Хакват ме 2 пъти за 1 ден

[2fast4you]

Качих уордпресс на един колега за някакъв отбор и го хакват за втори път вчера :-o
Уордпреса е на най-новата версия без nulled добавки и прочие.

http://foxracing.info/

Възможно ли е от хоста да правят тези мизерии? Хоста е www.zyma.com

 

[rak]

От: Хакват ме 2 пъти за 1 ден

Сложи си в htacess само ip-тата които имат право да влизат. Аз така се спасих от такива чести хаквания.

 

[2fast4you]

От: Хакват ме 2 пъти за 1 ден

Ще преместя сайта на друг хост за да видя дали наистина е от хоста.
Отделно човечетата където работят в тоя хост ми дадоха тия добавки:

http://wordpress.org/extend/plugins/secure-wordpress/
http://wordpress.org/extend/plugins/wp-security-scan/
http://wordpress.org/extend/plugins/sucuri-scanner/
http://wordpress.org/extend/plugins/theme-check/
http://wordpress.org/extend/plugins/antivirus/
http://wordpress.org/extend/plugins/wp-malwatch/
http://wordpress.org/extend/plugins/bulletproof-security/

Казват, че с тях няма да могат да го хакнат.

 

[Test]

От: Хакват ме 2 пъти за 1 ден

Може да крадат ФТП паролата от компютъра ти с някакъв червей. Лога за достъп до ФТП прегледа ли?

 

[vladinc]

От: Хакват ме 2 пъти за 1 ден

Може .. за първи път от години ми хакват и на мен уордпресс на зума .. направих сайта който е без никакви добавки , не беше пуснат към търсачки.. въобще неизвестен по всички параграфи , и 2 дни след като го направих го хакнаха..
Прегледах си логовете и мисля че беше от стара версия на тимтуб.. обнових и сега ще видим..
интересното е че на сутринта го виждам хакнат.. оправям го и след 2 дни от зума ми спират хостинга с нотификация че бил хакнат.. хаха.. след дъжд качулка дето има една приказка..
оправихме се с тях.. така че ако и на тебе ти го спрат.. изпрати тикет до съпорта като кажеш какви мерки си предприел за да не ти го хакват за в бъдеще..и след това ще ти го пуснат..

Относно колегата за ИП-тата..не можеш да сложиш ИП-та от които искаш да е достъпен сайта.. това е публичен сайт и не знам до колко е добра идеята.. освен ако не иска само определени хора да имат достъп до сайта.. тогава съм съгласен .. но ако иска всякаква публика да има достъп.. тогава какво правим?
Задължително си защити wp-admin с парола...
За референция , това е .htaccess-a с който съм в момента..

# Security hardening configuration
 
# Disable the server signature
ServerSignature Off
 
# Protect the htaccess file
<files .htaccess>
order allow,deny
deny from all
</files>
 
# Protect the wpconfig.php file
<files wp-config.php>
order allow,deny
deny from all
</files>
 
# Protect from spam comments
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post\.php*
RewriteCond %{HTTP_REFERER} !.*xyz.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]
</IfModule>
 
# Disable hotlinking of images with forbidden message
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://www.xyz.com/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.xyz.com$ [NC]
RewriteCond %{HTTP_REFERER} !^http://xyz.com/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://xyz.com$ [NC]
RewriteCond %{HTTP_REFERER} !google. [NC]
RewriteCond %{HTTP_REFERER} !msn. [NC]
RewriteCond %{HTTP_REFERER} !live. [NC]
RewriteCond %{HTTP_REFERER} !yahoo. [NC]
RewriteCond %{HTTP_REFERER} !gravatar. [NC]
RewriteCond %{HTTP_REFERER} !search?q=cache [NC]

</IfModule>

<IfModule mod_deflate.c>
<FilesMatch "\.(js|css)$">
SetOutputFilter DEFLATE
</FilesMatch>
</IfModule>
 

# BEGIN WPSuperCache
# END WPSuperCache

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress

<IfModule mod_deflate.c>
# Insert filters
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/xml
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/x-httpd-php
AddOutputFilterByType DEFLATE application/x-httpd-fastphp
AddOutputFilterByType DEFLATE image/svg+xml

# Drop problematic browsers
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4\.0[678] no-gzip
BrowserMatch \bMSI[E] !no-gzip !gzip-only-text/html

# Make sure proxies don't deliver the wrong content
Header append Vary User-Agent env=!dont-vary
</IfModule>

 

[takitodorov]

От: Хакват ме 2 пъти за 1 ден

И аз имам проблем от вчера на zyma. Кажи дали като си го качил на друг се е оправил.

 

[vladinc]

От: Хакват ме 2 пъти за 1 ден

хаха.. баси .. ей сега го погледнах сайта на зума.. и пак е оакан.. не напълно , но някой пак се е ровил след мен...

 

[2fast4you]

От: Хакват ме 2 пъти за 1 ден

Ето го хакера:

87.117.217.4 - - [13/Dec/2012:09:59:50 +0000] "POST /wp-login.php HTTP/1.1" 302 - "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"
87.117.217.4 - - [13/Dec/2012:09:59:50 +0000] "GET /wp-admin/ HTTP/1.1" 200 52445 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"
87.117.217.4 - - [13/Dec/2012:09:59:51 +0000] "GET /wp-admin/theme-editor.php HTTP/1.1" 200 74952 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"
87.117.217.4 - - [13/Dec/2012:09:59:51 +0000] "GET /wp-admin/theme-editor.php?file=index.php&theme=gamepress HTTP/1.1" 200 30991 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"
87.117.217.4 - - [13/Dec/2012:09:59:52 +0000] "POST /wp-admin/theme-editor.php HTTP/1.1" 302 - "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"
87.117.217.4 - - [13/Dec/2012:09:59:52 +0000] "GET /wp-admin/theme-editor.php?file=index.php&theme=gamepress&scrollto=0&updated=true HTTP/1.1" 200 27451 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"
87.117.217.4 - - [13/Dec/2012:09:59:53 +0000] "GET /wp-admin/profile.php HTTP/1.1" 200 25052 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"
87.117.217.4 - - [13/Dec/2012:09:59:53 +0000] "POST /wp-admin/profile.php HTTP/1.1" 302 - "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"
87.117.217.4 - - [13/Dec/2012:09:59:54 +0000] "GET /wp-admin/profile.php?updated=1 HTTP/1.1" 200 25209 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"

Като гледам влязъл си е като пич в админ панела без да греши парола и т.н.т.
Ще сменя хоста да видим до кога ще издържи защото много ми намирисва тая работа с тая зума.

Още по странното е това http://87.117.217.4 - ип адреса на хакера има хост на зума??
Отделно това ип е свързано към този домейн tiger.zyma.com
А този домейн е свързан с главен сървър на хоста

 

[vladinc]

От: Хакват ме 2 пъти за 1 ден

Сложи си http://wordpress.org/support/view/plugin-reviews/antivirus и сканирай .. виж какво ще покаже.. на мен ми излезнаха няколко интересни резултата

 

[2fast4you]

От: Хакват ме 2 пъти за 1 ден

Прикачих снимка има 3 афектирани файла (но пък пише че не е вирус) и лог от чата с лайв съпорта на хоста.

Виж файлът Нов текстов док&#1.txt

 

[Sky]

От: Хакват ме 2 пъти за 1 ден

И аз си взех от "промоцията" им но сега ги зарязвам на момента

 

[contra]

От: Хакват ме 2 пъти за 1 ден

Ще преместя сайта на друг хост за да видя дали наистина е от хоста.
Отделно човечетата където работят в тоя хост ми дадоха тия добавки:

http://wordpress.org/extend/plugins/secure-wordpress/
http://wordpress.org/extend/plugins/wp-security-scan/
http://wordpress.org/extend/plugins/sucuri-scanner/
http://wordpress.org/extend/plugins/theme-check/
http://wordpress.org/extend/plugins/antivirus/
http://wordpress.org/extend/plugins/wp-malwatch/
http://wordpress.org/extend/plugins/bulletproof-security/

Казват, че с тях няма да могат да го хакнат.

Пали джапанките от тия човечета и хоста им.

 

[biks]

От: Хакват ме 2 пъти за 1 ден

Ето го хакера:

87.117.217.4 - - [13/Dec/2012:09:59:50 +0000] "POST /wp-login.php HTTP/1.1" 302 - "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"
87.117.217.4 - - [13/Dec/2012:09:59:50 +0000] "GET /wp-admin/ HTTP/1.1" 200 52445 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"
87.117.217.4 - - [13/Dec/2012:09:59:51 +0000] "GET /wp-admin/theme-editor.php HTTP/1.1" 200 74952 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"
87.117.217.4 - - [13/Dec/2012:09:59:51 +0000] "GET /wp-admin/theme-editor.php?file=index.php&theme=gamepress HTTP/1.1" 200 30991 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"
87.117.217.4 - - [13/Dec/2012:09:59:52 +0000] "POST /wp-admin/theme-editor.php HTTP/1.1" 302 - "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"
87.117.217.4 - - [13/Dec/2012:09:59:52 +0000] "GET /wp-admin/theme-editor.php?file=index.php&theme=gamepress&scrollto=0&updated=true HTTP/1.1" 200 27451 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"
87.117.217.4 - - [13/Dec/2012:09:59:53 +0000] "GET /wp-admin/profile.php HTTP/1.1" 200 25052 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"
87.117.217.4 - - [13/Dec/2012:09:59:53 +0000] "POST /wp-admin/profile.php HTTP/1.1" 302 - "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"
87.117.217.4 - - [13/Dec/2012:09:59:54 +0000] "GET /wp-admin/profile.php?updated=1 HTTP/1.1" 200 25209 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"

Като гледам влязъл си е като пич в админ панела без да греши парола и т.н.т.
Ще сменя хоста да видим до кога ще издържи защото много ми намирисва тая работа с тая зума.

Още по странното е това http://87.117.217.4 - ип адреса на хакера има хост на зума??
Отделно това ип е свързано към този домейн tiger.zyma.com
А този домейн е свързан с главен сървър на хоста

изпрати това на съпорта. Може някой от клиентите им да вършее из акаунтите

 

[2fast4you]

От: Хакват ме 2 пъти за 1 ден

Писах си с онлайн съпорта по-горе има лог.. казаха ми че някакъв скрипт е задействан според тях и е влязъл в админският профил, ровил е в темата, ъпдейтнал е нещо по акаунта и е излязъл.

 

[rak]

От: От: Хакват ме 2 пъти за 1 ден

Относно колегата за ИП-тата..не можеш да сложиш ИП-та от които искаш да е достъпен сайта.. това е публичен сайт и не знам до колко е добра идеята.. освен ако не иска само определени хора да имат достъп до сайта.. тогава съм съгласен .. но ако иска всякаква публика да има достъп.. тогава какво правим?
Задължително си защити wp-admin с парола...

Става въпрос само за логин формата да е достъпна от определени IP-та, естествено, ако няма да се регват потребители в него. Иначе като се опита някой да влезе в админ панела, не му излиза логин форма, а страница за грешка. Аз вече от параноя като влизам през ftp после сменям паролата за достъп. Щото от FTP прихванати пароли ми са хаквали не само wp сайтове.

 

[vladinc]

От: Хакват ме 2 пъти за 1 ден

Става въпрос само за логин формата да е достъпна от определени IP-та,

съгласен съм.. задължително условие е да има парола за достъп

@ 2fast4you - сайта ти пак е хакнат :beer:
това към 14.20 UK time

 

[bgtupanfighter]

От: Хакват ме 2 пъти за 1 ден

Абе хора сложете си http://wordpress.org/extend/plugins/better-wp-security/ и следете кога има променяни файлове. Също слагате и чек на логина да блокира на 2-3 пъти грешна парола. Първото е много по-важно, защото такъв ейбан скрипт може да ви тури някой, че да не разберете за него и след 2 години и да се чудите що са малко посещенията. Кофтито е че като мине известно време и бек да връщате няма да има файда, щото и бека вече ви е нахендрен

А за зума е писано във форума. Аз лично нямам доказателства, че не са коректни, но и мой сайт са хаквали там и то бая бързо (на няма и месец хостинг) Според мен имат проблеми със сърварите. Дори и при съмнения не си заслужава риска да се държи нещо там, било и безплатно.

 

[mlazarov]

Използвате софтуер, който във всяка нова версия за всяка една екстра добавят две нови дупки в сигурността и като ви хакнат хостинга виновен? Къде ви е логиката?
Кое точно не им е коректно на тези zyma, че са ви хакнали през дупка в сигурността на софтуер, който вие самите сте инсталирали?

 

[r.stefanov]

От: От: Хакват ме 2 пъти за 1 ден

Пали джапанките от тия човечета и хоста им.

Мда, facepalm :lol:

Намирисва ми на no suphp/php-fpm, може доста да се позабавлява човек на тоя хост

Аз вече от параноя като влизам през ftp после сменям паролата за достъп. Щото от FTP прихванати пароли ми са хаквали не само wp сайтове.

Ако си параноичен няма да използваш ftp.

 

[po_taka]

ssh + allow /admin само на дадени ип-та