Włamanie na śniadanie czyli jak (przez chwilę) zostałem spamerem
04.09.2017 15:44
Aby utrzymać kilka domen i związane z nimi serwisy www, korzystam z zewnętrznego hostingu - lokalizacja nie jest tutaj istotna, dość powiedzieć, że na jednej z domen funkcjonuje też poczta z której, rzadko bo rzadko, ale jednak korzystam. Jakoś nigdy nie "podpiąłem" jej ani do żadnego mailera ani też nie zrobiłem przekierowania. Ot raz na jakiś czas (powiedzmy raz w miesiącu) "odpalałem" squirrel maila i sprawdzałem co tam wpadło.
Najczęściej bywało pusto, czasami zdarzył się jakiś zabłąkany newsletter aż tu pewnego dnia jak nie j..... ;) Loguję się do "wiewióry" i oczom własnym nie wierzę - skrzynka, która niezmiernie rzadko widywała mejle, teraz pęka w szwach!
Ponad 21tyś wiadomości, same systemowe o braku możliwości dostarczenia korespondencji. Miałem świadomość, że to włamanie i w pierwszym odruchu pomyślałem o haśle do tej nieszczęsnej poczty - no cóż, szybko uruchomiłem DirectAdmin i zmieniłem stare hasło choć nie było wcale takie łatwe. No ale od czegoś trzeba było zacząć.
Przelogowałem się aby zobaczyć czy "zwrotki" nadal spływają na to konto i, niestety, poprawy nie było. Liczba wiadomości cały czas rosła. Gwoli ścisłości - była to każdorazowo wiadomość o temacie:
Mail delivery failed:returning message to sender
Co znaczyło mniej więcej tyle, że mejl do adresata/adresatów nie dotarł i został zwrócony do nadawcy czyli w tym przypadku do mnie.
Ponowiłem poszukiwania słabego punktu, napisałem również do hostingodawcy ale jako, że godzina była wczesna nie spodziewałem się szybkiej odpowiedzi.
Odtworzyłem zawartość katalogu "public_html" tej domeny i też nic. Zwrotki nadal sypały się jak z rękawa i nie było widać ich końca. Co ciekawe, wydaje mi się, że próba wysyłania korespondencji z tego mojego przejętego konta nie była skuteczna. Dlaczego? Otóż w nagłówkach tych wszystkich zwrotek widniał "unroutable address", który jednoznacznie wskazywał, że taka wiadomość nie mogła zostać dostarczona! Próby masowego spamowania jednak trwały niepotrzebnie obciążając serwer hostingodawcy i zaśmiecając skrzynkę.
Kiedy zastanawiałem się co mogę z tym jeszcze zrobić, w panelu DirectAdmin zauważyłem kilka komunikatów o identycznej treści, jeszcze z poprzedniego dnia.
The user account has just finished sending 200 emails. There could be a spammer, the account could be compromised, or just sending more emails than usual.
Znaczyło to ni mniej, ni więcej, że moje konto w tej domenie zostało przejęte już wcześniej i wysyłka spamu trwała. Co najlepsze jednak, komunikat wygenerowany przez DirectAdmin'a wskazywał jednoznacznie na przestępcę i jego lokalizację! Co się okazało, jedna z subdomen zawierała serwis w WordPress'ie, który od dawien dawna nie był aktualizowany - i to właśnie WordPress stał się celem ataku (lub jedna z jego wtyczek).
Komponent ten znajdował się w lokalizacji:
/public_html/wp-includes/Test/Diff/Engine
i zapewne został podmieniony przez spamerów. Nie pozostało mi nic innego jak na szybko zlikwidować pliki z tej subdomeny i problem przestał istnieć! Teraz wystarczyło jedynie przywrócić serwis z backupu i zaktualizować do najnowszej wersji.
Jeżeli więc w przyszłości zauważycie na swoim koncie zwrotki wiadomości typu "I earned a million dollars" ;) czym prędzej sprawdźcie czy któreś z Waszych kont nie zostało przejęte. Ku przestrodze!