• Здравствуйте.

    Буквально сегодня написал мне аноним который положил один из моих сайтов, он рассказал не так много, но что узнал я, это то что он сделал при помощи скрипта python. Он запустил скрипт и пока он включен — сайт не работал, даже после выключения скрипта сайт по прежнему лежал, помог поднять сайт хостер, но не торопится рассказать как это обойти(может быть туповат).

    В общем, прошу вас помочь, если кто с этим сталкивался и знает как предостеречь свой сайт от падения, и хочется понять, в плагине ли дело или в самом CMS.

Просмотр 15 ответов — с 1 по 15 (всего 30)
  • Модератор Yui

    (@fierevere)

    永子

    можете воспользоваться https://ru.wordpress.org/plugins/wp-cerber/
    там есть защита через .htaccess этих скриптов (вкладка настроек «Панцирь»)
    либо иным способом ограничивайте доступ к /wp-admin/load-scripts.php и /wp-admin/load-styles.php они нужны только тем, кто имеет доступ в админку

    детали проблемы тут : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6389

    Спасибо, попробую.
    Буду не против услышать еще варианты.

    Скрипт на Вашем хостинге или где «запустил»?
    Хостинг/тариф какой?
    Неплохо бы и сайт указать. Или как минимуму используемые тему и плагины, а также их источники — из оф каталога или «бесплатно» с помойки.

    самом CMS

    самОЙ CMS

    Человек который запускал скрипт, не имеет доступов ни к FTP, ни к админ-панели.

    Это было сделано на двух сайтах. На одном сайте шаблон куплен, а на другом с нуля сам верстался. Я не думаю что это из-за плагинов т.к. на этих обоих сайтах установлены разные плагины, кроме: Duplicator, Cyr to Lat enhanced, All In One SEO Pack. Префикс бд на одном из сайте стоит произвольный(свой).

    Модератор Yui

    (@fierevere)

    永子

    не имеет доступов ни к FTP, ни к админ-панели.

    для атаки это и не требуется, поэтому к скриптам админки (перечислила выше) доступ закрывать совершенно безопасно для тех, кто доступа в админку и не имеет

    Вообще, посмотрели бы детали CVE по ссылке, много вопросов бы отпало

    Человек который запускал скрипт, не имеет доступов ни к FTP, ни к админ-панели…
    ..
    Это было сделано на двух сайтах. На одном сайте шаблон куплен, а на другом с нуля сам верстался.

    Так вот. «Шаблон куплен», а тем более «с нуля сам верстался» (и не «шаблон», а «тема») никак не гарантирует что в них нет шеллов или чего другого. Очень даже возможно.
    Тоже и про «разные» плагины.
    Поэтому мой вопрос «откуда был запущен скрипт» весьма важен для понимания ситуации.

    Нужно смотреть логи. В любом случае это нужно делать.

    Проблема, указанная Yui — это второе о чем подумалось, и то, только в связи с недавними новостями об этой проблеме. Но положить сайт вроде бы можно, если хостинг слабый. Поэтому и другой вопрос о хостинге/тарифе.
    См на русском https://habrahabr.ru/company/cloud4y/blog/348340/

    Модератор Yui

    (@fierevere)

    永子

    Проблема, указанная Yui — это второе о чем подумалось, и то, только в связи с недавними новостями об этой проблеме.

    поэтому лучше посмотреть и проанализировать логи (доступа, access.log) на момент падения сайта,
    если там множественные запросы на /wp-admin/load-scripts.php или load-styles.php,
    то это то, про что я написала, если же что-то иное, то и меры должны приниматься соответственно вектору атаки.

    @yui

    Верно, я нашел уже статью в интернете про это, при помощи консоли python и огромного кода отправляется запросы, при котором сайт забивается процессами и виснет.

    Хочу найти решение проблемы, ну как вы сказали, это надо в .htaccess делать

    Модератор Yui

    (@fierevere)

    永子

    справедливости ради, Питон — совсем не показатель конкретной проблемы, на нем много что пишется, в том числе и почти половина всех скриптов для взлома, DoS атак и прочей нехорошей деятельности.
    Завалить сайт можно не только запросами к данным скриптам, хотя конечно к ним это сделать несколько проще, но и банально запрашивая страницы сайта в большом количестве, большинство дешевых (и не только) хостингов быстро выдадут превышение по выделенным «попугаям» и сайт отключат. Это проблема не только WordPress, другие CMS также страдают от DoS и тем более DDoS атак.

    при помощи консоли python

    консоли… Python такой же язык программирования, как и php и С++ и др. Написать нечто, обращающееся к конкретному сайту можно на чем угодно.

    Можно, если писать. А тут уже готовый на питоне в открытом доступе, просто берите и запускайте.

    Возможно, вам будет это интересно.
    Возможно, не только вам…

    https://xakep.ru/2018/02/06/wordpress-dos/

    Можно, если писать.

    🙂 Делов на 30 мин макс.. даже не зная ни один ЯП. Это по сути просто частые запросы одного УРЛа. (Всё равно что F5 в браузере, только быстрее).

    А тут уже готовый на питоне в открытом доступе, просто берите и запускайте.

    Запустить на питоне может оказаться сложнее чем своё такое написать.
    Но не в этом суть.

    То, что Ваш сайт положили с использованием этой уязвимости — ещё не однозначный факт. Вы же логи так и не смотрели.
    Если бы было так легко валить сайты — Вы бы были не одиноки. Но пока реальных жалоб мне напр не попадалось.
    А вот через уязвимость в темах и плагинах — сколько угодно. В тч и и аналогично описанной выше — атакой на их срипты.

    Ссылка на пост автора этого бага, исправлять разработчики даже не собираются.

    я в конфиге nginx прописываю:

    
    location /wp-admin {
        # запрет доступа по ip к админке
        allow xxx.xxx.xxx.xxx;
        deny all;
        error_page 403 /404.html;
        access_log off;
        error_log off;
    }
    location /wp-admin/admin-ajax.php {
        allow all;
    }
    

    регистрация в wordpress вообще нужна только очень ограниченному числу сайтов.

Просмотр 15 ответов — с 1 по 15 (всего 30)
  • Тема «Падения сайта при помощи скрипта» закрыта для новых ответов.