Хакнат WP - този път е по-различно

[N1ck]

Виждал съм какви ли не изпълнения, но това ми е за първи път.

На блога е казано да е без www и ввв го пренасочва. Отделно по пробвах и му работи 404 страницата ако се извика несъществуваш адрес.

И тук става интересно.

We recently discovered that some pages on your site look like a possible phishing attack, in which users are encouraged to give up sensitive information such as login credentials or banking information. We have removed the suspicious URLs from Google.com search results and have begun showing a warning page to users who visit these URLs in certain browsers that receive anti-phishing data from Google.

Страницата е www.mydomain/~phamhoan/ING_DOB/

И действително тази страница не знам как то се оказва че съществува (отваря се в броузера) въпреки че аз нямам ~phamhoan/ING_DOB/ никъде дефинирано като URL и би трябвало да върне 404, а и освен това всички други www. се пренасочват към mydomain.com без проблем.

Въпросите са 3:

1. Как съществува тази страница? Ясно е хак, но защо не сработва пренасочването на wp?
2. Как Google е намерило тази страница за да ме уведми?
3. Защо всички скенери които пуснах казват че блога е ок ?

Гледам и не мога да открия странни (нови) файлове. Има обновени такива но в тях няма нищо лошо (или поне не намерих).

Като гледах сорса на всяка една от страниците на блога никъде няма връзка към това url www.mydomain/~phamhoan/ING_DOB/ - e как гошо го намери?

Писахме на съпорта на хостинга, но за мен е важно да разбера какво е станало за да се защитя.

Хакнали за темата, някой плъгин, самият wp, mysql, или хостинга !? Това ме вълнува най много сега, иначе мога да го оправя лесно от бекъп но не искам да се случи пак с друг блог.

И още!!!

www.mydomain.org/~phamhoan/ ме води да се логна в GMAIL !!!

----

mydomain/~phamhoan/ отваря същото като и www.mydomain/~phamhoan/
mydomain/~phamhoan/ING_DOB/ отваря същото като и www.mydomain/~phamhoan/ING_DOB/

Явно е хярдкоднато някъде преди редиректна в WP, къде е това място?

 

[hatre]

От: Хакнат WP - този път е по-различно

Като спреш всички плъгини и смениш темата пак ли е така? Ако се оправя значи е от тях, ако не би трябвало да е от WP e. Чрез GG аналитик , ГГ може да ти види всички страници

 

[gunshot]

От: Хакнат WP - този път е по-различно

Провери в .htaccess файла в главната директория на сайта, вероятно от там има направени пренасочвания. Или го замени с предишна версия от бекъп.

 

[N1ck]

От: Хакнат WP - този път е по-различно

Като спреш всички плъгини и смениш темата пак ли е така? Ако се оправя значи е от тях, ако не би трябвало да е от WP e. Чрез GG аналитик , ГГ може да ти види всички страници

Спрях плъгините и смених темата - пак е така!

Нямам аналитик и никакви гугъл неща на този домейн, освен ако този който го е хакнал не го е и верифицирал при него ...

Имах последна версия на wp.

Преинсталирах wp и се оправи!

Къде според вас да търся проблема? Ако не намеря и отстраня проблема пак ще го хакнат!

 

[ktomov]

Ето тук ви е грешката.

В паниката да възстановиш сайта, заличаваш информация, която би помогнала да се открие проблема.

Сега си преинсталирал wordpress-а, което значи че всеки файл е с различен modification/time of creation. Ако не го беше направил, щеше по-лесно да се ориентираш кои файлове са модифицирани и от логовете да разбереш как точно се е случило. Сега хващаш логовете за няколко дни/седмици назад и ровиш като идиот.

Следващият път спри сайта и прегледай за модификации преди да правиш каквото и да е било за да го подкараш пак.

 

[N1ck]

От: Re: Хакнат WP - този път е по-различно

Ето тук ви е грешката.

В паниката да възстановиш сайта, заличаваш информация, която би помогнала да се открие проблема.

Сега си преинсталирал wordpress-а, което значи че всеки файл е с различен modification/time of creation. Ако не го беше направил, щеше по-лесно да се ориентираш кои файлове са модифицирани и от логовете да разбереш как точно се е случило. Сега хващаш логовете за няколко дни/седмици назад и ровиш като идиот.

Следващият път спри сайта и прегледай за модификации преди да правиш каквото и да е било за да го подкараш пак.

Направих бекъп преди да пипам и го възстанових. Трябва датите да са ок.

Ясно е, че е хакнат wordpress-a

Въпроса е, аз като редовен ползвател на хостинг мога ли да направя нещо за да се защитя в този случай или всичко е в ръцете на хостинга. Или и те са безсилни.

Ако пролема е в хостинг местя сайта днес.

 

[ktomov]

Пусни си фтп-то и разгледай аномалии в датите, примерно чрез filezilla или какъвто ftp клиент ползваш.

Подреди ги по Last modification date и по този начин намери модифицираните в последните няколко дни файлове.

Пример: Wordpress-а ти се е ъпдейтнал автоматично към 3.9.2, чиито файлове са модифицирани последно на 11.08.2014. Всичко което е модифицирано след тази дата и в последните дни (примерно 21.08.2014), означава че файла е под съмнение. Започни да ровиш файл по файл. Първо с .htaccess, после с wp-config, после прегледай папката wp-includes.

Труда е къртовски, но е най-лесният подход. Проверявай за всичко, което би изглеждало съмнително, примерно редове започващи с eval. Като цяло трябва поне малка представа да имаш какво търсиш. Ако не знаеш какво точно търсиш, смъкни файловете в които се съмняваш в нова папка и ползвай някой инструмент за сравняване на файловете.

След като откриеш модифицираният файл, смъкваш си логовете от хостинга и търсиш за заявка, която е извикала този файл, а после четеш и самият файл (трябва и да разбираш какво четеш).

От там вече ще добиеш по-ясна представа какво точно се е случило.

Сам разбираш, че няма как да синтезирам нещо, което отнема месеци и години да се разучи и усъвършенства, но това са най-общите и лесни стъпки, за хора които за първи път се захващат да си търсят проблемите.

 

[contra]

От: Хакнат WP - този път е по-различно

Нищо различно не виждам - поне по няколко (основни) начина могат да го направят това.
И на мой сайт се е случвало.

 

[N1ck]

От: Хакнат WP - този път е по-различно

Нищо различно не виждам - поне по няколко (основни) начина могат да го направят това.
И на мой сайт се е случвало.

Например?

10 символа

 

[хейтър]

От: Хакнат WP - този път е по-различно

Изпълнили това което ктомов ти е написал?

 

[hatre]

От: Хакнат WP - този път е по-различно

Това с модифицираните файлове е вариант, може да потърсиш в базата данни phpMyadmin за phamhoan , ING ,DOB а ако го намериш трябва да видиш от къде е дошло, което ще е по трудното, то ще е в някаква таблица и колона, като после в wp codex може да намериш инфо, кой бара в тази таблица/ колона.
Мен само 1 път са мe хаквали по най-гадния начин – крадена парола от filezila , след което през 2 чака нещо идваше и променяше файловете, решението беше да се смени паролата на FTP, да се преинсталира WP, PC (за да се махне троянеца) и да не се ползва filezila и всякакъв друг фтп клиент,

 

[N1ck]

От: Хакнат WP - този път е по-различно

Имам фул цпанел бекъп от днес направе в 9:11 преди да пипам по хостинга. Логнах се и напварих бекъп, после всичко останало.

Срвних файловете от този бекъп с току-що изтеглен и разархивиран wp.

Разликите са:

akismet.css akismet.js form.js notice.php akismet.php class.akismet-admin.php class.akismet.php readme.txt wrapper.php version.php readme.html wp-config-sample.php

(Този плъгин го има в дефоулт иснтала и е по нов от моя)

Файлове които ги има при мен но ги няма в пакета:

.htaccess (OK)
.error_log

Папки: cache, ewww - това са от двата плъгина ewww image optimizer & wp-super-cache

\plugins\... - всичко с дати

\themes\Cascada\...

\uploads\...

и тези файлове

\wp-content\advanced-cache.php
wp-content\wp-cache-config.php

.htaccess
php.ini
robots.txt
wp-config.php

Във уплоадс има само картинки jpg & gif

Нови файлове има само във \wp-contant\cache\ ...

Другите са от 12.5 - актуализация на плъгините.

Няма нищо подозрително на ново файлова система... или аз не го виждам :/

 

[N1ck]

От: Хакнат WP - този път е по-различно

Аз не разбрах как е хакнат сайта. И от супорта на хостинга не могат да разберат, което ме притеснява - нямат представа кой и как им рови по сървърите. Ясно е че хакера е от добрите и не е оставил (много) следи. Ако се рози по задълбочено може и да се намери нещо, но аз предпочитам да оползотворя това време в местене на друг хост.

Ако не ме беше уведомил гугъл нямаше как да разбера. Според вас колко време му е било нужно на гугъл да открие хака? В смисъл това дали може да е ориентир кога се е случило?

Както и да е, fix & move

 

[Sky]

От: Хакнат WP - този път е по-различно

И що реши, че проблема е в хоста?
И коя е тая фирма която си губи времето да ти сканира умрелия сайт?
Кажи коя е да се пазим от нея, че докато се занимава съпорта с теб има хора с истински проблеми.

 

[deanski]

От: От: Хакнат WP - този път е по-различно

И що реши, че проблема е в хоста?
И коя е тая фирма която си губи времето да ти сканира умрелия сайт?
Кажи коя е да се пазим от нея, че докато се занимава съпорта с теб има хора с истински проблеми.

1. Възможно е да е от хоста, когато машината е компрометирана - откраднати/лесни пароли за root/друг системен потребител.
2. При съмнения за хакове/phishing 99.9% от фирмите пускат maldet/rkhunter (или друг подобен туул) и уведомяват своите клиенти (защото именно първи те получават аbuse репортите)

До автора. Защо мислиш, че проблема е в хоста? Ако сайта ти има голяма дупка ще ти го хакнат където и да го сложиш. И защо мислиш, че сайта ти не е хакнат преди 1 година да речем, но да е оставен в спящ режим инсталирания хак? Инсталирай си един секюрити плъгин от типа на WordFence и сканирай за base64 кодирани стрингове.

 

[madseason]

От: Хакнат WP - този път е по-различно

Никой не е хаквал хоста. По скоро са хакнали WP през скапано написана тема. Има някъде поле, което предава незащитен пост и от там навират всякакви боклуци. Отделно директориите може да не са правилно конфигурирани за писане/четене.

 

[N1ck]

От: От: Хакнат WP - този път е по-различно

И що реши, че проблема е в хоста?
И коя е тая фирма която си губи времето да ти сканира умрелия сайт?
Кажи коя е да се пазим от нея, че докато се занимава съпорта с теб има хора с истински проблеми.

Някой в неделя сутрин явно е стана на криво

Пич, ти колко сайта имаш? За колко сайта се грижиш ? От колко време се занимавай със изработна и подръжка на сайтове? От колко време изобщо ползваш интернет? С колко хостинг компании работиш в момента? А с колко си работил по принцип до сега? Я кажи какви са тези истински проблеми които другите хора имат?

---

Хакнат е целият сървър.

Аз се заблудих че при преинсталация на wp нещата се оправиха - просто за малко нещо се е бъгнало и не се е отворила въпросната страница.

Ето ви нещо:

216.97.236.136 Reverse IP Lookup

1. 24h-newshot.net
2. 2meanteachers.com
3. 9gag.sx

Ако някой може да получи списък със всичките 322 донейна хостнати на това ип да си прави експеримента сам, просто след домейна добавя

/~phamhoan/ING_DOB/

Моя сайт (или по-точно един от тези за които се грижа и аз) няма отношение към хака - аз каквото и да направя няма да има ефект. Компроментиран е сървъра и това е проблем на хостинга.

На мен ми отне 1 час за да разбера къде е проблема (днес между 8 и 9:20 с почивки и вчера малко) а на съпорта им трябваха 23 часа за да ми кажат да си сменя паролата и че не виждат проблем.

 

[N1ck]

От: Хакнат WP - този път е по-различно

Никой не е хаквал хоста. По скоро са хакнали WP през скапано написана тема. Има някъде поле, което предава незащитен пост и от там навират всякакви боклуци. Отделно директориите може да не са правилно конфигурирани за писане/четене.

Да, така е но ако съвъра е конфигуриран правилно не би трябвало хакване на един акаунт от споделен хостинг да се отази на друг. То иначе какво ми пречи на мен да си кача една къстъм тема и да получа роот достъп ?

Всики са прецакани.

 

[Sky]

От: Хакнат WP - този път е по-различно

Явно ползваш хай куалити хост.

 

[madseason]

От: Хакнат WP - този път е по-различно

Аз не виждам /~phamhoan/ING_DOB/.
Да не би да те е изплющял някой вирус?