrator să schimbe toate parolele și să dea Log Out. În mod normal, sunt hash-uite cu MD5, n-au acces la ele, plus că WordPress acum te anunță dacă mai e logat pe undeva, dar am zis să fim cu prevenția înainte de toate.
Dauna era pe toate site-urile, de fapt, asta e problema unui server fără infrastructură individuală, ca un Docker. Mi se pare, însă, că am mai mult control aici.
Am mai pățit o singură dată treaba asta, însă atunci nici până la toaletă n-am ajuns. La propriu. Aveam root 123456 cât să setez totul și pac.
Acum o să tot monitorizez situația, dar cred că n-a fost un atac direcționat, ci lucruri automate și indexate prea rapid de Google. Vulnerabilități n-ar trebui să fie că 90% e cod custom. N-am decât Jetpack și WordPress Seo ca pluginuri mai mari, dar acelea au actualizări dese. Nu suspectez vulnerabilități.
Partea bună este că lucrurile pare că s-au rezolvat. Am și A+ în SSL Labs, iar cel mai important lucru este că… nu par a mai fi probleme cu încărcarea CSS-ului de pe site.
Stai un pic să înțeleg: acum aveai 123… pe root sau altă dată te-au prins cu pantalonii în vine?
Altă dată. Acum tot o parolă slabă că era provizorie până urcam tot și puneam scripturile la punct. Atunci m-au băgat Chroot în ședință, m-au sunat că atac pe alții, dar de fapt… atacau alții de la mine.
Checked: comentariile din Jetpack funcționează iar.