Mój fajny blog WordPress na http://fakeplasticrock.com (z WordPress 3.1.1) został zhakowany - wyświetlał się <iframe>
na każdej stronie tak:
<iframe src="http://evilsite.com/go/1"></iframe>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
Zrobiłem następujące
- Aktualizacja do wersji 3.1.3 poprzez wbudowany system aktualizacji WordPress
- Zainstalowałem skaner Exploit (wiele krytycznych ostrzeżeń o nietypowych plikach) i program antywirusowy (wszystkie były czyste i zielone, więc odinstalowałem je i usunąłem po uruchomieniu)
- Zmieniono hasło MySQL.
- Zmieniono wszystkie hasła użytkowników WordPress.
- Połączony przez FTP i pobrany cały system plików (niezbyt duży, jest to współdzielony host systemu Linux tylko na WordPress)
- Zróżnicował system plików względem oficjalnej ZIP WordPress 3.1.3 i usunął lub zastąpił wszystko, co nie pasowało.
Jestem tego całkiem pewien
- wszystkie pliki na dysku są oficjalnymi plikami WordPress 3.1.3
- na dysku nie ma żadnych „dodatkowych” plików oprócz mojego
/theme
, wtyczki Exploit Scanner (którą właśnie pobrałem),/uploads
folderu i kilku innych oczekiwanych plików. Moja inna wtyczka, wp-recaptcha, pasuje do bieżącej oficjalnej pobranej wersji. - Sprawdziłem również
.htaccess
plik i nic tam nie wygląda źle
Nie dotknąłem bazy danych , ale staram się myśleć, jak coś w bazie danych może być złośliwe bez specjalnego kodu PHP, aby działało?
Mój blog WordPress jest teraz w porządku i nie zawiera hacków (myślę), ale czy jest jeszcze coś, co powinienem sprawdzić?
Odpowiedzi:
Czy zidentyfikowałeś wektor wykorzystujący lukę? Jeśli nie, możesz pozostać otwarty na przyszłe wykorzystanie.
Inne rzeczy do rozważenia:
Zmień prefiks tabeli db.htaccess
źródło
Patrząc na komunikat „Bezpiecznego przeglądania” w Google Chrome, pojawia się „hack .cc iFrame”, który wydaje się ostatnio dużo krążyć. Myślę, że 3.1.3 to naprawi, ale sprawdź swój plik index.php w katalogu głównym, jeśli witryna, to tam mnie uderzyło, dopóki nie zaktualizowałem WSZYSTKIEGO i zmieniono hasła.
Jest kilka BARDZO trudnych rzeczy, które ludzie mogą zrobić z zastrzykami postów i komentarzy. Możesz uruchomić następujące zapytania w swojej bazie danych, aby znaleźć niektóre z nich. Blogowałem resztę mojego „śledzenia” tutaj .
Mam nadzieję że to pomoże!
źródło
SELECT * FROM wp_* WHERE comment_content LIKE '%<?%'
iSELECT * FROM wp_* WHERE comment_content LIKE '%<?php%'
dla pewności ...Baza danych może również zawierać złośliwy kod: ukryte konta użytkowników lub wartości, które są drukowane gdzieś bez zmian. Sprawdź także w katalogu przesyłania pliki, które tam nie należą.
Aha, i spróbuj zrozumieć, w jaki sposób atakujący znalazł drogę do Twojej witryny. Na kontach współdzielonych często jest to cały serwer. Sprawdź inne witryny na serwerze pod kątem zhakowanych blogów lub innych stron. Przeczytaj swój dziennik FTP. Jeśli nie wiesz, jak to się stało, nie możesz zapobiec kolejnej przerwie.
źródło
wp_users
tabelę i tylko 2 rzędy, oba oczekiwane ... nic w/upload
folderze nietypowe (tylko gify i PNG i JPEG)Przykro nam, że zostałeś zhakowany - wygląda jednak na to, że wykonałeś dobrą operację odzyskiwania!
Twój system plików brzmi złocisto, nie powiedziałbym, że możesz zrobić coś jeszcze.
Sądzę, że Exploit Scanner rzuci ostrzeżenie, jeśli znajdzie jakieś skrypty, iframe, PHP (choć niebezpieczne tylko, jeśli eval'd) lub inny nietypowy kod w bazie danych.
Nie jestem pewien, czy sprawdza tabele inne niż posty i komentarze, być może warto
/wp-admin/options.php
zajrzeć do szybkiego spojrzenia i sprawdzić, czy zauważysz coś dziwnego.Sprawdziłbym również tabelę użytkowników w kliencie MySQL (użytkownicy mogą znajdować się w bazie danych, ale nie są widoczni dla administratora).
źródło
Sprawdź narzędzia Google dla webmasterów pod kątem dwóch rzeczy:
Ponadto ponownie zaimplementuję motyw lub sprawdzę go bardzo uważnie. Kilka linii PHP może przedefiniować podstawowe funkcje PHP, aby wyodrębnić szkodliwy kod z bazy danych, zwłaszcza tabele kluczy / wartości magazynu wp_options
źródło
Przeszukaj bazę danych za pomocą phpmyadmin pod kątem „iframe” lub zrzuć bazę danych i wyszukaj tekst.
I sprawdź niewidocznych użytkowników w tabeli użytkowników; Widziałem użytkowników w tabelach, które nie pojawiały się w WP Admin >> Użytkownicy.
Wyczyść opcje «Wtyczki WordPress pokażą, co śmieci ze starych i prawdopodobnie wrażliwych wtyczek pozostały w bazie danych.
W Twoim motywie brakuje również
<head>
znacznika, więc sprawdziłbym to w przypadku edytowania motywu w celu usunięcia złych linków.I zwykle: i jak znaleźć backdoora w zhakowanym WordPressie i hartowaniu WordPressa «WordPress Codex
źródło
„czy jest jeszcze coś, co powinienem sprawdzić?” Musisz zbadać swój proces i dowiedzieć się, w jaki sposób zostałeś zhakowany (prawie na pewno dlatego, że nie załatałeś się na czas lub poprawnie) i to naprawić, nie tylko objawy.
źródło
To mi się kiedyś zdarzyło przez wyciek na mediatemie. Musiałem napisać wtyczkę, aby sprawdzić bazę danych pod kątem wstrzykniętych łączy. Możesz go tutaj pobrać jako gadżet github .
Jest dość przyjazny dla użytkownika, ma kilka kroków, które dostarczają informacje zwrotne i ponownie sprawdza bazę danych po zakończeniu.
Powodzenia!
źródło
Miałem bardzo podobny hack, który musiałem naprawić na jednej z moich stron klienckich.
W systemie plików były złośliwe skrypty (php base64_decode). Jednak tabele „posty” i „komentarze” w bazie danych zostały naruszone, a kod iframe został również rozproszony przez te dane.
Dla bezpieczeństwa przeprowadziłbym przynajmniej kilka wyszukiwań DB. :)
źródło
Sprawdź swoje wtyczki !, jak dotąd w tym roku pojawiło się 60 wydań exploitów z wtyczek .org, podejrzewam, że rzeczywista liczba jest znacznie wyższa, ponieważ tak naprawdę nikt nie robi tego na pełny etat.
Podałeś, że masz tylko jedną wtyczkę, no cóż, miała dziurę w zabezpieczeniach (nie jestem pewien, jak długo była wyłączona i może to nie być wektor).
Autor stwierdził, że przepisał wersję 3.0, ale nie ma wzmianki o łatce bezpieczeństwa.
http://www.wpsecure.net/2011/03/wp-recaptcha-plugin/
Dziennik zmian: http://wordpress.org/extend/plugins/wp-recaptcha/changelog/
źródło
Korzystam z serwera w chmurze i mam losowe numery portów SSH w ogóle bez ftp. Hasła są niezwykle trudne do zhakowania. Cały dostęp do katalogu głównego jest całkowicie zabroniony. Zgadzam się, że WordPress nie będzie twoim winowajcą. Kolejną rzeczą do sprawdzenia jest to, że sesje ftp się nie zamykają, wirus na twoim komputerze osobistym (pamiętaj, że możesz załadować plik do witryny i kto kiedykolwiek załaduje ten plik, może dostać tego samego wirusa), a także nie przechowuj haseł w witrynach publicznych lub prywatnych strony zawsze zapisują je na papierze, nigdy w dokumencie tekstowym lub notatniku.
Na koniec zapytaj hosta, czy ostatnio miał naruszenie, ponieważ powinien mieć konfigurację zapory ogniowej
źródło
Sprawdź datę swoich plików. Żaden plik nie powinien mieć danych zmiany nowszych niż ostatnia edycja / instalacja!
Ale można to również sfałszować. Jedynym sposobem upewnienia się byłoby porównanie (np. Porównanie skrótów) wszystkich plików z oryginalnymi plikami instalacyjnymi.
źródło