Comments 30
Как-то сумбурно все, так и не понял конкретно, что за уязвимость CMS WordPress в итоге создала проблемы ТС…
Честно говоря, я сам еще до конца не разобрался, как именно подломали ftp аккаунт (либо перебором, либо через какой то сторонний плагин CMS). Но WordPress в заголовке т.к. тот кто подломал, знал как модифицировать CMS что бы навредить…
Какие файлы ядра WP были модифицированы? В посте описан /css/sys0972500-1.php — случайное имя файла и первая попавшаяся директория (либо из «словаря»)
Вот из-за таких постов и формируется незаслуженные негативные отзывы о WordPress, а в 99% виноваты кривые ручонки «веб-мастеров» или разрабов плагинов, вспомнить например печально знаменитый Timthumb, уязвимость плагина, а виноват опять кто? — Wordpress конечно!
Вот из-за таких постов и формируется незаслуженные негативные отзывы о WordPress, а в 99% виноваты кривые ручонки «веб-мастеров» или разрабов плагинов, вспомнить например печально знаменитый Timthumb, уязвимость плагина, а виноват опять кто? — Wordpress конечно!
Был модифицирован файл
и
Я очень! Люблю WordPress, и мне нравится его использовать! В статье постарался написать как избежать взлома популярной CMS. WordPress же тут просто для примера. Т.к. ситуация реальна. WP на столько популярна среди блогеров, что из-а этой популярности и среди взломщиков оказывается на одном из первых мест…
/wp-content/plugins/lazy-load/js/lazy-load.js
и
wp-content/plugins/usernoise/js/usernoise.js
Я очень! Люблю WordPress, и мне нравится его использовать! В статье постарался написать как избежать взлома популярной CMS. WordPress же тут просто для примера. Т.к. ситуация реальна. WP на столько популярна среди блогеров, что из-а этой популярности и среди взломщиков оказывается на одном из первых мест…
С некоторых пор я вообще под Windows не ввожу никаких паролей и номеров кредитных карт. Я считаю, что даже самый лучший антивирус не дает 100% гарантии. Сейчас на LinuxMint. А все эксперименты провожу на локальном веб-сервере(мой ноут вполне с этим справляется). В продакшн идет уже протестированный код/плагин. Ну и пароли для фтп должны быть достаточно сложными.
Вот хоть убей, не понимаю людей, которые используют FTP, всякие веб-панели администрирования, phpMyAdmin. Главное ведь наружу всё это добро торчит, а они надеятся, что всё будет хорошо.
У вас сайт — наружу порты 80, 443, 22 (только с определенных IP). Всё.
Это не панацея (может и в wordpress уязвимость быть), но это сузит круг подозреваемых до одного.
У вас сайт — наружу порты 80, 443, 22 (только с определенных IP). Всё.
Это не панацея (может и в wordpress уязвимость быть), но это сузит круг подозреваемых до одного.
Нашел сейчас в одном из бэкапов тот файл: sys0972500-1.php
Начинается он так:
Могу прислать, если нужно кому.
Вот так его определил антивирус:
Начинается он так:
<?php ${"\x47L\x4f\x42A\x4c\x53"}["\x6dql\x65byzv\x6dj"]="k";${"\x47\x4c\x4fBA\x4c\x53"}["\x70\x6c\x66\x70\x67\x74\x62"]="\x68\x5fdet\x65cte\x64";${"
Могу прислать, если нужно кому.
Вот так его определил антивирус:
Ждем пост про настройку бэкапа на ЯД :)
Пароль к фтп в тотал командере сохраняли?
Что то Вы меня пугаете… конечно сохранял…
В сборке которой пользуюсь уже лет 5, и ftp пользуюсь только из нее… там много паролей забито.
В сборке которой пользуюсь уже лет 5, и ftp пользуюсь только из нее… там много паролей забито.
Значит самого главного вывода в статье нет :-)
Вооот оно! Прозвучало! Все чаще замечаю, что при установке freeware или opensource софта, кроме необходимого инструмента ставится еще и ненужное «барахло»: всякие менеджеры, загрузчики, оптимизаторы и прочее, понимаю что бесплатное ПО хочет немного себя окупить, но скачивая и устанавливая нужное ПО мы получаем кучу не нужного, и тем более зловредное ПО а это уже мошенничество чистой воды. Тем более это отличный способ получить доступ к чему либо еще и использовать это в своих целях.
Тоже самое происходит с приложениями в Android. Скачивая приложение мы получаем в нагрузку и другое! Я уже молчу стабильной тенденции «мотивировать» пользователей соц.сетей к оплате.
Тоже самое происходит с приложениями в Android. Скачивая приложение мы получаем в нагрузку и другое! Я уже молчу стабильной тенденции «мотивировать» пользователей соц.сетей к оплате.
Если мне не изменяет память, в самом TotalCommander есть предупреждение, что в нем хранить пароли небезопасно. Поэтому я никогда не хранил пароли в нем. Да неудобно, каждый раз вбивать или копипасить, но если уже сами разработчики предупреждают, легкомысленно этот факт игнорировать.
А теперь внимание вопрос — у вас ос лицензионная?
антивирус и другой софт — лицензионный?
коментом ниже уже сказали — главного вывода нет.
Потому что хранить все пароли надо либо а) в голове, либо б) в специальной софтинке, вроде keepassx, умеющей как хранить пароли в шифрованной базе, так и генерировать сложные пароли вроде такого:
«5F~R_G;Q[AnM%^)NRh-Rn}Ts-Kwz=-UUDupzGW{y n4=wN!r%4)K7`Nu/,{: isB»
Удачи в переборе такого счастья.
Кстати да, я могу вполне спокойно из keepassx копировать и вставлять пароль прямо в процессе демонстрации, например, панели управления боевым хостингом, ничего кроме "********" пользователи не увидят.
антивирус и другой софт — лицензионный?
коментом ниже уже сказали — главного вывода нет.
Потому что хранить все пароли надо либо а) в голове, либо б) в специальной софтинке, вроде keepassx, умеющей как хранить пароли в шифрованной базе, так и генерировать сложные пароли вроде такого:
«5F~R_G;Q[AnM%^)NRh-Rn}Ts-Kwz=-UUDupzGW{y n4=wN!r%4)K7`Nu/,{: isB»
Удачи в переборе такого счастья.
Кстати да, я могу вполне спокойно из keepassx копировать и вставлять пароль прямо в процессе демонстрации, например, панели управления боевым хостингом, ничего кроме "********" пользователи не увидят.
Пользуясь случаем, замечу, что любой секурности есть пределы. Потратив немало времени на настройку реплики mysql, IT департамент моей организации пришел к выводу, что усложнение длины генерируемого пароля до 35 символов было перебором. Кто не в курсе — реплика не будет работать, если длина пароля превышает 32 символа.
Сумбурно, слишком много ненужного, а решается все гораздо проще.
1. Логировать отсылку почты умеет сам php, не обязательно для этого «насиловать» почтовик — mail.add_x_header и mail.log в помощь
2. Почтовик надо настраивать на предмет ограничения рассылки писем (например не более 500 в час), этим же еще и спасетесь от попадания в черные списки. Кроме того можно настроить уведомления о большой очереди и/или большой активности.
3. Поиск зловордов онлайн сканерами — это вообще зачем такое чудо чудное? Надо с причиной болезни разбираться, а не с последствиями.
Ищите локально!
Тот же ClamAV прекрасно найдет вам все залитые php-шеллы и прочую муть (впрочем, мейлеры, к сожалению, не найдет).
4. Можно попробовать ai-bolit. Хотя мой опыт на клиентских сайтах «отрицательный» — я так и не понял, как этим инструментом пользоваться. Находит очень много «подозрительных» файлов. Так много, что руками перебрать их нереально.
5. В первую очередь анализируйте логи веб-сервера!
grep «POST» на лог файл (и на все старые логи) и там будет прекрасно видно «левые» скрипты.
В 90% случаев взламывают через уязвимость какого-то из компонет/плагинов/проч. Через неё заливают шелл и потом уже делают все остальное.
А статья ни о чем, простите :)
1. Логировать отсылку почты умеет сам php, не обязательно для этого «насиловать» почтовик — mail.add_x_header и mail.log в помощь
2. Почтовик надо настраивать на предмет ограничения рассылки писем (например не более 500 в час), этим же еще и спасетесь от попадания в черные списки. Кроме того можно настроить уведомления о большой очереди и/или большой активности.
3. Поиск зловордов онлайн сканерами — это вообще зачем такое чудо чудное? Надо с причиной болезни разбираться, а не с последствиями.
Ищите локально!
Тот же ClamAV прекрасно найдет вам все залитые php-шеллы и прочую муть (впрочем, мейлеры, к сожалению, не найдет).
4. Можно попробовать ai-bolit. Хотя мой опыт на клиентских сайтах «отрицательный» — я так и не понял, как этим инструментом пользоваться. Находит очень много «подозрительных» файлов. Так много, что руками перебрать их нереально.
5. В первую очередь анализируйте логи веб-сервера!
grep «POST» на лог файл (и на все старые логи) и там будет прекрасно видно «левые» скрипты.
В 90% случаев взламывают через уязвимость какого-то из компонет/плагинов/проч. Через неё заливают шелл и потом уже делают все остальное.
А статья ни о чем, простите :)
Я бы на вашем месте закрыл возможность авторизации по ftp, к тому же, вы — единственный админ — пользуетесь рутовым ssh, так зачем держать потенциально уязвимое место открытым?
Для защиты от брута админпанели Wordpress защищает статичный IP и ограничение по авторизации всем, кроме него. Если IP динамика, можно пошаманить на тему смены названия wp-login.php на что-то нестандартное.
Кстати, для защиты от исполнения .php можно в папку с css/js или картинками залить .htaccess с
Для защиты от брута админпанели Wordpress защищает статичный IP и ограничение по авторизации всем, кроме него. Если IP динамика, можно пошаманить на тему смены названия wp-login.php на что-то нестандартное.
Кстати, для защиты от исполнения .php можно в папку с css/js или картинками залить .htaccess с
php_value engine off. И, конечно, не забываем прописать правильные права доступа chown/chmodSign up to leave a comment.
Хак сайта на WordPress, кому все это нужно и советы как этого избежать