ITblog

Dziś dostałem emaila od firmy, której przedstawiać Wam nie muszę - Servage, z informacją, która potwierdziła moje kilkudniowe obawy.

Unfortunatly we had to change your FTP Password to increase the security of your account. Please dont change it back to the old one as we have got some information that your credentials maybe has been stolen by someone.

Pisownia oryginalna, jak na firmę hostingową posiadającą klientów na całym świecie, mogliby trochę poprawić swój angielski. Ale ja nie o tym chciałem.

Po kilku poprzednich postach dostawałem informację od czytelników, że jeśli widzą post na stronie głównej, to już nic się nie pokazuje na stronie posta. Na początku sądziłem, że jest to kod PayPal’a (zresztą był z nim problem, bo był ucięty i niektóre skanery antywirusowe ucięty kod wskazywały jako wirus), PayPal został zatem już tylko na stronie Autor. Jednak dwa dni temu przy okazji zmian w header.php w szablonie przez przypadek podejrzałem swój plik index.php z katalogu głównego Wordpress’a. Znalazłem tam dodatkowy kod, który ani nie pochodził od WP ani nie pochodził ode mnie. Dodatkowo, wszystkie pliki w katalogu głównym były zamienione na poprzednią wersję WP.

Pobladłem, zrobiło mi się gorąco i musiałem się napić. Wstępna analiza, po otrzeźwieniu, nie wykazała dodatkowych zniszczeń, baza nie jest dostępna z zewnątrz, więc nawet nie musiałem zmieniać hasła do MySQL’a. W grę wchodziły dwa wektory ataku: POST/GET poprzez jakiś moduł WP (których mam kilka) albo poprzez samo WP, i ftp. Po przywróceniu oryginalnych plików i upewnieniu się, że wszystko inne jest na miejscu, postanowiłem zaczekać na rozwój wydarzeń. Wykonałem (kolejny) backup, tak na wszelki wypadek.

Dziś, kiedy dostałem tego emaila, upewniłem się w przekonaniu, że to jednak znów mój ukochany provider. Już wysłałem do nich emaila z zapytaniem jak doszło do włamu. Pamiętacie mój post Servage sucks, Dreamhost leaks password? Być może jesteśmy świadkami nowego wydarzenia: Dreamhost leaks password, Servage does it too?