Rilevata intrusione ad alto rischio

0

Ho una protezione endpoint da Symantec. Recentemente, ho ricevuto molte e-mail di Symantec Cloud Alert.

wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

Hanno attaccato un dominio casuale ospitato sul mio server. La maggior parte del mio sito Web utilizza un framework basato su .NET, solo alcuni siti Web sono in esecuzione su Wordpress. E tutti quelli di Wordpress non usano questo plugin revslider_show_image .

Non conosco la definizione di questo attacco (forse DoS?), ma vorrei qualche consiglio su come risolvere questo problema.

Attualmente, blocco solo l'indirizzo IP usando questo metodo , ma non sono sicuro che possa essere d'aiuto.

Questa è una risposta di Symantec, che in realtà non aiuta molto:

You will see that many of these URLs end with "../wp-config.php". This appears to be a Wordpress exploit of some kind.

I think you should take the following actions:

    
posta user2056901 16.09.2014 - 04:21
fonte

1 risposta

3

Quello che vedi è un sondaggio automatico per i buchi di sicurezza nel tuo sito web. Attualmente, gli attacchi che cercano di recuperare i contenuti di wp-config.php sono la cosa importante; altri target popolari sono phpMyAdmin e php-cgi.

Per sonde come queste, o sei vulnerabile (e probabilmente già stato attaccato con successo) o non sei vulnerabile (e non hai nulla di cui preoccuparti). Nel tuo caso, poiché non stai eseguendo "revslider_show_image", cadi nel gruppo "non vulnerabile".

Puoi bloccare gli indirizzi IP dai quali provengono le sonde, ma non farà molto bene: i computer coinvolti sono quasi certamente parte di una botnet, e il vero aggressore ha decine di migliaia di queste macchine con cui lavorare. La cosa migliore che puoi fare è rimuovere il software non necessario e assicurarti che il resto sia aggiornato.

    
risposta data 16.09.2014 - 04:54
fonte

Leggi altre domande sui tag