Взлом WordPress 4.1.1
-
Здравствуйте! У меня был взлом WordPress 4.1.1, как возможно проверить уязвимости и как в логах найти через какой запрос произошел взлом если у меня на хостинге cPanel 11?
От взлома помогла простая замена index.php на оригинальный в корне.
Большое спасибо!
-
Нашел запрос в логах по которому запустили файл:
/wp-content/plugins/revslider/temp/update_extract/revslider/def.php
Запустил его появились index.htm и index.html
оказывается не только index.php меняли а еще добавили эти два файла, я их удалил поэтому не подумал на них, думал сервер в приоритет берет php-шный файл.Там три файла в папке
/wp-content/plugins/revslider/temp/update_extract/revslidercmd.php
def.php
w00t.txtНепонятно как он загрузил туда эти файлы.
Логи вот:
(читать снизу вверх) первый запрос был к admin-ajax.php--- 185.7.214.249 --- /wp-content/themes/rarebird/framework/plugins/revslider/temp/update_extract/revslider/w00t.txt 4/1/15 7:27 PM 835 Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31 --- 185.7.214.249 --- /wp-content/themes/designplus/framework/plugins/revslider/temp/update_extract/revslider/w00t.txt 4/1/15 7:27 PM 835 Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31 --- 185.7.214.249 --- /wp-content/themes/pindol/revslider/temp/update_extract/revslider/w00t.txt 4/1/15 7:27 PM 835 Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31 --- 185.7.214.249 --- /wp-content/themes/cuckootap/framework/plugins/revslider/temp/update_extract/revslider/w00t.txt 4/1/15 7:27 PM 835 Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31 --- 185.7.214.249 --- /wp-content/themes/beach_apollo/advance/plugins/revslider/temp/update_extract/revslider/w00t.txt 4/1/15 7:27 PM 835 Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31 --- 185.7.214.249 --- /wp-content/themes/centum/revslider/temp/update_extract/revslider/w00t.txt 4/1/15 7:27 PM 835 Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31 --- 185.7.214.249 --- /wp-content/themes/medicate/script/revslider/temp/update_extract/revslider/w00t.txt 4/1/15 7:27 PM 835 Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31 --- 185.7.214.249 --- /wp-content/themes/ultimatum/wonderfoundry/addons/plugins/revslider/temp/update_extract/revslider/w00t.txt 4/1/15 7:27 PM 835 Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31 --- 185.7.214.249 --- /wp-content/themes/IncredibleWP/framework/plugins/revslider/temp/update_extract/revslider/w00t.txt 4/1/15 7:27 PM 835 Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31 --- 185.7.214.249 --- /wp-content/themes/striking_r/framework/plugins/revslider/temp/update_extract/revslider/w00t.txt 4/1/15 7:27 PM 835 Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31 --- 185.7.214.249 --- /wp-content/themes/Avada/framework/plugins/revslider/temp/update_extract/revslider/def.php 4/1/15 7:27 PM 835 Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31 --- 185.7.214.249 --- /wp-content/plugins/revslider/temp/update_extract/revslider/def.php 4/1/15 7:27 PM 177 Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31 --- 185.7.214.249 --- /wp-admin/admin-ajax.php 4/1/15 7:27 PM 420 Mo
http://wpblog.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
вот он запрос
качает файл admin-ajax с содержанием wp-config что делать???!!На время пока в админ-аджакс добавил
$img=»»;
$_POST[‘img’]=»»;
$_GET[‘img’]=»»;Кто знает цивильный фикс?
Кто знает цивильный фикс?
Избавиться от revslider https://ru.forums.wordpress.org/topic/google-считает-что-сайт-взломан?replies=9#post-176491
А потом провести дезинфекцию
https://ru.forums.wordpress.org/topic/Помогите-взламывают-вордпресс?replies=9#post-174279Посмотрите http://www.exploit-db.com/exploits/36554/ Этот плагин у Вас?
Обновите или снесите плагин. Также стоит проверить сайт скриптом http://www.revisium.com/ai/ на предмет уже загруженных шелов.
По этому поводу возникла одна мысль.
А что если разработчикам, точнее тем, кто заведует репозиторием завести своего рода «киллера» для изгнанных плагинов и тем (по причине «дырявости»).
Всякое бывает, ведь не все читают новости от пентестеров и всякого рода «поросли».
Описание работы:
Клиент ставит плагин, он помечен в репе как «дырка», WP просит для него обновление, получает ответ — «некондиция» и не даёт активировать (как минимум) или удаляет (как максимум).
Преимущества:
Известные наработки не пройдут
Недостатки:
Лимит названий для плагинов и/или тем.Ну, автовынос, наверно, слишком жестоко (народ истерит даже по поводу автообновлений движка в последней цифре), а вот большое красное уведомление, что плагин уволен из репозитария, было бы в самый раз. IMHO.
Пока выше упомянутый мною фикс работает и вроде бы плагин работоспособный остался.
По поводу алерта красного согласен! Я сам не всегда про каждый плагин вычитываю, поэтому даже не знал пока робот не заглянул ко мне 🙂
А что если разработчикам, точнее тем, кто заведует репозиторием завести своего рода «киллера» для изгнанных плагинов и тем (по причине «дырявости»).
Если в достаточно популярном плагине из репозитория найдена уязвимость, команда безопасности WordPress выпускает для него автоматическое фоновое обновление, как это было недавно с WordPress SEO и в прошлом году с Jetpack.
Проблема в том, что уязвимости часто находятся в платных плагинах, которых в репозитории нет 🙂
Думаю, можно что-нибудь придумать. Может плагин «уведомитель» какой-нибудь со своим блэклистом.. Тогда и коммерсанты зашевелятся, смысл распространять плагин (тему), если его не получится активировать 🙂
- Тема «Взлом WordPress 4.1.1» закрыта для новых ответов.