Възстановяване след хакнат сайт (wordpress и др))

coolice

Owner
Темата е направена от пост затова има лични обръщения но това не я прави по малко важна.... от тази тема е Проблем с Вирус на Сайт predpriemach.com/showthread.php?t=26709


644 Са стнадртните права на хтаксеса при доста цпанел сървъри и не само и са си добре... със 777 всеки може да го хакне

защо твоя приятел е видял линковете:

1 кеш на браузъра от времето на хавкането като е рефрешнал кеша вече ги няма

2. освен че предния път са ти хакнали wordpressa може да са качили и шел с които да си влизат отново ако не откриеш ще си влизат и ще си променят каквото си поискат каквато и ситема да сложиш от тук нататък... това че си сканирал за вируси сайта ти (свалили го и го сканира и него надявам се).... не осначава че шела ще бъде разпонат за такъв тои си е ютилити скрипт*... какво бих направил аз:

експорт на постовете през tools export и винмателно преглеждане на директорията ъплоудс където са картинките за нещо съмнително като директория или пхп файл.... свалям си я на компютъра и папка по папка я преглеждам за нещо различно от картинки и го махам... след което трия всички папки на хостинга качвам чист wordpress чиста тема импортвам постовете и картинките и съм готов поне доколкото зависи от мен...

-ако ме гони параноята ще сканирам и екпортнатите постове за всичко що започва с хттп дали няма нещо чуждо
- за всеки случаи може да добавиш и този plugin http://wordpress.org/extend/plugins/bulletproof-security/



3. и при лошо конфигуриран сървър могат да използват един хакнат сайт където са си качили шел (дори да не е твоя) за да си шляпат линкове и файлове по сайтовете на други клиенти на шеърд хостинга.... даже може да няма хакнат сайт а някои "отворен" клиент на шеърд хостинга да се ебава с останалите (това е някаква нова сео техника която сега ставала популярна :( едно приятелче затова се отказа през последните месеци от шерда и си търси малки впси да си слагал сайтовете) а аз затова се отказах от един клауд хостинг в холандия щото и на чист хтмл сайт се озоваха линкове за пореден път за няколко месеца а ползвам 12+ символни пароли.... като решение препоръчвам:

ако имаш piwik аналитикс тои има секюрити плъгин активираиго и виж какво дава в червено тряба да се оправи жълтото може да мине метър ама не е на добре ако нямаш пивик плъгина е базиран на http://phpsec.org/projects/phpsecinfo/index.html качваш си го на хостинга чекваш се и ако излязат много проблеми пишеш на хостинга да ги оправят ако не ги оправят сменяш хостинга явно това не е твоята хостинг компания




пп и още неща ми хрумват ама са по малко вероятни смени ли си паролата за базата данни и забранен ли е отдалечения достъп към нея ? по парноичните сменяме всички пароли...

*ппп от къде си сигурен че си се изчистил от вируса уиндоуса докато един вирус не стане достатъчно популярен си ти седи на компютъра и си прави каквото си иска може да минат месеци преди антивирусите да почнат да го хващат аз затова се отказах от уиндоуса не ми понасяше тази мисъл - убунту и приложения свалям само ubuntu software center ... та имам на предви че някои от руските вируси може още да ти е на компа...

пппп след всичко което написах да видите че този които играе ролята на сайт администратор в една уебфирма не си лежи по цял ден и не се чуди какво да прави а върши работата на една камара хора включително и на хостинг администраторите понякога...
 
Последно редактирано от модератор:

coolice

Owner
за четене и повишаване на общата култура и тази тема Сървър Секюрити Хелп


и ако искате да ме допълните или имате коментар разпишете се в темата не ям хора :)
 

ivo1017

Active Member
От: Възстановяване след хакнат сайт (wordpress и др))

Не вярвах, че ще пиша в такава тема... Ама ей на. Вчера на споделен хостинг от hostwings хакнаха доста сайтове, че покрай тях и няколко мой. Оказа се, че са сменили само индекс файла. Потърсих в нета и на няколко места прочетох да сменя индекс файла с нов, от последния Уодпрес.

Направих го. Дефейса изчезна, но се появи грешка "500 Internal Server Error". Понеже утре ще го местя правилни ли са тези стъпки по преместването.

1. Добавих ДНС сървирите на новия хостинг.
2. Инсталирам на новият хостинг нов Уордпрес и качвам последния бекъп от myphp admin. (Не мога да вляза в админ панела на сайта да експортна от там).
3. Променям в новата инсталация, wordpres config файла с името на дата базата, потребителя и паролата от стария хостинг.

Интересно, че за 2 месеца за 2-ри път хакват сайтовете там. Първият път съпорта изглежда имаше бекъп и веднага ги върна, но този път не можа да помогне. Вярно казват, че евтиното излиза скъпо. $ 20 долара за 4 месеца излезе хоста, ама толкова проблеми не съм имал от както започнах да се занимавам с това. :lol:
 

brs

New Member
От: Възстановяване след хакнат сайт (wordpress и др))

Какво искате да кажете под "хакнат" Да се дефейсне ? - Да се смени index файла .. Или да се изтрие всичко? Ако е така просто един бакъп и готово, а щом е успял да се добере до сайта може да го направи пак така, че първото нещо след бакъпа е да се сканира за уязвимости например с Acunetix или ръчно :)
 

niksdevil

Active Member
От: Възстановяване след хакнат сайт (wordpress и др))

Преглеждане на логовете, виждаш как е пробил "хакера",оправяш си сам уязвимоста ( или ако не можеш да си я оправиш сам плащаш на някой) след един бакъп и това е :)
 

s1yf0x

Well-Known Member
От: От: Възстановяване след хакнат сайт (wordpress и др))

Преглеждане на логовете, виждаш как е пробил "хакера",оправяш си сам уязвимоста ( или ако не можеш да си я оправиш сам плащаш на някой) след един бакъп и това е :)
Само да те попитам ако пробива е XSS и е направен не през GET заявка, където параметрите се поадват като част от URI-то, а чрез POST заявка, как логваш всички хедъри и как ще разбереш какво е подадено като http информация на сървъра? Не знам хостинг провайдър, който да има активен mod_security log на POST заявките за всички сайтове на един сървър.
 

BKirov

Active Member
От: От: Възстановяване след хакнат сайт (wordpress и др))

Само да те попитам ако пробива е XSS и е направен не през GET заявка, където параметрите се поадват като част от URI-то, а чрез POST заявка, как логваш всички хедъри и как ще разбереш какво е подадено като http информация на сървъра? Не знам хостинг провайдър, който да има активен mod_security log на POST заявките за всички сайтове на един сървър.
по някой път и това се случва :)
 

s1yf0x

Well-Known Member
От: От: Възстановяване след хакнат сайт (wordpress и др))

по някой път и това се случва :)
Да, ако имаш няколко SATA3 дискове отделени само за logging за да не бавят I/O операциите на сайтовете, ако имаш 300 сайта на сървър и ако продаваш споделения хостинг за 15лв на месец :)
 

s1yf0x

Well-Known Member
От: Възстановяване след хакнат сайт (wordpress и др))

Скоро имаше някаква световна атака по сайтове на Wordpress - там с опитите за налучкване на паролата - Admin..
Верно ли? Не сме чули :-/ Я дай малко повече информация? Как точно я налучкват - имат индийци и китайци, които пратят http заявки по 24 / 7 за една купичка ориз или ползват автоматизирани методи като curl през perl / python скриптове? Тази световна атака за която говориш какви заявки използва - към wp-admin/index.php или директно към wp-login.php? Ако си смениш username-а на WP, да е нещо !Admin пак ли те хакват?

P.S. Верно с тези изисквания за 10 поста за да си пуснеш офертата в Продавам яко надуват базата данни с post-shits. Никой не ползва търсачката на форума, никой дори не прави някакъв напън да генерира 2 полезни изречения.
 

r.stefanov

New Member
От: Възстановяване след хакнат сайт (wordpress и др))

Верно ли? Не сме чули :-/ Я дай малко повече информация? Как точно я налучкват - имат индийци и китайци, които пратят http заявки по 24 / 7 за една купичка ориз или ползват автоматизирани методи като curl през perl / python скриптове? Тази световна атака за която говориш какви заявки използва - към wp-admin/index.php или директно към wp-login.php? Ако си смениш username-а на WP, да е нещо !Admin пак ли те хакват?

P.S. Верно с тези изисквания за 10 поста за да си пуснеш офертата в Продавам яко надуват базата данни с post-shits. Никой не ползва търсачката на форума, никой дори не прави някакъв напън да генерира 2 полезни изречения.
wpscan ftw и kasjdkajsdklaadmin да го кръстиш, пак ще го намерят :lol:

Пример (извинявам се, мързи ме да търся друг :p)

[+] Enumerating usernames ...
[+] We found the following 10 user/s :
+----+-------------------+-------------------+
| Id | Login | Name |
+----+-------------------+-------------------+
| 1 | dark_baron | dark_baron |
| 2 | vicktoria_petrova | vicktoria_petrova |
| 3 | tailar | tailar |
| 4 | tailarreal | TailarReal |
| 5 | sedem65 | sedem65 |
| 6 | ddurex | ddurex |
| 7 | charityt1 | Charity Marcus |
| 8 | hainiengirm | hainiEngirmSO |
| 9 | malcolmh84 | Malcolm |
| 10 | norriscv | Norris Squires |
+----+-------------------+-------------------+

[+] Finished at Mon May 20 15:16:56 2013
[+] Elapsed time: 00:00:53
Теглиш подходящ wordlist с пароли и може доста да се позабавляваш ако ти е скучно. Аз го използвам при автоматично сканиране на клиентски сайтове за да ги предупреждавам за слаби пароли.

"дето се вика - проблема е в зад кормилното устройство.
 
Последно редактирано:

deanski

Member
От: Възстановяване след хакнат сайт (wordpress и др))

Затова си има много елегантно решение:
1. Правите си базова защита през апаче пароли(.htpasswd) в .htaccess и защитавате wp-login.php
2. Сменяте потребителското име да не ви е Admin, а нещо "по-така".
3. Паролите Ви да не са от типа "batkata94"
4. Инсталирате си security плъгин, аз лично харесвам wordfence, поради вградения скенер за променени файлове от ядрото на wordpres, а освен това и сканира за base64 encode.
5. Поигравате си в настройките така, че ако има повече от n на брой грешни опити за вход се блокира потребителя за n на брой минути.

Най-важното е да си гледате апачи логовете редовно и да блокирате "съмнителните адреси", понякога се налага и блокиране на цели държави. Има страхотни сайтове за автоматично генериране на .htaccess
 

s1yf0x

Well-Known Member
От: Възстановяване след хакнат сайт (wordpress и др))

Затова си има много елегантно решение:
1. Правите си базова защита през апаче пароли(.htpasswd) в .htaccess и защитавате wp-login.php
2. Сменяте потребителското име да не ви е Admin, а нещо "по-така".
3. Паролите Ви да не са от типа "batkata94"
4. Инсталирате си security плъгин, аз лично харесвам wordfence, поради вградения скенер за променени файлове от ядрото на wordpres, а освен това и сканира за base64 encode.
5. Поигравате си в настройките така, че ако има повече от n на брой грешни опити за вход се блокира потребителя за n на брой минути.

Най-важното е да си гледате апачи логовете редовно и да блокирате "съмнителните адреси", понякога се налага и блокиране на цели държави. Има страхотни сайтове за автоматично генериране на .htaccess
И в един светъл момент всичко това става неизползваемо, ако WPто се ползва за e-commerce където не можеш на всеки купувач да обясниш, защо трябва да минават през 401 Auth и всички други мерки за сигурност. :-/
 

deanski

Member
От: Възстановяване след хакнат сайт (wordpress и др))

И в един светъл момент всичко това става неизползваемо, ако WPто се ползва за e-commerce където не можеш на всеки купувач да обясниш, защо трябва да минават през 401 Auth и всички други мерки за сигурност. :-/
Няма идеална смърт :) Въпреки, че това за e-commerce може да се избегне :) не съм сигурен , но май имаше някакви плъгини за къстъм логин форми именно за тази цел (пак казвам не съм сигурен).
 

s1yf0x

Well-Known Member
От: Възстановяване след хакнат сайт (wordpress и др))

Няма идеална смърт :) Въпреки, че това за e-commerce може да се избегне :) не съм сигурен , но май имаше някакви плъгини за къстъм логин форми именно за тази цел (пак казвам не съм сигурен).
имаше, ама за да ги интегрираш с някоя woocommerce тема трябва да си прегризеш гърлото.... сам
 

coolice

Owner
хостинги който твърдим че урдпреса си е вкъщи при нас можем да извадим по някой жокер :)

Screenshot from 2014-07-25 14:47:37.png

Спя по спокойно и не се налага да им мрънкам на клиентите че някой ги брутфорсва
 

deanski

Member
От: Възстановяване след хакнат сайт (wordpress и др))

Много лесно става с mod_security за апачи и се лимитира броя на конекции към wp-login.php :) Решения много...
 

Lewenow

New Member
От: Възстановяване след хакнат сайт (wordpress и др))

Както казаха потребителите над мен - най-добрият начин за възстановяване е бакъпа, важно е винаги да си пазите бакъпове, дори ако не е хакнат, а системата се срине също би ви било полезно. Иначе най-добре ако имате съмнения за подобни дупки в сигурността, то пишете на вашият хостинг провайдър и той ще я сканира за шелове и други нежелани гадости, така е много по-сигурно от колкото вие ръчно да започвате да го правите.
 

Горе