Modifica del DNS nei record MX in un sito Wordpress

1

Gestisco qtechtheory.org, il sito web del mio gruppo di ricerca, che gestisce Wordpress ed è ospitato da BlueHost. Anche se siamo stati colpiti con l'iniezione PHP per diverse settimane, ho mantenuto il sito attivo poiché non contiene informazioni sensibili e sono stato interessato a trovare la vulnerabilità.

Ora, Wordfence segnala "una modifica nei record del server email (MX) della configurazione DNS". Suppongo che questo significhi che stanno tentando di reindirizzare qtechtheory.org sul loro sito, o di intercettare / spoofing email a / dal nostro dominio. I nuovi record hanno un dominio vuoto.

Quindi, le mie domande sono

  • Che cosa sono esattamente in grado di fare ora?
  • Quanto "accesso" devono avere per poter attuare questo cambiamento? Potrebbe quell'accesso essere veramente elevato dall'iniezione di PHP, ad es. qualche plugin?
  • Posso annullare questa modifica senza dover ricreare il sito? Altrimenti, si tratta di una modifica che potrebbe persistere se ripristino un backup del sito?
  • Indica un problema che non riesco a risolvere nascondendo / ricreando il sito wordpress e che dovrò occuparmi di BlueHost?

Infine, ci sono suggerimenti per trovare la vulnerabilità in modo da non ricrearla? Uso circa 13 plug-in, che sono troppi da esaminare.

Modifica

Ho trovato un account SSH di cui non ero sicuro, chiamato 'ss-a76cde51202b8a78'. L'ho cancellato dopo aver scoperto nel registro di accesso FTP:

/home2/ldjovumy/public_html/MMprobe-3et5u.php b _ i r [email protected] ftp 1 * c

(nota che non ho trovato MMprobe-3et5u.php ). Il comando proveniva da IP 52.10.88.182, lo stesso riportato in questi attacchi . Suppongo che risponda a who-dun-it.

Grazie per l'aiuto!

    
posta Anti Earth 20.09.2018 - 11:24
fonte

1 risposta

1

È improbabile che le modifiche ai record MX siano avvenute a causa di un attacco sul sito WordPress, con l'eccezione che se il tuo DNS è in esecuzione sullo stesso server, potrebbe essere possibile. Non sarebbe una configurazione tipica: se hai acquistato un nome di dominio, è più comune che i record DNS siano associati all'infrastruttura di quel provider, anche se lo hai acquistato dallo stesso provider che ospita il sito.

Detto questo, è probabile che le modifiche non autorizzate ai record DNS risultino compromesse dall'account con il provider di hosting, piuttosto che dal sito stesso. Pertanto, consiglierei di verificare se è possibile che l'account del provider sia stato compromesso e, dal momento che non sarebbe inaudito, se il provider ha apportato alcuni aggiornamenti al proprio ambiente di posta che ha richiesto modifiche ai record MX.

Supponendo che le modifiche siano dannose, gli autori dell'attacco sarebbero in grado di controllare dove andavano effettivamente le email inviate agli indirizzi sul dominio. In genere, non si preoccupano molto della maggior parte della posta per la maggior parte delle caselle di posta, ma sono interessate alle e-mail di reimpostazione della password per account più preziosi, materiale che potrebbe essere commercialmente sensibile o materiale che potrebbe essere utilizzato per scopi di ricatto.

È possibile che i dettagli di accesso al proprio account provider siano disponibili all'interno dell'ambiente Wordpress: se sono stati condivisi con una connessione FTP o un server di posta, ad esempio. In tal caso, il compromesso del sito potrebbe essere collegato, ma è altrettanto possibile che il provider di hosting sia stato compromesso o che l'account abbia utilizzato una password indovinabile, e sono stati fortunati.

Questa modifica persisterà attraverso il ripristino del sito, le modifiche di PHP o anche una riformattazione completa del server (eccezione di blocco sopra), poiché non si trova su quel server. I record DNS puntano al server Web e al server di posta, ma questi possono provenire da provider completamente indipendenti.

Avrai bisogno di prenderlo con qualsiasi azienda esegua i tuoi record DNS. Solitamente si tratta della società da cui hai acquistato il dominio, a meno che non sia stato specificamente modificato in un servizio di terze parti. Se hai cambiato, quel provider sarà il

    
risposta data 20.09.2018 - 12:40
fonte

Leggi altre domande sui tag