Determinare in che modo il mio sito Web Wordpress è stato compromesso

3

Ho un blog con Wordpress in esecuzione. L'ultima volta che ho visitato il mio blog ho capito che era stato violato. Il sito Web reindirizza a una pagina di phishing di PayPal mentre altri link rappresentano una multa di apertura. Voglio sapere come è stato fatto quell'attacco, come risolvere questo problema e quali misure di sicurezza devo adottare per evitare che ciò accada in futuro.

    
posta Adil 15.11.2012 - 01:49
fonte

1 risposta

3

Cercherò di spiegare come avvengono questi e altri simili. Sono davvero diffusi e in un qualche momento sono rimasto perplesso da qualcosa del genere: chi può rispondere a una mail che afferma che un re nigeriano vuole condividere i suoi 5mln $ e ha bisogno del tuo aiuto, e in tal caso perché gli spammer sono inviare questi spam.

Prima di tutto bisogna capire che questo attacco non stava monitorando particolari utenti o siti particolari. Molto probabilmente la persona che ha deciso di fare l'attacco non aveva idea del sito in anticipo.

Cerca su google come: vulnerabilità in wordpress e ottiene un sacco di risultati. Per esempio questo è l'elenco delle vulnerabilità, ma questo è troppo testo e non ho tempo nemmeno di leggerlo Quindi vediamo qualcosa di più facile. Ok, questo suona come un accordo e la minaccia sembra sorprendente:

The utility only does a partial match on hostnames allowing hackers to upload and execute arbitrary PHP code in your timthumb cache directory

link

Ha anche alcune idee su come sfruttarlo, ma lascia solo guardare la query di google: come sfruttare timthumb.php . Il link con un titolo i dettagli tecnici suona come può darti un dettaglio tecnico (in realtà non lo è, ma smetterò di scrivere qui in modo che non assomigli a come sto raccontando come rompere qualcosa).

The ability for a site visitor to load content from a remote website and to make the web server write that remote content to a web accessible directory is the cause of the vulnerability in timthumb.php

incredibilmente conveniente.

Quindi la persona sta testando la vulnerabilità sulla sua macchina e dopo avergli dato la possibilità di caricare un file arbitrario sulla tua macchina, caricherà qualcosa di brutto. E poi eseguirlo. Ok, l'ha fatto con la sua macchina, ma come ha trovato questo tizio?

La risposta è semplice: l'attaccante non la cercava, stava solo cercando ogni sito che usava timthumb.php. Dopo averli provati, prova ogni sito e le probabilità sono grandi che uno di 10 siti avrebbe questo exploit.

Non sto affermando che il sito dello scrittore sia stato violato in questo modo ma molto probabilmente in modo simile.

Ho scritto questo con una cosa in testa: dai l'idea di come è fatto, non dire come puoi farlo (in questo caso è scritto davvero male)

Un altro motivo per scrivere è quello di dire cosa si può fare: aggiornare il core il più spesso possibile. Controlla bug e exploit.

La cosa buona è che questo tipo di attacchi viene fatto da persone che non hanno idea di come crearlo. Ciononostante sono un programmatore, ma non ho mai nemmeno usato wordpress e mi ci è voluto meno di un'ora per scrivere il post e cercare l'exploit.

Quindi la maggior parte delle persone che ho appena descritto sono come le scimmie - non hanno idea di cosa stanno facendo (hanno solo copypaste qualcosa). Vedono qualcosa sul posto, vogliono sembrare hacker e sono davvero orgogliosi di poterlo fare. E se non riusciranno con semplici istruzioni, passeranno alla prossima possibile vittima.

Scusa se la mia risposta sembra non strutturata e stupida. Se pensi di poterlo migliorare, sarei felice

EDIT: correggi il tuo sito web APPENA POSSIBILE . se senti il desiderio di mostrare alla community ciò che è esattamente la pagina; salva il file html come file txt. In questo modo non esegue nulla su più computer. Il tuo blog è stato contrassegnato come sito Web di phishing, firefox richiede e suggerisce di "uscire da qui".

    
risposta data 15.11.2012 - 03:48
fonte

Leggi altre domande sui tag