• Здравствуйте! У меня был взлом WordPress 4.1.1, как возможно проверить уязвимости и как в логах найти через какой запрос произошел взлом если у меня на хостинге cPanel 11?

    От взлома помогла простая замена index.php на оригинальный в корне.

    Большое спасибо!

Просмотр 12 ответов — с 1 по 12 (всего 12)
  • Нашел запрос в логах по которому запустили файл:
    /wp-content/plugins/revslider/temp/update_extract/revslider/def.php
    Запустил его появились index.htm и index.html
    оказывается не только index.php меняли а еще добавили эти два файла, я их удалил поэтому не подумал на них, думал сервер в приоритет берет php-шный файл.

    Там три файла в папке
    /wp-content/plugins/revslider/temp/update_extract/revslider

    cmd.php
    def.php
    w00t.txt

    Непонятно как он загрузил туда эти файлы.

    Логи вот:
    (читать снизу вверх) первый запрос был к admin-ajax.php

    ---
    185.7.214.249
    ---
    /wp-content/themes/rarebird/framework/plugins/revslider/temp/update_extract/revslider/w00t.txt
    4/1/15 7:27 PM
    835
    Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31
    ---
    185.7.214.249
    ---
    /wp-content/themes/designplus/framework/plugins/revslider/temp/update_extract/revslider/w00t.txt
    4/1/15 7:27 PM
    835
    Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31
    ---
    185.7.214.249
    ---
    /wp-content/themes/pindol/revslider/temp/update_extract/revslider/w00t.txt
    4/1/15 7:27 PM
    835
    Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31
    ---
    185.7.214.249
    ---
    /wp-content/themes/cuckootap/framework/plugins/revslider/temp/update_extract/revslider/w00t.txt
    4/1/15 7:27 PM
    835
    Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31
    ---
    185.7.214.249
    ---
    /wp-content/themes/beach_apollo/advance/plugins/revslider/temp/update_extract/revslider/w00t.txt
    4/1/15 7:27 PM
    835
    Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31
    ---
    185.7.214.249
    ---
    /wp-content/themes/centum/revslider/temp/update_extract/revslider/w00t.txt
    4/1/15 7:27 PM
    835
    Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31
    ---
    185.7.214.249
    ---
    /wp-content/themes/medicate/script/revslider/temp/update_extract/revslider/w00t.txt
    4/1/15 7:27 PM
    835
    Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31
    ---
    185.7.214.249
    ---
    /wp-content/themes/ultimatum/wonderfoundry/addons/plugins/revslider/temp/update_extract/revslider/w00t.txt
    4/1/15 7:27 PM
    835
    Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31
    ---
    185.7.214.249
    ---
    /wp-content/themes/IncredibleWP/framework/plugins/revslider/temp/update_extract/revslider/w00t.txt
    4/1/15 7:27 PM
    835
    Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31
    ---
    185.7.214.249
    ---
    /wp-content/themes/striking_r/framework/plugins/revslider/temp/update_extract/revslider/w00t.txt
    4/1/15 7:27 PM
    835
    Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31
    ---
    185.7.214.249
    ---
    /wp-content/themes/Avada/framework/plugins/revslider/temp/update_extract/revslider/def.php
    4/1/15 7:27 PM
    835
    Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31
    ---
    185.7.214.249
    ---
    /wp-content/plugins/revslider/temp/update_extract/revslider/def.php
    4/1/15 7:27 PM
    177
    Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.63 Safari/537.31
    ---
    185.7.214.249
    ---
    /wp-admin/admin-ajax.php
    4/1/15 7:27 PM
    420
    Mo

    http://wpblog.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

    вот он запрос
    качает файл admin-ajax с содержанием wp-config что делать???!!

    На время пока в админ-аджакс добавил
    $img=»»;
    $_POST[‘img’]=»»;
    $_GET[‘img’]=»»;

    Кто знает цивильный фикс?

    Модератор Юрій

    (@yube)

    Посмотрите http://www.exploit-db.com/exploits/36554/ Этот плагин у Вас?

    Обновите или снесите плагин. Также стоит проверить сайт скриптом http://www.revisium.com/ai/ на предмет уже загруженных шелов.

    По этому поводу возникла одна мысль.
    А что если разработчикам, точнее тем, кто заведует репозиторием завести своего рода «киллера» для изгнанных плагинов и тем (по причине «дырявости»).
    Всякое бывает, ведь не все читают новости от пентестеров и всякого рода «поросли».
    Описание работы:
    Клиент ставит плагин, он помечен в репе как «дырка», WP просит для него обновление, получает ответ — «некондиция» и не даёт активировать (как минимум) или удаляет (как максимум).
    Преимущества:
    Известные наработки не пройдут
    Недостатки:
    Лимит названий для плагинов и/или тем.

    Модератор Юрій

    (@yube)

    Ну, автовынос, наверно, слишком жестоко (народ истерит даже по поводу автообновлений движка в последней цифре), а вот большое красное уведомление, что плагин уволен из репозитария, было бы в самый раз. IMHO.

    Пока выше упомянутый мною фикс работает и вроде бы плагин работоспособный остался.

    По поводу алерта красного согласен! Я сам не всегда про каждый плагин вычитываю, поэтому даже не знал пока робот не заглянул ко мне 🙂

    Модератор Sergey Biryukov

    (@sergeybiryukov)

    Live and Learn

    А что если разработчикам, точнее тем, кто заведует репозиторием завести своего рода «киллера» для изгнанных плагинов и тем (по причине «дырявости»).

    Если в достаточно популярном плагине из репозитория найдена уязвимость, команда безопасности WordPress выпускает для него автоматическое фоновое обновление, как это было недавно с WordPress SEO и в прошлом году с Jetpack.

    Проблема в том, что уязвимости часто находятся в платных плагинах, которых в репозитории нет 🙂

    Думаю, можно что-нибудь придумать. Может плагин «уведомитель» какой-нибудь со своим блэклистом.. Тогда и коммерсанты зашевелятся, смысл распространять плагин (тему), если его не получится активировать 🙂

Просмотр 12 ответов — с 1 по 12 (всего 12)
  • Тема «Взлом WordPress 4.1.1» закрыта для новых ответов.