Sprawa wygląda tak: włamali mi się na stronę na wordpresie. Dodała się jakaś wtyczka, jakiś motyw, sporo plików z core wordpress miało inne checksumy niż powinny mieć.
Panel plesk sam wykrył problemy, wprowadził kwarantannę, pokazał co się zmieniło przed i po.
Naprawiłem (chyba naprawiłem) większość rzeczy, aaaaale.
Widzę, że co chwilę ktoś się próbuje zalogować i coś wysyłają metodą POST. Ale strona jeszcze się trzyma. Na pewno nie jestem to ja.
Prosty sposób na przeczytanie co jest w tych wysyłanych danych - Szukaj
Stack: System debian(albo centos?), panel plesk, nginx, wordpress najnowszy
tu jest taki najprostszy sposób trzeeba by wrzucić do tego pliku index.php pod pierwszym komentarzem
https://stackoverflow.com/questions/3718307/php-script-to-log-the-raw-data-of-a-post
@bimberman @GazelkaFarelka @lubieplackijohn Chuja się znam, ale napiszę co znalazłem:
Atakujący sprawdzał jakie jest konto administratora używając następującego sposobu:
-
Wchodził na https://adres.pl/?author=1 , jak można się domyślić user z id 1 to ja z uprawnieniami administratora. Tak poznawał login.
-
Chwilę później odwiedzał adres.pl/wp-admin robił nieznaną mi rzecz i przychodził do mnie za każdym razem mail z informacją o resecie hasła.
Zrobiłem taką regułę w nginxie:
if ($args ~ "^author=([0-9]*)") {
return 302 https://127.0.0.1:8080/?;
}
i od tej pory wszystkie próby logowania robi jako:
Users: array ( 0 => 'wwwadmin', )
ClientIP: 172.70.91.226
Wcześniej używał zawsze poprawnego loginu który jest inny niż wwwadmin
Czyli pewnie dalej mam dziurę na stronie ale skrypt nie umie nazwy użytkownika znaleźć xD
@entropy_ tak uzywwajac tego ?author=1 przekierowuje na author/login i poznal login, mogł sprawdzac ile jest autorów
?author=1
?author=2
?author=3
wordpress to chora platforma
a to znasz ?
twojastron.com/wp-json/ ?? moga pobrac cala zawartosc wordpressa wszystkie wpisy kategorie i mulimedia
@bimberman jak nie zna loginu to nie może się zalogować z jakiegoś powodu, ostatni mail ze zmianą hasła miałem o 4 rano i od 8 jak zrobiłem regułę nginxa próbował z 50 razy i zero efektu.
Ujebał sobie jeszcze otwierać robots.txt?kilkalosowychcyferek
Ale to już nie wiem po co.
Borze, przecież pluginy wordpressa są jak sito, ja bym się bał na tym stronę stawiać. Połatałeś wszystkie pluginy i samego wordpressa?
@Fausto pierwszy raz mi się coś takiego zdarzyło.
Wszystko polatałem, zrobiłem trochę hardeningu i chyba będzie dobrze. Na razie typ się jeszcze nie dostał ponownie a od rana próbuje xD
@entropy_ ja bym jeszcze doradził - ograniczyć wtyczki do minimum, może są jakieś rzeczy bez których się obejdziesz, albo zrobisz sam w łatwy sposób.
Zaloguj się aby komentować