Автор: OSonich * Январь 03, 2019

После определения нашего уровня заражения, мы делаем выводы, что нам необходимо использовать авторизацию типа ДФА. Двухфакторная аутентификация (ДФА) для обеспечения дополнительного уровня безопасности. Мы смогли определить как был заражен WordPress, мы касаемся области где превентивная защита наших или ваших и не ваших скриптов, стоит на пороге сервера и стучит. То есть наш сайт был подвержен закачкой PHP-скрипта в каталог UPLOADS DB-1.php, доступный для записи. Разбор DB-1.php файла, будет публикован позже.

Почти 2 мес, мы не трогали вордпресс, мы нашли файл защиты UPLOADS директории от запуска скриптов. Злоумышленник бот. его задача проникнуть и сбивать темы что активны., в нашем случае было много выкачаных архивов рахных тем, в наш UPLOADS было внесено около 40 архивов разных тем.

# SetHandler text/plain
# ForceType text/plain
#

php_flag engine off

php_flag engine off как точка заражения
php_flag engine off как точка заражения

Как видите, здесь работает один приказ

php_flag engine off

Что делает php_flag engine — off
Согласно документации
Пример #1 Отключение парсера PHP для директории при помощи .htaccess
php_flag engine off


php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

Реальной точкой взлома стала папка UPLOADS и файлы темы, суть в том, что наша тема не имела шаблонов, и тема была снова отключена на новых попытках взлома. Обьем взлома около 12000 записей и продать эти ссылки, вот вам и монетизация ссыллочной массы. Так как содержание тех ссылоки имеет скорей характер закупочных ссылок, собственно этот бизнес процветает в Азии, и любители порно там тоже есть.

полное отключение сайта - види отсутствие нагрузки - post метод уже не тревощит вордпресс - так как сайт отключен для внешних источников
полное отключение сайта — отсутствие нагрузки — post метод вордпресс не доступен — некуда обращатся — сайт отключен для внешних источников. Будем запускать RANDOM.

После того как мы запретили, нашим удаленным администратором злостно постить ссылки, наш сервер подвергся массовой ддос, атаке, с нагрузкой по меркам в 60 выше моей нормы работы провайдера.
Суть в том, что взлома больше нет, но отразить ДДОС — возможно полным отключением, на данном этапе.

/xn----7sbbighlkm9ahj2air.xn--j1amh/wp-content/uploads/2018/10/db-1.php -> javascript.document.write.0
/xn----7sbbighlkm9ahj2air.xn--j1amh/wp-content/uploads/2018/10/db-2.php -> javascript.document.write.0

Продолжение в последей части о Защита вордпресс часть 4 

Категории
Метки
Оставить комментарий

03.01.2019

220 просм.

0