Un database WP compromesso può causare una re-infezione senza che l'hacker debba accedere a WP?

3

È possibile che un database WordPress compromesso possa in qualche modo essere usato per reinfettare un sito web?

Non sto parlando dell'hacker che decodifica le password degli utenti e accedi a WP.

Sto parlando dell'hacker che fa uso di un database compromesso per reinfettare un sito web SENZA dover accedere tramite l'amministratore WP .

Grazie!

EDIT: ho un amico il cui sito Web è stato violato. L'hacker ha iniettato codici javascript codificati in un certo numero di file che richiedono più file JS esterni da un altro sito compromesso.

Nonostante l'aggiornamento dei plug-in + core WP + pulizia dei file infetti e la modifica di tutte le password (server, database, sale WP, ecc.), il sito è stato reinfettato.

Quindi sospetto che il database possa essere stato manomesso. Invece di codificare il codice javascript dannoso in un file, l'hacker l'ha incorporato nel database così quando WP carica il contenuto del database dinamicamente su una pagina, viene caricato anche il codice dannoso?

    
posta Honey Badger 26.12.2014 - 14:54
fonte

4 risposte

1

Come ex hacker e ora utente avanzato di WP posso dire che l'ultima cosa di cui mi preoccupo è mantenere la tua connessione DB. Non c'è proprio niente lì che sia così utile per me. Posso creare script WP per scaricare le informazioni utente una volta che mi trovo nell'area di amministrazione. Non dovresti tenere le informazioni della carta di credito o dei pagamenti nel database del WP, quindi se sei solo di stop.

Ciò significa che l'hacker desidera solo informazioni dell'utente o pasticciare con te. E per queste cose, come ho detto, avrebbe solo bisogno di un accesso amministrativo.

Il modo più semplice per farlo è creare una funzione o un file php che acceda all'utente come primo amministratore scansionato. Ho un file su tutti i miei siti WP interni che fondamentalmente analizza il database WP e mi registra con il primo utente che dispone di tutti i diritti. Lo faccio perché mantengo i siti e le persone al mio lavoro pensano di possederli dopo di che eliminano il mio account ma poi mi chiamano per aiuto una settimana dopo.

Potrei anche creare una funzione che potrei chiamare segretamente su qualsiasi pagina anche se stavo davvero cercando di nasconderlo.

Se vieni hackerato tutto ciò che include i sali nella tua configurazione dovrebbe essere cambiato, il tuo DB dovrebbe avere un nuovo nome utente e password, ma la cosa più importante è che devi iniziare con un'installazione WP pulita.

Il fatto che WP abbia un buon editor di file incorporato permette alle persone di fare facilmente qualsiasi cosa una volta dentro, così devi assicurarti che non si lascino una backdoor - che se sono abbastanza intelligenti da hackerarti sicuramente lasciare qualcosa per entrare più tardi.

    
risposta data 26.12.2014 - 20:34
fonte
1

Devi essere sicuro di controllare le directory che gli hacker di solito indirizzano per installare una backdoor come la directory dei temi e dei caricamenti disattivati. Controlla anche il codice sorgente dei tuoi file sensibili come wp_config.php file.

Potrebbe esserci una shell nascosta da qualche parte sul tuo server che può generare il malware ogni volta che lo elimini.

Hai bisogno di una scansione accurata e completa del tuo sito web (plugin, temi, diverse altre directory). Dopo la scansione completa, è necessario modificare la password.

    
risposta data 26.12.2014 - 16:29
fonte
1

Una volta che un utente malintenzionato ha ottenuto l'esecuzione di codice in modalità remota sul server, il primo passaggio consiste nell'impostare l'accesso permanente. Due metodi comuni sono la modifica di un file php o l'aggiunta di un nuovo file .php alla web root.

Se l'infezione sta creando post sul blog di spam o altre modifiche non autorizzate al database, è possibile che l'autore dell'attacco abbia accesso permanente al database. Che ci crediate o no, ci sono ancora molte società di hosting che permettono a chiunque su Internet di accedere al vostro database. A peggiorare le cose, le credenziali del database sono quasi sempre archiviate in chiaro nel file wp-config.php. L'accesso al database deve sempre essere limitato agli host attendibili utilizzando un firewall o un altro controllo di accesso basato sulla rete.

Reinstalla da zero, cambia tutte le password, mantieni aggiornato tutto.

    
risposta data 26.12.2014 - 16:28
fonte
1

Assolutamente sì.

Come altri hanno già detto, il codice potrebbe facilmente essere compromesso. Quindi è necessario reinstallare tutto il codice. Qualcun altro ha menzionato gli account utente, quindi è necessario controllare gli account utente, reimpostare le password, ecc.

Ma esiste anche un'altra potenziale vulnerabilità. XSS (Cross site scripting). Se sostituisci tutto il codice con nuove installazioni, hai ancora i dati stessi che un utente malintenzionato potrebbe manomettere. Se un utente malintenzionato può iniettare script (javascript per uno) nel tuo sito WP, può rubare i token di autenticazione quando qualcuno ha effettuato l'accesso. Di solito è game over.

Oltre all'XSS, dovresti essere un esperto di wordpress per comprendere tutte le implicazioni sulla sicurezza di compromettere il database, e non lo sono. Il mio istinto sarebbe quello di iniziare a guardare tutti i plugin che hai e qualsiasi interazione con il database.

    
risposta data 26.12.2014 - 21:11
fonte

Leggi altre domande sui tag