Автор: OSonich * Январь 06, 2019

Утро 3-го января, в 10 утра я продолжил изучение статистических данных после очередной атаки на сервер.

[Wed Jan 02 22:55:17.351083 2019] [core:crit] [pid 13303] (13)Permission denied: [client 51.75.196.34:18250] AH00529: /var/www/xn7sbbighlkm9ahj2air/xn----7sbbighlkm9ahj2air.xn--j1amh/wp-content/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable and that '/var/www/xn7sbbighlkm9ahj2air/xn----7sbbighlkm9ahj2air.xn--j1amh/wp-content/' is executable

Вот что меня действительно удивило, так это то, что моя родная тема на WordPress отключилась, не ясно только как WordPress вышел из строя.

Мой тестовый пакет для разработки, получил массовую перегрузку.

хостинг пакет vsu-1 для тестирования
Хостинг пакет vsu-1 для тестирования.
точки входа wordpress - фото из фаервола
Точки входа wordpress — фото из фаервола.

Смотрим статистику, и видим что ВП сегодня ночью был подвержен другой атаке, мой ручной  запрет на инъекцию скриптов на uploads дает мне возможность протестоять взлому с того момента как мы запретили, это 24 декабрь +- дальше работать админ, бот не смог.

Рис. № 6 Подставной пользователь в вашей базе данных и время.
Рис. № 6 Подставной пользователь в вашей базе данных и время.

Точки для инъекции постов после взлома системы:
http://xn—-7sbbighlkm9ahj2air.xn--j1amh/xmlrpc.php
http://xn—-7sbbighlkm9ahj2air.xn--j1amh/wp-admin/admin-ajax.php

Еще точки для возможных инъекций:

http://xn—-7sbbighlkm9ahj2air.xn--j1amh/wp-admin/load-scripts.php
http://xn—-7sbbighlkm9ahj2air.xn--j1amh/wp-admin/load-styles.php

Хорошо видно на данном рисунке взлом WordPress происходит через директорию UPLOADS : 1 gif 1 css 1 js это и есть файлы скриптов для старта взлома, осталось найти эти файлы.
И как вариант закрыть в ручную страницы авторизации от доступа по default ссылке (url).

http://xn—-7sbbighlkm9ahj2air.xn--j1amh/wp-login.php
http://создание-сайтов.укр/wp-admin

WordPress просит обновить себя до 5-й версии, но есть риск что это не поможет.

Тема для вордпресс сломана вирусом
Тема для WordPress сломана вирусом

Мы запустим обновление WordPress до версии 5.0, но это не помогло, возможно наша старая версия WordPress была с уязвимостью, и легко позволяла делать манипуляции.
Обновление показало что WordPress поврежден сильнее, чем ожидалось.
Решением станет полное удаление WordPress и установка чистой версии из оригинальных исходников репозитория ПП «Сиерра Груп».

Последний тест, что подтвердит что взлом wordpress состоялся успешно
Последний тест, что подтвердит что взлом wordpress состоялся успешно

На данном этапе мы полностью контролируем целостность базы и файлов, неодин сайт клиентов во время взлома не пострадал. Наш фаервол уведомлял нас о всех действиях, спасибо отдельно команде !

Далее : Продолжение восстановления  работы по восстановлению моей темы для WordPress из github. А вы кстати видел новые в папки style и webpack + wp-content + wp-includes+wp-admin.

на самом деле. мы испольщуем вебпак, только галп или грант уже много лет, внутри темы. Мне кажется вордпресс очень изменится в скором времени 🙂

Оставить комментарий

06.01.2019

149 просм.

0