Tämä saitti on saastunut. Ei toki enää, mutta niin vain voi hyperparanoideillekin käydä. On jokseenkin noloa että näin kävi, ja pystyisin välttämään nöyryytyksen olemalla asiasta hiljaa. Joten en ole siitä hiljaa. V****mainen kokemukseni saattaa auttaa myös muita, jotka ylläpitävät omia WordPress-saittejaan tai ylipäätään tekevät mitään.
Mitä tapahtui?
Viime viikolla saitti lakkasi yht’äkkiä toimimasta, ja palveluntarjoajalta (Bluehost) tuli tällainen sähköposti:
Dear Jakke:
Your web hosting account for zygomatica.com has been deactivated, as of 07/25/2016. (reason: terms of service violation – malware/virus)
This deactivation was due to a Terms of Service violation associated with your account. At sign-up, all users state that they have read through, understand, and agree to our terms. These terms are legal and binding.
Although your web site has been suspended, your data may still be available for up to 15 days from the date of deactivation; if you do not contact us during that 15 day period, your account and all of its files, databases, and emails will be deleted.
Contact us if you feel the deactivation was a mistake. You must contact us to regain access to your account. [Puhelinnumero]
Mielelläni sanoisin että hoidin asian kylmänviileän ammattilaisesti, mutta todellisuudessa menin kyllä paniikkiin. Soitin useankin itkunsekaisen paniikkisoiton USA:han.
Kun lopulta sain hermoni edes jollakin tavalla takaisin, palauttaminen oli lopulta suhteellisen suoraviivaista (joskin v****maista), koska olen paranoidi. Olin laittanut BackupWordpressin ottamaan viikoittaiset varakopiot, jotka pystyin lataamaan FTP:n kautta omalle koneelleni. Normaalisti olen niin paranoidi että lataan varakopiot säännöllisesti myös omalle koneelleni, mutta nyt oli v**** laiskuus iskenyt, ja viimeinen lataus oli helmikuulta.
(Onneksi olin sen verran paranoidi, että olin käyttänyt tätä palvelua Bluehostin v***n standardin backup-palvelun lisäksi — se nimittäin ei osannut palauttaa sivustoa, vaikka periaatteessa varakopiot olikin otettu. Trust no one).
Palauttaminen oli suhteellisen suoraviivaista mutta jokseenkin työlästä — sivuston kaikki sisältö piti tuhota, ja sen jälkeen ftp:n avulla palauttaa varakopion tiedostot. Tähän meni pari v****maista päivää, ja loppujen lopuksi lähes kaikki onnistui. (Pienenä detaljina varakopio ei onnistunut palauttamaan sellaisia v***n kuvatiedostoja, joiden nimessä on ääkkösiä. Muutama kuva on siis mennyt pilalle, mutta nähdäkseni ei mitään kriittistä).
Mitä ihmettä oli tapahtunut?
Rautainen ammattilainen olisi käyttänyt tilanteen hyväkseen ja selvittänyt, mitä v***a tarkkaan ottaen oli tapahtunut ja miten. Itse olin sen verran hysteerinen, että halusin vain että tilanne menee nopeasti ohi eikä sitä tarvitsisi enää koskaan ajatella. Sen verran huomasin Bluehostin cpanel-ominaisuuksia käyttämällä, että saitin kotihakemistoon oli ilmestynyt kummallisia zip-tiedostoja ja alihakemistoja, mm “gopni3g” sekä “porno”-nimiset alihakemistot. Mysteeriksi jää, mitä v****a viimeinen oikein mahtoikaan sisältää.
Malware-ohjelmisto on onnistunut luomaan nämä tiedot, ja onnistunut myös ohittamaan saitin normaalit valvontajärjestelmät, niin että datan hakeminen niistä ei ole näkynyt itselleni mitenkään. V***n pahikset ovat jakaneet ainakin laitonta musiikkia — ja sitä mystistä “porno”-hakemiston materiaalia, mitä se sitten onkaan — tämän saitin kautta, ja ilmeisesti myös pyörittäneet muita bisneksiä.
Olisiko tämä pitänyt huomata?
Pirullista on, että saitti on luultavasti ollut saastunut jo pitkäänkin, ilman että olen sitä tiennyt. Jos hakkerit asentavat sivuille tiedostoja joita ei pysty löytämään normaalin WordPress-sivun kautta, niitä ei ole helppo huomata. Asensinkin lopulta ensimmäistä kertaa mm maksullisen Sitelocker-ohjelman, koska tajusin miten v***n hankalaa/mahdotonta malware-ohjelmien seuraaminen omin avuin on.
Siitä huolimatta ongelman olisi voinut huomata sentään useita viikkoja aikaisemmin, jos vain olisi v**** viitsinyt, yksinkertaisesti seuraamalla Jetpackin omia Site Stats-tietoja sekä Google Analyticsiä. Kumpikin on helppokäyttöinen ja helppo asentaa.
Alla muutama kuvankaappaus, joiden perusteella ongelma olisi ollut huomattavissa jo heinäkuun alussa. Saitin päivitys on ollut kesän aikana hiljaista; edellinen postaus on ollut 16.6. ja sitä edellinen 19.5. Juhannuksen jälkeen en ole edes ajatellut koko v***n saittia. Ei ole juuri kukaan muukaan, paitsi pahantekijät.
Noin 25 kävijää päivässä tuntuu vakiintuneen kävijämääräksi silloinkin kun mitään ei v*** tapahdu; esimerkiksi PlumpyNut-sivuni saavat tasaisesti ympäri maailmaa osumia ihmisiltä, jotka ovat kiinnostuneet humanitäärisistä patenteista.
Jos olisin seurannut tilannetta, viimeistään joskus 12.7. tienoilla olisi pitänyt alkaa ihmetyttää, mistä moinen v***n nousu (päivän-kahden piikkejä saattaa tulla silloin, jos saitti on ollut esillä esim jossakin v***n keskusteluryhmässä).
Ensimmäinen hiukan epäilyttävä hakusana löytyy 7.7: “auto followers ig bertena”
Sen jälkeen kaikki hakusanat ovat viitanneet siihen, että saitti on päätynyt jollekin v***n bahasankieliselle listalle.
Google Analytics vahvistaa tämän: lähes kaikki liikenne on tullut v***n Indonesiasta.
Home Page/Archives linkittyy pääsivulle, ja sisältää kerrat joissa joku on hakenut sivua “www.zygomatica.com”. Lisäksi se sisältää myös haut joissa joku on etsinyt jotain v***n sivua jota ei enää ole olemassa.
Oma melko sivistymätön arvaukseni on, että jos joku on onnistunut livauttamaan sivuille malware-alihakemiston joka ohittaa WordPressin, sitä ei voi WordPressin tai Google Analyticsin ohjelmilla havaita. Tätä kautta on pystytty tekemään v***n pahoja todella pitkään, ilman että kukaan on huomannut. Ongelma tulee näkyville vain, jos joku hakee yrittää hakea siitä hakemistosta tietoa väärällä osoitteella. Silloin järjestelmä huomaa virheellisen haun, ja se tulee näkyviin.
Jossakin vaiheessa joku on jakanut tietoa väärään v***n paikkaan, esimerkiksi johonkin keskusteluryhmään, josta Google-haku on onnistunut nappaamaan osoitteen. Useat ihmiset ovat pystyneet hakemaan mitä sitten ovatkaan hakeneet. Jossakin vaiheessa alkuperäinen sivu on kuitenkin muuttunut, mutta linkki siihen ei. Silloin google-haun kautta tulleet osumat ovat jääneet WordPressin haaviin. Ilman tätä virhettä minulla ei olisi ollut edes v**** teoreettista mahdollisuutta tietää mistä on kyse.
Tämän hetken tilanne
Nyttemmin tilanne näyttää normalisoituneen, mistä ehkä parhaana merkkinä on toissapäivä: ainoa hakusana, jolla saitille on osuttu, on “lannistuminen”. Juuri tuollaiset hakusanat ovat se, millä tämä saitti elää. Silti yhä edelleen kyllä v***ttaa ja väsyttää.
Tilannetta täytyy silti seurata tiukasti. Hämäriä osumia tulee edelleen, tänään esimerkiksi Irakista muutama kappale. Mutta Bluehostin seurantasivu osoittaa, että niiden hakemaan v***n gopni3g-hakemistoa ei enää ole, ja haut ovat tyssänneet siihen. Luultavasti hakuja tulee vielä jonkin aikaa, ja sitten ne aikanaan loppuvat.
Typerää tässä on lähinnä se, että sivujen kävijästatistiikka näyttää nyt llian v***n hyvältä näiden spämmäreiden takia. Huijaustahan se ei ole koska en sitä pysty mitenkään estämään, mutta v***ttaa se silti.
Mitä tästä voi oppia:
- Älä hallinnoi omaa WordPress-verkkosivustoa, ellet ole valmis kestämään rajatonta stressiä ja v***tusta.
- Jos erehdyt niin tekemään, seuraa v***n herkeämättä mitä sivulla tapahtuu, monella työkalulla.
- Muista päivittää kaikki v***n pluginit mahdollisimman usein.
- Varakopioi, varakopioi, v**** varakopioi.
- Varakopioi vähintään kolmella eri v***n menetelmällä.
- Valmistaudu maksamaan v***sti turvallisuudesta.
Mistään näistä ei tarvitse huolehtia, jos käyttää wordpress- tai muuta alustaa (ilmaista tai maksullista). Silloin alustan tarjoaja kärssii tämän v***tuksen. Nämä alustat ovat tietysti paljon rajatumpia, eikä niillä voi tehdä esimerkiksi tämän sivuston kaltaisia erillisia alikokonaisuuksia (Perjantaikirjoituksia, Talvivaara, Työttömyys).
Tärkein syy tehdä tämä itse on asioiden oppiminen ja ammattitaidon ylläpito. Ja jos pitää v***tuksesta, tämä on erinomainen harrastus.
WordPress on kyllä aivan karsea. Tiedän, koska olen adminina muutamallakin wordpress-saitilla.
WordPressissa on muuten “hauskoja” ominaisuuksia. Sain kerran aika vähäisellä konfigurointimokalla (olin antanut WP:lle WP:n mielestä vähän liian vähän oikeuksia kansioihin, joihin se oli asennettu) WP:n sylkemään lokiin puoli gigatavua virheilmoituksia tiukassa luupissa per sekunti. Tämä on toistaiseksi henkilökohtainen ennätykseni.
Ylipäätään en ymmärrä, miksi niin paljon yleisesti käytössä olevia softia on pitänyt koodata PHP:llä, joka on ylivoimaisesti maailman turvattomin ja rikkinäisin skriptikieli. Ohjelmointikieleksi sitä ei oikein voi sanoa.
Peruskäyttäjän kannalta WP on kyllä aika hyvä ja käytettävä. Mutta konepellin alla on kieltämättä ongelmia, ja adminointi ei ole kovinkaan kivaa. Tosin tämä on ainoa isompi ongelma joka minulla on vuosien aikana ollut, joten oma kokemukseni on kaiken kaikkiaan edelleen positiivisen puolella. Vähän epäilen että onko se ruoho olennaisesti vihreämpää muuallakaan. Nuo samat v***n säännöt pätevät uskoakseni kaikkeen tietokonepuuhasteluun…
Ns. kökkö tsägä, hyvä että homma hoitui pienellä panikoinnilla.
Lisävinkki: WP:tä tai muitakaan ohjelmia ei kannata asentaa oletushakemistoon, mutta ei tuo übersimppeli kikka tietenkään kaikkiin luikertelijoihin auta.
Sikäli kun jotain jäi vielä uupumaan, esim ne ääkköskuvat, niin Wayback Machine (archive.org) saattaa tietty auttaa. Ja sitä kautta voi ehkä selata niitä outoja kräkkerihäkkerihakemistojakin, jos ovat jo siellä. Voit selvittää mistä olet nyt kuuluisa maailmalla. Tai ainakin Indonesiassa.
On elämässä muutakin tekemistä kuin kaivella tätä enää enempää… En ole ihan varma ottaako wayback machine talteen muuta kuin varsinaiset WP-jakeluun liittyvät tiedostot, koska ei niitä piilotettuja löydä ellei tiedä täsmälleen osoitetta, eikä niihin pitäisi päästä WP-sivujen kautta ollenkaan. Paras lähtökohta on se että ennen pitkää jotain tällaista tapahtuu, ja jos sitä ajatusta ei kestä, niin on niitä muitakin harrastuksia. Vaikkapa pitsinnypläys.