Хакнат wordpress сайт

T

tomhafner

Member
Здравейте приятели,
тази седмица два пъти спират сайта на един мой приятел... сайта е wordpress хостинга от host.bg. От хостинг компанията казаха, че е заразен и се изпращат спам мейли и за това го спират от съображения за сигурност. Поразрових се из лог файловете и видях 2 нови файла, които са качени точно дните когато се спря сайта. Кода на тези файлове можете да видите тук :
http://pastebin.com/xFu89iCJ
Можете ли да ми кажете какви стъпки да предприема, за да изчистя сайта и евентуално какви плъгини да инсталирам...
Благодаря предварително!
Поздрави и Светли Празници!
 
От: Хакнат wordpress сайт

Не ти трябват плъгини :) трябва ти антивирусна на компютъра от който се ползва FTP-то към акаунта.
 
От: Хакнат wordpress сайт

Благодаря за отговора s1yf0x, уж имам някакъв аватс безплатен на компа.... имаш ли идея как да процедирам с файловте за да е тип топ всичко?
 
От: Хакнат wordpress сайт

А кинти, а кинти, какви кинти даваш приятелю? :beer:
 
Re: От: Хакнат wordpress сайт

tomhafner каза:
Благодаря за отговора s1yf0x, уж имам някакъв аватс безплатен на компа.... имаш ли идея как да процедирам с файловте за да е тип топ всичко?
Увеличете...

Значи свали го и го мини с антивирусната - аз още си пия кафето но мисля s1yf0x, че имаше на предвид че на твоя човек който е собственик на сайта му трява интивирусна компютъра му...
 
От: Re: От: Хакнат wordpress сайт

Не не, той не е качвал файлове с ftp от неговия комп... аз качвах преди няколко седмици, но нямаше проблем и сега преди 3-4 дни бум :) след още 2 дни пак бум site is down защото хостинг компанията го спира заради спам
 
От: Хакнат wordpress сайт

Изчисти темата, която ползваш от зловредния код. Ъпдейтни си версията на CMS-а до последна, ако ползваш такава, както и всички добавки към нея. Смени си паролите.

Само един сайт ли имаш на този акаунт? Провери всички..
Може въобще проблемът да не е при теб, а качен шел на някой друг акаунт на същия сървър при споделен хостинг.
 
От: Хакнат wordpress сайт

Мерси TheCrazyBastard сега ще върна един бекъп от 30 март, след което ще обновя всичко, пък да видим :)
Поздрави!
 
От: Хакнат wordpress сайт

Затова трябва да ползваш чиста операционна система (препоръчително Линукс) когато се логваш в контролния панел на сайта. Освен това не трябва да ползваш ftp, а sftp (SSH File Transfer Protocol).

Ако все пак държиш да ползваш Windows - може да го ползваш във виртуална машина или на отделен компютър (или ако нямаш пари за два компютъра - може да ползваш Линукс (не)инсталиран на флашка и да рестартираш всеки път когато трябва да правиш нещо по сайта).

Разбира се съществува и варианта да се откажеш да се занимаваш с уебмастерство (ако е прекалено трудно за теб да се пазиш от троянци).
 
От: Хакнат wordpress сайт

Това което са ти качили е shell. В cpanela има опция за virus scanner също може и с нея да си сканираш файловете.
 
Re: От: Хакнат wordpress сайт

TheCrazyBastard каза:
Само един сайт ли имаш на този акаунт? Провери всички..
Може въобще проблемът да не е при теб, а качен шел на някой друг акаунт на същия сървър при споделен хостинг.
Увеличете...



Само да вметна това изцяло зависи от сетъпа на споделения хостинг, някои много сме се постарали да елеминираме този проблем както и още други но това е калкулирано в цената ни*... при мойте два сетъпа ползам само препоръчаните решения от cPanel (виж линка от цитата и те работят както за php така и за cgi) - Chroot Apache Jails на SSD услугата и CageFS на HDD услугата всеки клиент вижда само себеси и е неможе да се рови от един акаунт в друг -само в собствените си сайтове...

coolice каза:
Това е много добър въпрос :) Няма 100% секюрити и доброто такова се постига със layers (слоеве) който се наслагват...

............................


При мен компромис с това което предлага cPanel няма. Акаунтите зад chroot jails (изолирани са един от друг така че всеки вижда само себеси) решението дава освен повече скоротст и повече layers на секюрити от suphp

1. Решението което ползвам е рекомендет от cPanel http://docs.cpanel.net/twiki/bin/vief/EasyApache/Apache/SymlinkPatch за решение на така наречения Simlinks Race Condition пролем... Който присъства при всички хостинги с контролен панел при който намесен и Apache. Другото рекомендет решение е cloudlinux с включен CageFS (защото има и такива с изключен само cpu лимити го ползват ), останалите решения посочени в официалния документ са по малко и по малко препоръчвани да не кажа че масово хостингите който не са със калуд линукс са със Sim Links Пача на Blue Host който е Last Resort решение (а някой са и без него :shock:)...

2. Хостингите забраняват дадени php променливи с цел да се пазят от това, ако даден клиентски сайт не е ъпдейтван и го пробият и кач шел скрипт, или даден клиент си качи нулната тема /плъгин/ скрипт в който тези които са го нулнали са оставили бонус шел с който да влизат във сайтовете който го ползват (да не мислите че от добро сърце ги нулват по голямата част не).... След като вече има достъп до вашия сайт следва да се започне да пробва да рови в други клиентски акунти, да ги дефейсва да им сваля базата да си насложи линкове .....

Защита с ограничени php променливи се заобикаля сравнително лесно освен ако няма други специфични забрани като клиентите да не могат да си променят php.ini, второ не работи за cgi шел скриптове (има така наречения open_basedir) но той е само за php отново cgi шеловете може да вилнеят... или cgi трябва да са спряни за масовите акаунти или да се ползва същата Chroot Jailshell архитектурата която http://coolicehost.com ползва помага да се елимира и този възможен проблем (или CageFS)
Увеличете...

*най ще ми е лесно да ви предложа бюджетна услуга със безплатен панел ама колко ще трябва да е кърпя и пачвам не е истина и да се оправдавам с девелопърите, а мога особено като си писал на девелопъра на 7 март (за нещо важно на секюритито на един безплатен панел) за нещо което е обещал а вече сме близо до 7 май... под друга марка ще я пусна да не си злепоставям ника ...
 
От: Хакнат wordpress сайт

@touchdown, как реши, че хостинга разполага и използва cPanel ?!? Второ аз като техническа поддръжка на сървъри със cPanel ти казвам, че тази защита, дето са я плеснали вътре е пълен ташак, колкото да има някаква нова шарения в панела, на която потребителите да се зарадват. Фрагмента код, който пусна стартиралия темата го виждам и по други сървъри, като 100% от случаите са качени през FTP. Затова и го засилих натам. Това не изключва въчможността да се качи през HTTP заявка към сайта. Въпрос на код, php.ini, настройки на web server-а и права на файловете.

Когато такъв акаунт се спре от съображения за сигурност обикновено се прави с цел да се предпази IP адреса на сървъра от попадане в антиспам филтри, което да влоши качестовото на пощенската услуга и за останалите потребители на сървъра, а не че през шела на един акаунт, ще хакнат и останалите. Не знам дали все още има хостинги, които не използват поне suexec в споделена среда. Вече ако си накачулил на един VPS 1000 сайта и всичките работят с един и същи потребител, това е друга идиотия.
 
Re: От: Хакнат wordpress сайт

s1yf0x каза:
Вече ако си накачулил на един VPS 1000 сайта и всичките работят с един и същи потребител, това е друга идиотия.
Увеличете...

Kъм тази част имам лека забележка за cPanel (това което си написал си важи за безплатните панели) чисто dso вече няма в cPanel има Ruid2 в момента се води по сигурен suphp или fcgid + suexec :) заради Chroot >Jail Apache Virtual Hosts using mod_ruid2 and cPanel® jailshell опцията блокира и cgi шелове и от симлинкс рейс кандишъна от който всички не пачнати cpanel инсталации и безплатни панели с Апач страдат

Symlink Race Condition Vulnerability
If you enable both of the configuration settings SymLinksIfOwnerMatch and FollowSymLinks, Apache will be vulnerable to a race condition through symlinks. This symlink vulnerability allows a malicious user to serve files from anywhere on a server that has not been protected by strict OS-level permissions.
Увеличете...

Аз бях учуден как колелото на историята се върти :) едно време махнаме дсо-то заради секюрити, а сега Rudi2 вариацията се връща като по-сигурната опция :)


ПП Има една камара cPanel и не само хостъри по света който са инсталирали панела с три команди и дефултно са уязвими ама всеки сам си избира къде да хоства

иначе и аз предполагам през FTP локално иначе повече хора щяха да изпищят като се случи при друг случай на появили се шелове при хостинг доставчик когато един по един клиентите си откриха шелове в сайтовете... и се изредиха в една тема

пп @s1yf0x влизам по остро ама аз от много години съм на Fcgi + suexec и го махнах заради руид 2 като го оправиха да работи и Mod_Security преди месец и нещо , искам най доброто за клиентите си - ходих в на цпанел форума да ги редя какво се бавят даже с модсекщрити съмвестомоста на Ruid2 и като ми отговориха конвъртнах :) вие също мисля сте ок ползвате CageFS (заради много php весии си го мисля и заради това което веднъж говорихме какво сатава съврър при определени условия като му се бодне клауд линукс ) и ако погледнеш поста който съм цитирал горе(понеже е доста дълъг пост частично го цитирах) в точка 3 на оргиналния съм ви посочил ХостБългария (с линкче) като другата фирма която знам толкова да мисли за секюритио на клиентите си http://www.predpriemach.com/showthread.php?t=50889&page=3&p=559200#post559200
 
Последно редактирано от модератор:
От: Re: От: Хакнат wordpress сайт

coolice каза:
Kъм тази част имам лека забележка за cPanel (това което си написал си важи за безплатните панели) чисто dso вече няма в cPanel има Ruid2 в момента се води по сигурен suphp или fcgid + suexec :) заради Chroot >Jail Apache Virtual Hosts using mod_ruid2 and cPanel® jailshell опцията блокира и cgi шелове и от симлинкс рейс кандишъна от който всички не пачнати cpanel инсталации и безплатни панели с Апач страдат



Аз бях учуден как колелото на историята се върти :) едно време махнаме дсо-то заради секюрити, а сега Rudi2 вариацията се връща като по-сигурната опция :)


ПП Има една камара cPanel и не само хостъри по света който са инсталирали панела с три команди и дефултно са уязвими ама всеки сам си избира къде да хоства

иначе и аз предполагам през FTP локално иначе повече хора щяха да изпищят като се случи при друг случай на появили се шелове при хостинг доставчик когато един по един клиентите си откриха шелове в сайтовете... и се изредиха в една тема

пп @s1yf0x влизам по остро ама аз от много години съм на Fcgi + suexec и го махнах заради руид 2 като го оправиха да работи и Mod_Security преди месец и нещо , искам най доброто за клиентите си - ходих в на цпанел форума да ги редя какво се бавят даже с модсекщрити съмвестомоста на Ruid2 и като ми отговориха конвъртнах :) вие също мисля сте ок ползвате CageFS (заради много php весии си го мисля и заради това което веднъж говорихме какво сатава съврър при определени условия като му се бодне клауд линукс ) и ако погледнеш поста който съм цитирал горе(понеже е доста дълъг пост частично го цитирах) в точка 3 на оргиналния съм ви посочил ХостБългария (с линкче) като другата фирма която знам толкова да мисли за секюритио на клиентите си http://www.predpriemach.com/showthread.php?t=50889&page=3&p=559200#post559200
Увеличете...

Това за VPS-а със 1000-дата сайтове не се отнася за cPanel, а за дефолтна инсталация без контролен панел, която е от типа "I saw it in howtoforge" . Изпълнението на CGI може да спре във всели един cPanel и без mod_ruid2 , в момента имам пред ссебе си 9 cPanel сървъра без този мод, на които и да се съдере трудно ще изпълни cgi shell. Относно Symlink race condition, мога да изнамеря support ticket-и от преди години, когато Панайот го репортваше и го караха да пише във форума, защото реално това не е проблем на cPanel, а на Apache ?!? Наистина не мога да си представя, че има хостери, които използват дефолтен cPanel и си мислят, че света е розов. Надявам се, че сред българските start-up-и няма такива ентусиасти. Не визирам тебе, защото ти си изкълвал цялата документация на ползвания от теб софтуер, което по принцип трябва да е задължителна практика на всеки, който ще прави PaaS или SaaS .
 
и аз имам в mod_security още един леър на защита срещу шелове (трупам трупам слоеве ) но не е тествано в продуктова среда с клиенти :) затова имах желаниe да e зад chroot...


ПП Винаги съм имал по една хостинг компания да държи афф бизнеса за по-сигурно :) нищо че не съм продавал хостинг на външни клиенти преди http://coolicehost.com/ .... нали не сме отговорни за това което хостваме и реших че ми харесва да имам такъв сетъп - всеки с номера си :)

Както каза един познат на моя хостинг това което правя и му обяснявам не го бил виждал при други кежуал доставчици - ами е не e само документацията, форуми, използвам да се уча от чуждите грешки, като някой се издъни и го пуснат във форума гледам какво е моето положение... не че ме застрахова от издънка такава винаги е възможна, но за 9 години почи от първия ми root WHM /cPanel трябва се води че имам опит* видял съм какво ли не от cpanel и искам да сведа шанса за издънка до минимум...

И сега забавната част :D Изрових фактурата за първия ми VPS с cPanel :) от един много стар бекъп - трябваше да вдигна една уиндоус виртуалка преди да го извадя че тогава бях на win... Предприемач.ком беше на него в първите месеци на съществуването си през 2006та преди да си взема желязо :)

хаха 20 септември 2005 година, SPRY, Red Hat Enterprise 3 AS, VPS 256ца с 5 ip-та и Лиценз за Client Exec :) 49.95 долара на месец какво му плащаш :) спомени
По стар съм с 10 дни от супер хостинг те нали от 1.10.2005 предлагат хостинг за клиенти според сайта си :) хаха и моята фирма е регистрирана преди това през годинта...

my-first-vps.png
 
Последно редактирано от модератор:
Трябва да си влезнал или регистриран, за да отговориш тук.

Горе