Убедитесь, что я полностью удалил взломанный WordPress?
Мой блог для WordPress для http://fakeplasticrock.com (запуск WordPress 3.1.1) получил взломанный - - на каждой странице было показано <iframe>
:
<iframe src = "http://evilsite.com/go/1"> </iframe>
<! DOCTYPE html PUBLIC "- //W3C //DTD XHTML 1.0 Strict //EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns = "http://www.w3.org/1999/xhtml" xml: lang = "en" lang = "en">
Я сделал следующее
- Обновление до 3.1.3 через встроенную систему обновления WordPress
- Установлен Exploit Scanner (много критических предупреждений о необычных файлах) и < a href = "http://wordpress.org/extend/plugins/antivirus/" rel = "noreferrer"> AntiVirus (это показало все зеленые и чистые, поэтому я удалил и удалил его после запуска)
- Изменен пароль MySQL.
- Изменены все пароли пользователей WordPress.
- Подключен по FTP и загружен всей файловой системы (не большой, это общий хост на базе только для WordPress)
- Разместил файловую систему с официальным ZIP-файлом WordPress 3.1.3 и удален или переписал все, что не соответствовало.
Я уверен, что
- все файлы на диске являются официальными файлами WordPress 3.1.3.
- на диске нет «лишних» файлов, кроме моего одного
/theme
, плагина Exploit Scanner (который я только что загрузил), папки/uploads
и крошечная часть других ожидаемых файлов. Мой другой плагин wp-recaptcha соответствует текущей официальной загруженной версии. - Я также проверил файл
.htaccess
, и там ничего не получилось.
Я не касался базы данных , но я боюсь думать, что что-то в базе данных может быть вредоносным без специального PHP-кода , чтобы заставить его работать?
В моем блоге WordPress появляется сообщение «ОК», и теперь я не могу взломать (я думаю), но есть ли что-нибудь еще, что я должен проверить?
12 ответов
Вы идентифицировали вектор эксплойта? Если нет, вы можете оставить себя открытым для будущего использования.
Другие вещи, которые следует учитывать:
- Изменение пароля пользователя администратора WordPress - done
- Изменить пароль пользователя учетной записи хостинга
- Изменить FTP-пароли
- Изменить пароль пользователя MySQL db - done
-
Изменить префикс таблицы db забастовка> - Обновите wp-config nonces /salt
- Проверьте права на каталог /файл
- Блокировать доступ к каталогам через
.htaccess
- Пройдите все в Hardening WordPress . Ввод кода
- Пройдите все в FAQ Мой сайт был взломан Запись в кодексе
Глядя на сообщение «безопасный просмотр» в Google Chrome, вы получаете «.cc iFrame hack», который, похоже, собирается в последнее время. Я думаю, что 3.1.3 исправит это, но проверьте ваш файл index.php в корне, если ваш сайт, вот где он продолжал ударять меня, пока я не получил ВСЕ, а пароли изменились.
Есть некоторые ОЧЕНЬ хитрые вещи, которые люди могут делать с инъекциями сообщений и комментариев. Вы можете запустить следующие запросы к своей базе данных, чтобы помочь найти некоторые из них. Я записал остальную часть моего «отслеживания» здесь .
SELECT * FROM wp_posts WHERE post_content LIKE '% <iframe%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '% <noscript%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '% display:%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '% <?%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '% <? Php%'
SELECT * FROM wp_comments WHERE comment_content LIKE '% <iframe%'
UNION
SELECT * FROM wp_comments WHERE comment_content LIKE '% <noscript%'
UNION
SELECT * FROM wp_comments WHERE comment_content LIKE '% display:%'
UNION
SELECT * FROM wp_comments WHERE comment_content LIKE '% <?%'
UNION
SELECT * FROM wp_comments WHERE comment_content LIKE '% <? Php%'
Надеюсь, это поможет!
База данных также может содержать вредоносный код: скрытые учетные записи пользователей или значения, которые где-то не распечатываются. Кроме того, проверьте каталог загрузки для файлов, которые не входят в него.
О, и попытайтесь понять, как злоумышленник нашел свой путь на ваш сайт. В общих учетных записях часто используется весь сервер. Проверьте другие сайты на сервере для взломанных блогов или других страниц. Прочитайте свой FTP-журнал. Если вы не знаете, как это произошло, вы не можете предотвратить следующий перерыв.
Извините, что вы взломали - похоже, что вы сделали прекрасную работу по восстановлению, хотя!
Ваша файловая система звучит золотистой, я бы не сказал, что здесь есть что-то еще.
Я бы подумал, что Exploit Scanner выдаст предупреждение, если найдет в вашей базе скрипты, iframes, PHP (хотя и опасные, если eval'd), или другой необычный код в вашей базе данных.
Я не уверен, проверяет ли он таблицы, отличные от сообщений и amp; комментарии, возможно, стоит проверить /wp-admin/options.php
для быстрого взгляда и посмотреть, заметили ли вы что-то странное.
Я бы также проверил вашу таблицу пользователей в клиенте MySQL (пользователи могут находиться в базе данных, но не видны в админе).
Проверьте инструменты Google Webmaster для двух вещей:
- убедитесь, что ваш сайт не был помечен как скомпрометированный, и запросите повторную проверку, если он имеет
- проверьте свой сайт как робота Google и убедитесь, что спам не вставлен, который доступен только для Googlebot. Например, это взлом WP Pharma.
Кроме того, я бы повторил реализацию темы или тщательно ее проверил. Несколько строк PHP могут переопределять основные функции PHP, чтобы они извлекали вредоносный код из базы данных, особенно таблицы хранения /хранения wp_options
Поиск в базе данных через phpmyadmin для «iframe» или сброс базы данных и поиск текста.
И проверьте наличие невидимых пользователей в таблице users; Я видел пользователей в таблицах, которые не отображались в WP Admin> Users.
Чистые параметры. «Плагины WordPress покажут, что из старых и, возможно, уязвимых плагинов, базы данных.
В вашей теме также отсутствует тег <head>
, поэтому я бы проверил это, если вы отредактировали тему, чтобы удалить плохие ссылки.
И обычный: Как найти бэкдор в взломанном WordPress и Создание WordPress «Кодекс WordPress
"есть ли что-нибудь еще, что я должен проверить?" Вам нужно изучить ваш процесс и узнать, как вы были взломаны (почти наверняка, потому что вы не исправлялись вовремя или правильно), и исправить это тоже, а не только симптомы.
Это случилось со мной однажды, через утечку на mediatemple. Мне пришлось написать плагин для проверки базы данных для впрыскиваемых ссылок. Вы можете захватить его здесь как github gist .
Он очень удобен для пользователя, имеет несколько шагов, обеспечивающих обратную связь и повторную проверку вашей базы данных после того, как вы закончите.
Удачи!
У меня был очень похожий хак, который мне пришлось исправлять на одном из моих клиентских сайтов.
В файловой системе существовали вредоносные скрипты (php base64_decode stuff). Однако база данных 'posts' & «Комментарии» были скомпрометированы, и код iframe был также разбросан по этим данным.
Я бы по крайней мере провел несколько поисков в БД, чтобы быть в безопасности. :)
Проверьте свои плагины!, до сих пор в этом году было выпущено 60 эксплойтов из плагинов .org, я бы заподозрил, что реальное число будет намного выше, поскольку никто не делает это на полную ставку.
Вы указали, что у вас есть только один плагин, ну, у него есть дыра в безопасности (не уверен, как долго он отсутствовал, и это может быть не вектор).
сор-Recaptcha-плагин
Эксплоит был выпущен: 2011-03-18
Версия Exploit: 2.9.8
Автор заявил, что он переписал версию 3.0, но упоминание об исправлении безопасности отсутствует.
http://www.wpsecure.net/2011/03/wp -recaptcha-плагин /
Журнал изменений: http://wordpress.org/extend/plugins/wp- Recaptcha /изменения /
Я использую облачный сервер и имею случайные wacky номера порта ssh no ftp вообще. Пароли чрезвычайно сложно взломать. Все права доступа root полностью лишены. Я согласен с тем, что WordPress не будет вашим преступником. Еще одна вещь, которую нужно проверить - это сеансы ftp, которые не закрываются, вирус на вашем персональном компьютере (помните, что вы можете загружать файл на свой сайт и кто когда-либо загружает этот файл, может получить тот же вирус), также не сохраняйте свои пароли на общедоступных сайтах или в частных сайты всегда правят их на бумаге ни на одном документе или в блокноте.
Наконец, спросите своего хоста, были ли у них недавно нарушения, поскольку они должны иметь настройку брандмауэра
Проверьте дату ваших файлов. Ни один файл не должен иметь данные изменения, более новые, чем ваши последние изменения /установки!
Но и это может быть подделано. Самый верный способ быть уверенным в том, чтобы сравнить (например, хэш-сравнить) все файлы с исходными установочными файлами.