Удалённая установка ВП злоумышленником

  • Решено SeVlad

    (@sevlad)


    11 лет, 8 месяцев назад

    Помниться в старых версия была обнаружена некритичная уязвимость, позволяющая злоумышленнику установить ВП, если админ после заливки дистрибутива его не установил.

    Коллеги, кто-то помнит\может найти этот топик, где это обсуждалось? А то у меня поиск в админке работает только раз в несколько часов. (про гуглояндексы вообще речи нет — не любят они русский форум ВП 🙁 )

    Ну или хотя бы нормальное описание уязвимости и фикса.

Просмотр 10 ответов — с 1 по 10 (всего 10)
  • Модератор Юрій

    (@yube)

    11 лет, 8 месяцев назад

    Не, кажется, там было что-то, позволяющее между первым (создание конфига) и вторым (собственно установка) шагами подсмотреть логин/пароль к БД.

    Возможность злоумышленнику установить ВП, если создан wp-config.php, но движок еще не установлен, была, есть и, боюсь, будет всегда. Вообще-то, это касается почти всех движков.

    Автор SeVlad

    (@sevlad)

    11 лет, 8 месяцев назад

    Не, кажется, там было что-то, позволяющее между первым (создание конфига) и вторым (собственно установка) шагами подсмотреть логин/пароль к БД.

    Хм.. значит моя память подводит 😉

    если создан wp-config.php

    ..с прописанными данными к БД.
    Это конечно, тут вопросов нет.
    Мне казалось что уязвимость позволяла и без конфига, при неизвестных злоумышленнику данных к БД установить ВП.
    Значит я перепутал\забыл.

    Спасибо, Юрий.

    Модератор Yui

    (@fierevere)

    永子

    11 лет, 8 месяцев назад

    можно было указать внешний mysql сервер, не localhost/127.0.0.1
    соответственно взломщик завершал установку как администратор, со своим sql сервером
    получал доступ к редактированию файлов темы/плагинов
    заливал веб-шелл со всеми вытекающими

    наиболее ленивые арабские хакеры такие «незавершенки» искали через поисковики
    PS: если хотите могу скинуть access_log с действиями хакера, правда что он там вводил как реквизиты sql в логе естественно не видно

    Вообще-то, это касается почти всех движков.

    некоторые просят создать файл-ключ

    Модератор Юрій

    (@yube)

    11 лет, 8 месяцев назад

    Вообще-то, любой сайт стоит начинать с

    deny from all
allow from my_IP

    Автор SeVlad

    (@sevlad)

    11 лет, 8 месяцев назад

    можно было указать внешний mysql сервер, не localhost/127.0.0.1

    А, точно! Благодарю, Yui.

    если хотите могу скинуть access_log с действиями хакера,

    Спасибо, но сейчас это не актуально. Меня этот вопрос интересовал только как сама инфа об уязвимости.

    Автор SeVlad

    (@sevlad)

    11 лет, 8 месяцев назад

    Yui, спасибо конечно, но Вы сейчас спалили молодым недохакерам-сеошникам способ .. впрочем, «чего», тоже говорить наверное не стоит. (я о рефферере)

    Прошу не обижаться, но, я пожалуй, удалю (скрою) Ваш пост. А если администраторы решат, что он может находится на форуме — они его восстановят.

    Модератор Yui

    (@fierevere)

    永子

    11 лет, 8 месяцев назад

    спалили молодым недохакерам способ

    что то я не подумала об этом, ведь на самом деле же просто и без специальных знаний-подготовки, я просто на это смотрю с другой точки зрения, меня этот араб позабавил скорее

    можно не восстанавливать, это так, «лирика» 😉

    Автор SeVlad

    (@sevlad)

    11 лет, 8 месяцев назад

    ведь на самом деле же просто и без специальных знаний-подготовки,

    Ну оно понятно, но мы же знаем, какое оно.. глобальное потупление 😉

    Модератор Sergey Biryukov

    (@sergeybiryukov)

    Live and Learn

    11 лет, 8 месяцев назад

    Коллеги, кто-то помнит\может найти этот топик, где это обсуждалось?

    «Множественные уязвимости в WordPress 3.3.1 и ниже».

    Автор SeVlad

    (@sevlad)

    11 лет, 8 месяцев назад

    Sergey Biryukov, спасибо. Это оно.
    Как же я так… 😉

Просмотр 10 ответов — с 1 по 10 (всего 10)
  • Тема «Удалённая установка ВП злоумышленником» закрыта для новых ответов.