После определения нашего уровня заражения, мы делаем выводы, что нам необходимо использовать авторизацию типа ДФА. Двухфакторная аутентификация (ДФА) для обеспечения дополнительного уровня безопасности. Мы смогли определить как был заражен WordPress, мы касаемся области где превентивная защита наших или ваших и не ваших скриптов, стоит на пороге сервера и стучит. То есть наш сайт был подвержен закачкой PHP-скрипта в каталог UPLOADS DB-1.php, доступный для записи. Разбор DB-1.php файла, будет публикован позже.
Почти 2 мес, мы не трогали вордпресс, мы нашли файл защиты UPLOADS директории от запуска скриптов. Злоумышленник бот. его задача проникнуть и сбивать темы что активны., в нашем случае было много выкачаных архивов рахных тем, в наш UPLOADS было внесено около 40 архивов разных тем.
# SetHandler text/plain
# ForceType text/plain
#
php_flag engine off
Как видите, здесь работает один приказ
php_flag engine off
Что делает php_flag engine — off
Согласно документации
Пример #1 Отключение парсера PHP для директории при помощи .htaccess
php_flag engine off
php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp
Реальной точкой взлома стала папка UPLOADS и файлы темы, суть в том, что наша тема не имела шаблонов, и тема была снова отключена на новых попытках взлома. Обьем взлома около 12000 записей и продать эти ссылки, вот вам и монетизация ссыллочной массы. Так как содержание тех ссылоки имеет скорей характер закупочных ссылок, собственно этот бизнес процветает в Азии, и любители порно там тоже есть.
После того как мы запретили, нашим удаленным администратором злостно постить ссылки, наш сервер подвергся массовой ддос, атаке, с нагрузкой по меркам в 60 выше моей нормы работы провайдера.
Суть в том, что взлома больше нет, но отразить ДДОС — возможно полным отключением, на данном этапе.
/xn----7sbbighlkm9ahj2air.xn--j1amh/wp-content/uploads/2018/10/db-1.php -> javascript.document.write.0
/xn----7sbbighlkm9ahj2air.xn--j1amh/wp-content/uploads/2018/10/db-2.php -> javascript.document.write.0
Продолжение в последей части о Защита вордпресс часть 4