Възстановяване след хакнат сайт (wordpress и др))

Дискусията в 'Проблогинг - ProBlogging' стартирана от coolice, Септ 4, 2011.

  1. coolice

    coolice Owner

    Рег.:
    Апр 12, 2006
    Съобщения:
    12,245
    Харесвания:
    654
    Точки:
    113
    Пол:
    Мъж
    Темата е направена от пост затова има лични обръщения но това не я прави по малко важна.... от тази тема е Проблем с Вирус на Сайт predpriemach.com/showthread.php?t=26709


    644 Са стнадртните права на хтаксеса при доста цпанел сървъри и не само и са си добре... със 777 всеки може да го хакне

    защо твоя приятел е видял линковете:

    1 кеш на браузъра от времето на хавкането като е рефрешнал кеша вече ги няма

    2. освен че предния път са ти хакнали wordpressa може да са качили и шел с които да си влизат отново ако не откриеш ще си влизат и ще си променят каквото си поискат каквато и ситема да сложиш от тук нататък... това че си сканирал за вируси сайта ти (свалили го и го сканира и него надявам се).... не осначава че шела ще бъде разпонат за такъв тои си е ютилити скрипт*... какво бих направил аз:

    експорт на постовете през tools export и винмателно преглеждане на директорията ъплоудс където са картинките за нещо съмнително като директория или пхп файл.... свалям си я на компютъра и папка по папка я преглеждам за нещо различно от картинки и го махам... след което трия всички папки на хостинга качвам чист wordpress чиста тема импортвам постовете и картинките и съм готов поне доколкото зависи от мен...

    -ако ме гони параноята ще сканирам и екпортнатите постове за всичко що започва с хттп дали няма нещо чуждо
    - за всеки случаи може да добавиш и този plugin http://wordpress.org/extend/plugins/bulletproof-security/



    3. и при лошо конфигуриран сървър могат да използват един хакнат сайт където са си качили шел (дори да не е твоя) за да си шляпат линкове и файлове по сайтовете на други клиенти на шеърд хостинга.... даже може да няма хакнат сайт а някои "отворен" клиент на шеърд хостинга да се ебава с останалите (това е някаква нова сео техника която сега ставала популярна :( едно приятелче затова се отказа през последните месеци от шерда и си търси малки впси да си слагал сайтовете) а аз затова се отказах от един клауд хостинг в холандия щото и на чист хтмл сайт се озоваха линкове за пореден път за няколко месеца а ползвам 12+ символни пароли.... като решение препоръчвам:

    ако имаш piwik аналитикс тои има секюрити плъгин активираиго и виж какво дава в червено тряба да се оправи жълтото може да мине метър ама не е на добре ако нямаш пивик плъгина е базиран на http://phpsec.org/projects/phpsecinfo/index.html качваш си го на хостинга чекваш се и ако излязат много проблеми пишеш на хостинга да ги оправят ако не ги оправят сменяш хостинга явно това не е твоята хостинг компания




    пп и още неща ми хрумват ама са по малко вероятни смени ли си паролата за базата данни и забранен ли е отдалечения достъп към нея ? по парноичните сменяме всички пароли...

    *ппп от къде си сигурен че си се изчистил от вируса уиндоуса докато един вирус не стане достатъчно популярен си ти седи на компютъра и си прави каквото си иска може да минат месеци преди антивирусите да почнат да го хващат аз затова се отказах от уиндоуса не ми понасяше тази мисъл - убунту и приложения свалям само ubuntu software center ... та имам на предви че някои от руските вируси може още да ти е на компа...

    пппп след всичко което написах да видите че този които играе ролята на сайт администратор в една уебфирма не си лежи по цял ден и не се чуди какво да прави а върши работата на една камара хора включително и на хостинг администраторите понякога...
     
    Последно редактирано от модератор: Септ 5, 2011
    delta_force харесва това.
  2. coolice

    coolice Owner

    Рег.:
    Апр 12, 2006
    Съобщения:
    12,245
    Харесвания:
    654
    Точки:
    113
    Пол:
    Мъж
    за четене и повишаване на общата култура и тази тема Сървър Секюрити Хелп


    и ако искате да ме допълните или имате коментар разпишете се в темата не ям хора :)
     
  3. ivo1017

    ivo1017 Active Member

    Рег.:
    Юли 13, 2008
    Съобщения:
    769
    Харесвания:
    108
    Точки:
    43
    Професия:
    Директни Продажби
    Място:
    Бс
    От: Възстановяване след хакнат сайт (wordpress и др))

    Не вярвах, че ще пиша в такава тема... Ама ей на. Вчера на споделен хостинг от hostwings хакнаха доста сайтове, че покрай тях и няколко мой. Оказа се, че са сменили само индекс файла. Потърсих в нета и на няколко места прочетох да сменя индекс файла с нов, от последния Уодпрес.

    Направих го. Дефейса изчезна, но се появи грешка "500 Internal Server Error". Понеже утре ще го местя правилни ли са тези стъпки по преместването.

    1. Добавих ДНС сървирите на новия хостинг.
    2. Инсталирам на новият хостинг нов Уордпрес и качвам последния бекъп от myphp admin. (Не мога да вляза в админ панела на сайта да експортна от там).
    3. Променям в новата инсталация, wordpres config файла с името на дата базата, потребителя и паролата от стария хостинг.

    Интересно, че за 2 месеца за 2-ри път хакват сайтовете там. Първият път съпорта изглежда имаше бекъп и веднага ги върна, но този път не можа да помогне. Вярно казват, че евтиното излиза скъпо. $ 20 долара за 4 месеца излезе хоста, ама толкова проблеми не съм имал от както започнах да се занимавам с това. :lol:
     
  4. brs

    brs New Member

    Рег.:
    Юли 20, 2012
    Съобщения:
    13
    Харесвания:
    0
    Точки:
    0
    От: Възстановяване след хакнат сайт (wordpress и др))

    Какво искате да кажете под "хакнат" Да се дефейсне ? - Да се смени index файла .. Или да се изтрие всичко? Ако е така просто един бакъп и готово, а щом е успял да се добере до сайта може да го направи пак така, че първото нещо след бакъпа е да се сканира за уязвимости например с Acunetix или ръчно :)
     
  5. niksdevil

    niksdevil Active Member

    Рег.:
    Май 9, 2011
    Съобщения:
    352
    Харесвания:
    25
    Точки:
    28
    От: Възстановяване след хакнат сайт (wordpress и др))

    Преглеждане на логовете, виждаш как е пробил "хакера",оправяш си сам уязвимоста ( или ако не можеш да си я оправиш сам плащаш на някой) след един бакъп и това е :)
     
  6. s1yf0x

    s1yf0x Well-Known Member

    Рег.:
    Юни 12, 2012
    Съобщения:
    2,318
    Харесвания:
    789
    Точки:
    113
    Пол:
    Мъж
    Професия:
    System administration
    Място:
    Sliven/Sofia
    От: От: Възстановяване след хакнат сайт (wordpress и др))

    Само да те попитам ако пробива е XSS и е направен не през GET заявка, където параметрите се поадват като част от URI-то, а чрез POST заявка, как логваш всички хедъри и как ще разбереш какво е подадено като http информация на сървъра? Не знам хостинг провайдър, който да има активен mod_security log на POST заявките за всички сайтове на един сървър.
     
    BlackFriday харесва това.
  7. BKirov

    BKirov Active Member

    Рег.:
    Ян 24, 2010
    Съобщения:
    609
    Харесвания:
    56
    Точки:
    28
    Професия:
    Sys Admin
    От: От: Възстановяване след хакнат сайт (wordpress и др))

    по някой път и това се случва :)
     
  8. s1yf0x

    s1yf0x Well-Known Member

    Рег.:
    Юни 12, 2012
    Съобщения:
    2,318
    Харесвания:
    789
    Точки:
    113
    Пол:
    Мъж
    Професия:
    System administration
    Място:
    Sliven/Sofia
    От: От: Възстановяване след хакнат сайт (wordpress и др))

    Да, ако имаш няколко SATA3 дискове отделени само за logging за да не бавят I/O операциите на сайтовете, ако имаш 300 сайта на сървър и ако продаваш споделения хостинг за 15лв на месец :)
     
  9. gporno88

    gporno88 New Member

    Рег.:
    Септ 24, 2012
    Съобщения:
    2
    Харесвания:
    0
    Точки:
    0
    От: Възстановяване след хакнат сайт (wordpress и др))

    мерси за инфото
     
  10. Anka Rangelova

    Anka Rangelova New Member

    Рег.:
    Май 20, 2013
    Съобщения:
    23
    Харесвания:
    3
    Точки:
    0
    От: Възстановяване след хакнат сайт (wordpress и др))

    Скоро имаше някаква световна атака по сайтове на Wordpress - там с опитите за налучкване на паролата - Admin..
     
  11. s1yf0x

    s1yf0x Well-Known Member

    Рег.:
    Юни 12, 2012
    Съобщения:
    2,318
    Харесвания:
    789
    Точки:
    113
    Пол:
    Мъж
    Професия:
    System administration
    Място:
    Sliven/Sofia
    От: Възстановяване след хакнат сайт (wordpress и др))

    Верно ли? Не сме чули :-/ Я дай малко повече информация? Как точно я налучкват - имат индийци и китайци, които пратят http заявки по 24 / 7 за една купичка ориз или ползват автоматизирани методи като curl през perl / python скриптове? Тази световна атака за която говориш какви заявки използва - към wp-admin/index.php или директно към wp-login.php? Ако си смениш username-а на WP, да е нещо !Admin пак ли те хакват?

    P.S. Верно с тези изисквания за 10 поста за да си пуснеш офертата в Продавам яко надуват базата данни с post-shits. Никой не ползва търсачката на форума, никой дори не прави някакъв напън да генерира 2 полезни изречения.
     
  12. r.stefanov

    r.stefanov New Member

    Рег.:
    Окт 25, 2012
    Съобщения:
    1,119
    Харесвания:
    90
    Точки:
    0
    От: Възстановяване след хакнат сайт (wordpress и др))

    wpscan ftw и kasjdkajsdklaadmin да го кръстиш, пак ще го намерят :lol:

    Пример (извинявам се, мързи ме да търся друг :p)

    Теглиш подходящ wordlist с пароли и може доста да се позабавляваш ако ти е скучно. Аз го използвам при автоматично сканиране на клиентски сайтове за да ги предупреждавам за слаби пароли.

    "дето се вика - проблема е в зад кормилното устройство.
     
    Последно редактирано: Май 20, 2013
  13. deanski

    deanski Member

    Рег.:
    Юли 24, 2014
    Съобщения:
    235
    Харесвания:
    7
    Точки:
    18
    От: Възстановяване след хакнат сайт (wordpress и др))

    Затова си има много елегантно решение:
    1. Правите си базова защита през апаче пароли(.htpasswd) в .htaccess и защитавате wp-login.php
    2. Сменяте потребителското име да не ви е Admin, а нещо "по-така".
    3. Паролите Ви да не са от типа "batkata94"
    4. Инсталирате си security плъгин, аз лично харесвам wordfence, поради вградения скенер за променени файлове от ядрото на wordpres, а освен това и сканира за base64 encode.
    5. Поигравате си в настройките така, че ако има повече от n на брой грешни опити за вход се блокира потребителя за n на брой минути.

    Най-важното е да си гледате апачи логовете редовно и да блокирате "съмнителните адреси", понякога се налага и блокиране на цели държави. Има страхотни сайтове за автоматично генериране на .htaccess
     
  14. s1yf0x

    s1yf0x Well-Known Member

    Рег.:
    Юни 12, 2012
    Съобщения:
    2,318
    Харесвания:
    789
    Точки:
    113
    Пол:
    Мъж
    Професия:
    System administration
    Място:
    Sliven/Sofia
    От: Възстановяване след хакнат сайт (wordpress и др))

    И в един светъл момент всичко това става неизползваемо, ако WPто се ползва за e-commerce където не можеш на всеки купувач да обясниш, защо трябва да минават през 401 Auth и всички други мерки за сигурност. :-/
     
  15. deanski

    deanski Member

    Рег.:
    Юли 24, 2014
    Съобщения:
    235
    Харесвания:
    7
    Точки:
    18
    От: Възстановяване след хакнат сайт (wordpress и др))

    Няма идеална смърт :) Въпреки, че това за e-commerce може да се избегне :) не съм сигурен , но май имаше някакви плъгини за къстъм логин форми именно за тази цел (пак казвам не съм сигурен).
     
  16. s1yf0x

    s1yf0x Well-Known Member

    Рег.:
    Юни 12, 2012
    Съобщения:
    2,318
    Харесвания:
    789
    Точки:
    113
    Пол:
    Мъж
    Професия:
    System administration
    Място:
    Sliven/Sofia
    От: Възстановяване след хакнат сайт (wordpress и др))

    имаше, ама за да ги интегрираш с някоя woocommerce тема трябва да си прегризеш гърлото.... сам
     
  17. coolice

    coolice Owner

    Рег.:
    Апр 12, 2006
    Съобщения:
    12,245
    Харесвания:
    654
    Точки:
    113
    Пол:
    Мъж
    хостинги който твърдим че урдпреса си е вкъщи при нас можем да извадим по някой жокер :)

    Screenshot from 2014-07-25 14:47:37.png

    Спя по спокойно и не се налага да им мрънкам на клиентите че някой ги брутфорсва
     
    iliqnktz харесва това.
  18. deanski

    deanski Member

    Рег.:
    Юли 24, 2014
    Съобщения:
    235
    Харесвания:
    7
    Точки:
    18
    От: Възстановяване след хакнат сайт (wordpress и др))

    Много лесно става с mod_security за апачи и се лимитира броя на конекции към wp-login.php :) Решения много...
     
  19. reaktor5

    reaktor5 New Member

    Рег.:
    Авг 16, 2014
    Съобщения:
    6
    Харесвания:
    0
    Точки:
    1
    От: От: Възстановяване след хакнат сайт (wordpress и др))

    :):lol::beer::)
     
  20. Lewenow

    Lewenow New Member

    Рег.:
    Дек 9, 2014
    Съобщения:
    3
    Харесвания:
    0
    Точки:
    0
    От: Възстановяване след хакнат сайт (wordpress и др))

    Както казаха потребителите над мен - най-добрият начин за възстановяване е бакъпа, важно е винаги да си пазите бакъпове, дори ако не е хакнат, а системата се срине също би ви било полезно. Иначе най-добре ако имате съмнения за подобни дупки в сигурността, то пишете на вашият хостинг провайдър и той ще я сканира за шелове и други нежелани гадости, така е много по-сигурно от колкото вие ръчно да започвате да го правите.
     

Сподели страницата

  1. This site uses cookies. By continuing to use this site, you are agreeing to our use of cookies.
    Dismiss Notice