Szilveszterkor készült el, de igazából egy nappal korábban kezdtem bele a hamarosan megjelenő könyvem weboldalának, a buborekmemoria.hu-nak az elkészítésébe. Még engem is meglepett, hogy már azelőtt feltörték, hogy egyáltalán hozzákezdhettem volna.
Történt ugyanis, hogy a buborekmemoria.hu domain nevet regisztráltam 2024.12.30-án, valamikor este 10 körül. Pár óra múlva a regisztráció olyan státuszba került, hogy már intézni tudtam a névszerverek módosítását, mivel a domaint nem a szerverem szolgáltatójától vásároltam.
Eközben a szerveren előre bekészítettem mindent másnapra, telepítettem tanúsítványt, megcsináltam az áirányításokat és felraktam egy WordPress telepítőcsomagot (de csak a telepítőfájlokat, adatbáziskapcsolat nélkül). Másnap kora reggel ránéztem a weboldalra és a jól megszokott telepítő képernyő fogadott (és örömmel nyugtáztam, hogy mindent sikerült elsőre beállítani), de időm ekkor még nem volt ezzel foglalkozni.
Pár órával később, körülbelül reggel 8:00-kor ismét ránéztem a weboldalra, amin egy feltelepített, „Admin” nevű WordPress oldal fogadott, ez pedig a nagy álmoskönyv szerint nem jelent túl sok jót. Az látszott, hogy fájlszinten is több módosítás történt (getheader.alfa), úgyhogy fogtam magam és kitöröltem a teljes mappát, és újratelepítettem a WordPress-t. A kártékony kód keresés utóbb a Backdoor.SH.WEBSHELL.AF-t (is) azonosított.
Mindez számomra csak annyiban érdekes, hogy vajon hogy a manóba talál rá valaki egy WordPress telepítőre egy nyilánvalóan sehol sem indexelt, feltételesen is éppen csak 8 órával korábban bejegyzett domainon elérhető weboldalon, és használ ki valamilyen vélhetőleg nem publikált WordPress telepítő sérülékenységet?
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről: