a seguito di un attacco; cartelle e file casuali in public_html. Che tipo di attacco è questo?

Naviga le tue risposte
4

Come risultato dell'attacco ci sono cartelle e file php casuali all'interno di esse nelle directory public_html. I siti sono Wordpress, Opencart o solo HTML. Tutti i siti esposti all'attacco.

Screenshot della situazione:

Chetipodiattaccoèquesto?Qualèlaragione?

Possofornirepiùinformazionimanonsodadoveiniziare.Quindiperfavorechiedimicommenti.

APACHELOGFILES:

link

link

link

link

    
posta mertyildiran 05.11.2015 - 14:17
fonte

1 risposta

4

Oggigiorno, molti robot stanno effettuando la scansione di Internet per individuare violazioni della sicurezza che violano i server. Poiché WordPress è uno dei CMS più utilizzati, la maggior parte dei tentativi di attacco vengono eseguiti utilizzando difetti di WordPress.

  1. Se il tuo sito viene violato, devi scoprire come è successo in un primo momento

    La maggior parte degli attacchi di WordPress punta a wp-config.php attraverso pagine di amministrazione, upload, pagine di accesso, plug-in per raccogliere informazioni sulla tua configurazione e su come sfruttarla.

    Una delle maggiori garanzie è proteggere il wp-config.php : 

    <Files wp-config.php>
order allow,deny
deny from all
</files>

    Alcuni esempi di richieste trovate nei log: (informazioni utili collegate agli attacchi sono nei registri)

    • Attacco visualizzatore wp-config:

    /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

    • attacco violazione attacco showbiz:

    /wp-content/plugins/showbiz/temp/update_extract/revslider/get.php

    • attacco bruteforce:

    /wp-login.php (auth fail flood)

    Molti siti esperti di WordPress mettono in guardia su alcuni difetti di sicurezza di base:

    Ad esempio: link

  2. Mantieni aggiornato il tuo WordPress

    Gli aggiornamenti sono fatti per sistemare le cose, ma in questa roba c'è un po 'di sicurezza, quindi cerca di dare un'occhiata agli aggiornamenti (iscriviti alla newsletter di WP o prova ad aggiungere un sistema per aggiornarlo)

  3. Una volta risolta la violazione, puoi sbloccare il sito dal sito compromesso sul link (grazie a @Zonk per link)

Ancora: alcuni consigli di Apache per prevenire gli attacchi:

  • accedi a una richiesta di file speciali su wp-config/wp-login/wp_admin file

    SetEnvIfNoCase Request_URI "wp-config\.php|\/wp-admin\/|wp-login\.php" securitylog CustomLog ${APACHE_LOG_DIR}/security.log vhost_combined env=securitylog

  • reindirizza il traffico inutile

    RewriteCond %{HTTP_USER_AGENT} ^-?$ RewriteRule .* - [F]

  • limitare i metodi di richiesta a GET, HEAD e POST

    RewriteCond %{REQUEST_METHOD} !^(GET|HEAD|POST)$ RewriteRule .* - [F]

  • trova un logviewer leggibile dall'uomo

risposta data 05.11.2015 - 16:03
fonte

Leggi altre domande sui tag

X.509 Vulnerabilità legata alla collisione con firma del certificato I download maligni drive-by sono rilevabili in base al tipo di file / tipo mime?