Дан перевод Ч2 статьи «Did your WordPress site get hacked?» (Ваш WordPress сайт взломан?) рекомендованной для прочтения разработчиками WordPress.

Автор:Donncha О Caoimh | 8 июня 2008

 Did your WordPress site get hacked? Ч2

Изменить пароли

После того как вы обновились и убедились, что Ваша инсталляция чиста снова, Вы должны сделать следующее:

1. Изменить пароли всех пользователей в Вашей системе.
2. Убедитесь, что взломщик не добавил другой учетной записи пользователя, которую он может использовать, чтобы войти снова.

Остановить плохих парней

Один из способов остановить плохих парней, прежде чем они сделают какие-либо серьезные повреждения, — это регулярное резервное копирование и установка системы обнаружения вторжений (IDS).

Я использую BackupPC, чтобы сделать резервную копии со всех моих серверов каждую ночь, и  скрипт простого резервного копирования MySQL для дампа базы данных ежедневно.

Первый IDS, что приходит на ум, это Tripwire , но есть и многие другие. Я только что установил  AIDE для отслеживания изменений на этом сервере. AIDE делает ежедневный отчет о файлах, которые изменились в этот период. Если злоумышленник изменил скрипт или загрузил вредоносный код, то я получу по  электронной почте уведомление об этом в течение суток. Это требует некоторой тонкой настройки, но это просто в установке на системах Debian (и, вероятно, также легко на Ubuntu и Red Hat, и даже Gentoo..):

В файле конфигурации выше, я поставил следующее:

Что укажет AIDE отслеживать изменения в папках моего веб-сервера, но игнорировать папки журналов и кэш папки.

Пожалуйста, обновляйтесь

Не существует абсолютно никаких причин не обновляться. WordPress известен его 5 минутной  установкой, но требуется время и усилия для его поддержания. Если Вы не желаете хлопот, связанных с обновлением, или не знаете, как поддерживать, почему бы не получить  аккаунт для размещения WordPress сайта на WordPress.com? Неужели $ 10, которые Вы зарабатываете на рекламе ежемесячно, действительно оправдывает время, затраченное на то, чтобы быть уверенным, что Ваш сайт, что Ваши тексты, фотографии и другие медиафайлы находятся в безопасности? Это не реклама WordPress.com, идите с любой системой блогов, которая Вам нравится, но не использует устаревшее программное обеспечение в своих интересах.

Помощь другу

Проверьте исходный код блогов, которые Вы читаете. Номер версии в заголовке быстро сообщать Вам, устарела или нет их версия WordPress. Пожалуйста, оставьте комментарий, поощряя их обновляться! Номер версии выглядит следующим образом:

<meta name=»generator» content=»WordPress 2.5.1″ /> <! — leave this for stats —>

Как выглядит взлом?

Я вхожу в один из моих тестовых блогов и  сталкиваюсь со всевозможными злонамеренными попытками прорваться внутрь. Атакующие используют тупых ботов для выполнения их воли, таким образом сайт будет поражен со всеми видами атак, даже для программного обеспечение, которое не установлено. Боты настолько тупые, что они даже возвращаются снова и снова, выполняя те же атаки.

Вот что я называю «ekibastos атаки». Это происходит в течение ряда запросов с 87.118.100.81 регулярно. Он использует user agent называемый «Mozilla/4.0 (k1b совместимый; RSS 6.0; Windows Sot 5.1 Security Kol)», который как ни странно, не отображается в Google  хорошо сейчас.

1. Сначала злоумышленник посещает консоль, а затем, даже не проверяя, было ли это успешным, он пытается получить доступ к wp-admin/post.php несколько раз, используя HEAD запросы.
2. Затем он отправляет POST запросы  к wp-admin/admin-ajax.php  со следующим POST телом :
3. Когда это не удается, он захватывает xmlrpc.php.
4. Он отправляет  POST запросы к этому скрипту, используя старую и давно исправленную ??ошибку. Вот фрагмент данных.
5.  Это терпит неудачу также, так что запрос повторяется с подобным SQL.
6. Затем он пытается трекбек:    
7. И еще трекбек:
8. Перед окончательным возвращением к xmlrpc.php с этим POST-запросом:
9. В промежутках он также испытывает следующие GET запросы:
10. К счастью, я обновился, и все эти нападения терпят неудачу.

Эти запросы пробивали меня в течение нескольких месяцев, последний раз было 2 дня назад. Если это не убедит Вас, что Вы должны обновить и проверить Ваш сайт, я не знаю, что будет.

PS. Для полноты картины, вот еще одна распространенная атака XMLRPC,которую я вижу все время. Как ни странно, это на самом деле удар с сервера 189.3.105.2, после того как я опубликовал этот пост.

PS. Если ваш сайт был взломан, попробуйте сканер WordPress Exploit , который  попытается найти измененные файлы и подозрительных записи базы данных.