[18+] Сайт взломан

  • alekcandr

    (@alekcandr)


    4 года, 8 месяцев назад

    6 августа произошел взлом судя по логам сайта , в индекс попал моментально дорвей на 6000 страниц. Пошел искать решение на просторах интертнета.

    Итак в базу данных добавили таблицы: pcachewpr, cachewpr и lmcachewpr.

    В файл wp-load.php добавили строку

    
 @include("wp-includes/nav.php");

    содержимое файла nav.php:

    https://dpaste.com/DZLYKAB5R.txt

    Теперь вопрос знатокам, как они это сделали? Куда хакеры получили доступ?

    • Тема изменена 4 года, 8 месяцев назад пользователем Sergey Biryukov.
    • Тема изменена 4 года, 8 месяцев назад пользователем Yui.
    • Тема изменена 4 года, 8 месяцев назад пользователем Yui.

    Страница, с которой нужна помощь: [войдите, чтобы увидеть ссылку]

Просмотр 12 ответов — с 1 по 12 (всего 12)
  • Модератор Sergey Biryukov

    (@sergeybiryukov)

    Live and Learn

    4 года, 8 месяцев назад

    https://codex.wordpress.org/ЧАВО/Сайт_взломали

    Автор alekcandr

    (@alekcandr)

    4 года, 8 месяцев назад

    я скачал цербер, он видит только попытки доступа по запросам XML-RPC, так они в движке по умолчанию, дырка в движке? Версия последняя.

    Модератор Yui

    (@fierevere)

    永子

    4 года, 8 месяцев назад

    дырка в XML-RPC может быть только с вашей стороны, в виде слабого пароля. Но если у вас есть Wp Cerber, то он такие попытки подбора банит достаточно быстро, так что если вас действительно взломали через XML-RPC, то значит у вас «никакущий» в плане безопасности пароль.

    Автор alekcandr

    (@alekcandr)

    4 года, 8 месяцев назад

    пароль формата: !LLLLC@!LLLLC@
    где L — буква, C — цифра, я думал, что такого рода пароль весьма надежен.

    Автор alekcandr

    (@alekcandr)

    4 года, 8 месяцев назад

    я смотрю такую же тему на англоязычной ветке уже поднимали с той же проблемой.

    тем временем цербер 1791851 Вредоносная активность снижена

    Модератор Yui

    (@fierevere)

    永子

    4 года, 8 месяцев назад

    ну если считаете что у вас надежный пароль, значит вас взломали где-то через другой путь.

    на XML-RPC сильно не смотрите, туда постоянно тыкаются,
    но то что тыкаются, это не значит что взломали.

    Автор alekcandr

    (@alekcandr)

    4 года, 8 месяцев назад

    да нет, взломали точно. я последствия взлома описал в первом сообщении. уже удалил просто дорвей по essay тематике, какой-то зарубежный, других пока очевидных поводов не вижу, так как если бы взломали через дыру в плагинах, то я их все отключил.

    Anonymous User 17440952

    (@anonymized-17440952)

    4 года, 8 месяцев назад

    Привет, не знаю может глупость скажу, но вроде немного помогает смена ссылки входа в админку (вместо wp-admin, может что-то менее заметное, например alex)
    Плагин скрыть страницу входа

    Вообще, тут есть 3 варианта почему произошел взлом:
    1. Использовался старый плагин
    2. Слабый пароль и имя пользователя admin
    3. Ссылку входа в админ панель не поменял название (wp-admin)
    4. В .htaccess не был заблокирован просмотр файлов сервера

    Кстати у меня вопрос к @fierevere и @sergeybiryukov там в правилах написано пункт 1.3 Удаление плагинов которые устарели, так а если плагин удален с официального сайта, как я его установить могу, его же нет 🙂 Да, знаю что сейчас скажут что плагин мог быть установлен раньше и потом его удалили с оф. сайта и что его могут распространять на других левых сайтах.

    @alekcandr а антивирус стоял какой-то?

    • Ответ изменён 4 года, 8 месяцев назад пользователем Anonymous User 17440952.
    Модератор Yui

    (@fierevere)

    永子

    4 года, 8 месяцев назад

    при удалении плагина из каталога, вы вполне можете его использовать и далее, с тех времен, когда он был доступен, на сайте же он у вас остался.
    Если учесть, что одной из причин удаления плагина из каталога являются неисправленные проблемы в безопасности, то старые плагины использовать не рекомендуется.
    (Хотя часто причины и не относятся к безопасности, например, если была потеряна связь с автором плагина.)

    А ставить старье, да еще и с левых сайтов — вообще последнее дело.

    Модератор Юрій

    (@yube)

    4 года, 8 месяцев назад

    если бы взломали через дыру в плагинах, то я их все отключил.

    Строго говоря, деактивация плагина не всегда делает невозможной эксплуатацию уязвимости в нем, т.к. существуют уязвимости, для которых достаточно просто наличия файла.

    Автор alekcandr

    (@alekcandr)

    4 года, 8 месяцев назад

    @shuriks, вот цербер стоял все время и все равно сломали.

    metasploit

    (@metasploit)

    4 года, 8 месяцев назад

    А можно логи выложить?

Просмотр 12 ответов — с 1 по 12 (всего 12)
  • Тема «[18+] Сайт взломан» закрыта для новых ответов.