Un bot ha modificato tutte le pagine sull'installazione di Wordpress

4

Gestisco un sito Wordpress per la registrazione di un evento. Il sito è attivo solo per alcuni mesi all'anno. Il resto dell'anno è inattivo, come in it's up, ma non mantenuto attivamente.

Ora è giunto il momento di prepararlo di nuovo e ho notato che tutti i post e le pagine sono stati modificati. Nella parte inferiore di ogni pagina / post è stato aggiunto un tag di script. Questo tag crea un collegamento ad alcuni siti web, se spesso link a domyhomework.com o qualcosa di simile.

Tutte queste modifiche sono state apportate dallo stesso utente che è solo un "editore" e non un amministratore. È chiaro che questo utente in realtà non lo ha fatto, ma è anche chiaro che il suo account è stato utilizzato. Le modifiche sono avvenute tutte nella stessa data, dalle 11:51 alle 11:54.

Ho cambiato la password per l'utente, così come "disconnetti tutte le altre sessioni". Ho anche installato un logger di attività più solido, che monitorerà il sito da ora in poi.

Mi piacerebbe sapere cosa è successo esattamente qui, in modo che possa prevenirlo in futuro.

modifica: sembra che l'utente abbia malware sul suo computer e, una volta effettuato l'accesso al sito, viene eseguito uno script e lo aggiunge a pagine / post, ma non so come prevenire qualcosa del genere, o se ciò è possibile .

    
posta klskl 23.01.2018 - 11:03
fonte

1 risposta

3

Poiché la tua linea d'azione stava cambiando la password dell'account incriminato, sembra che la tua teoria di ciò che è accaduto è che l'account degli utenti è stato violato (ad esempio la password debole era live bruteforce, la password riutilizzata da un dump dei dati, il computer degli utenti infetto dal malware). Questa è una possibile spiegazione, ma non è l'unica, non è nemmeno la più probabile.

Un'altra spiegazione è che esiste una vulnerabilità nell'installazione di WordPress, nel core stesso o in un plug-in. Se questo è il caso, cambiare una password è di scarso aiuto. Le tue porte sono ancora spalancate e sei vulnerabile. Il compromesso potrebbe essere molto peggio di quanto ci si aspettasse - potrebbe esserci un pessimo malware in esecuzione sul tuo server in questo momento.

Potresti cercare di capire quanto è grave facendo un'indagine forense. Ma sembra che i registri scarseggiano, e anche con buoni registri questa è ancora una cosa complicata da fare. Quindi forse il miglior modo di agire è quello di assumere il peggio.

Vorrei dare un'occhiata a questi due post per ulteriori indicazioni:

risposta data 23.01.2018 - 13:11
fonte

Leggi altre domande sui tag