Ваш WordPress сайт взломан? Ч2

Дан перевод Ч2 статьи «Did your WordPress site get hacked?» (Ваш WordPress сайт взломан?) рекомендованной для прочтения разработчиками WordPress.

Автор:Donncha О Caoimh | 8 июня 2008

 Did your WordPress site get hacked? Ч2

Изменить пароли

После того как вы обновились и убедились, что Ваша инсталляция чиста снова, Вы должны сделать следующее:

  1. Изменить пароли всех пользователей в Вашей системе.
  2. Убедитесь, что взломщик не добавил другой учетной записи пользователя, которую он может использовать, чтобы войти снова.

Остановить плохих парней

Один из способов остановить плохих парней, прежде чем они сделают какие-либо серьезные повреждения, — это регулярное резервное копирование и установка системы обнаружения вторжений (IDS).

Я использую BackupPC, чтобы сделать резервную копии со всех моих серверов каждую ночь, и  скрипт простого резервного копирования MySQL для дампа базы данных ежедневно.

Первый IDS, что приходит на ум, это Tripwire , но есть и многие другие. Я только что установил  AIDE для отслеживания изменений на этом сервере. AIDE делает ежедневный отчет о файлах, которые изменились в этот период. Если злоумышленник изменил скрипт или загрузил вредоносный код, то я получу по  электронной почте уведомление об этом в течение суток. Это требует некоторой тонкой настройки, но это просто в установке на системах Debian (и, вероятно, также легко на Ubuntu и Red Hat, и даже Gentoo..):

В файле конфигурации выше, я поставил следующее:

Что укажет AIDE отслеживать изменения в папках моего веб-сервера, но игнорировать папки журналов и кэш папки.

Пожалуйста, обновляйтесь

Не существует абсолютно никаких причин не обновляться. WordPress известен его 5 минутной  установкой, но требуется время и усилия для его поддержания. Если Вы не желаете хлопот, связанных с обновлением, или не знаете, как поддерживать, почему бы не получить  аккаунт для размещения WordPress сайта на WordPress.com? Неужели $ 10, которые Вы зарабатываете на рекламе ежемесячно, действительно оправдывает время, затраченное на то, чтобы быть уверенным, что Ваш сайт, что Ваши тексты, фотографии и другие медиафайлы находятся в безопасности? Это не реклама WordPress.com, идите с любой системой блогов, которая Вам нравится, но не использует устаревшее программное обеспечение в своих интересах.

Помощь другу

Проверьте исходный код блогов, которые Вы читаете. Номер версии в заголовке быстро сообщать Вам, устарела или нет их версия WordPress. Пожалуйста, оставьте комментарий, поощряя их обновляться! Номер версии выглядит следующим образом:

<meta name=»generator» content=»WordPress 2.5.1″ /> <! — leave this for stats —>

Как выглядит взлом?

Я вхожу в один из моих тестовых блогов и  сталкиваюсь со всевозможными злонамеренными попытками прорваться внутрь. Атакующие используют тупых ботов для выполнения их воли, таким образом сайт будет поражен со всеми видами атак, даже для программного обеспечение, которое не установлено. Боты настолько тупые, что они даже возвращаются снова и снова, выполняя те же атаки.

Вот что я называю «ekibastos атаки». Это происходит в течение ряда запросов с 87.118.100.81 регулярно. Он использует user agent называемый «Mozilla/4.0 (k1b совместимый; RSS 6.0; Windows Sot 5.1 Security Kol)», который как ни странно, не отображается в Google  хорошо сейчас.

  1. Сначала злоумышленник посещает консоль, а затем, даже не проверяя, было ли это успешным, он пытается получить доступ к wp-admin/post.php несколько раз, используя HEAD запросы.
  2. Затем он отправляет POST запросы  к wp-admin/admin-ajax.php  со следующим POST телом :
  3. Когда это не удается, он захватывает xmlrpc.php.
  4. Он отправляет  POST запросы к этому скрипту, используя старую и давно исправленную ??ошибку. Вот фрагмент данных.
  5.  Это терпит неудачу также, так что запрос повторяется с подобным SQL.
  6. Затем он пытается трекбек:    
  7. И еще трекбек:
  8. Перед окончательным возвращением к xmlrpc.php с этим POST-запросом:
  9. В промежутках он также испытывает следующие GET запросы:
  10. К счастью, я обновился, и все эти нападения терпят неудачу.

Эти запросы пробивали меня в течение нескольких месяцев, последний раз было 2 дня назад. Если это не убедит Вас, что Вы должны обновить и проверить Ваш сайт, я не знаю, что будет.

PS. Для полноты картины, вот еще одна распространенная атака XMLRPC,которую я вижу все время. Как ни странно, это на самом деле удар с сервера 189.3.105.2, после того как я опубликовал этот пост.

PS. Если ваш сайт был взломан, попробуйте сканер WordPress Exploit , который  попытается найти измененные файлы и подозрительных записи базы данных.

Ваш WordPress сайт взломан? Ч2: 25 комментариев

  1. Я всегда обновляюсь, пока ничего страшного не произошло. думаю, и дальше не будет.

  2. Дай Бог и не произойдёт! Спасибо Искандер за информацию!

  3. Искандер, я смотрю, что Вы всегда сами выполняете то,что и другим советуете. Это я насчет резервной копии сайта.Вот совсем недавно у Вас статью с подобным советом читал.

    Не в пример, допустим, многим врачам. Любой медик, знает, что курить вредно, но многие из них курят. Любой врач скажет. что питаться надо умеренно, но сколько же среди них таких, что сами лишний вес имеют. Парадокс да и только.

    А личный пример — это самое действенное убеждение.

  4. Не дай бог случиться такому! Я тоже все время обновляю Ворд…как то дней 10 назад ,я пыталась оставить комментарий на пост и не смогла,мне выдавала система,что на ваш блог идет нападение…Спасибо вам за советы Искандер!Успехов!

  5. Интерсно следить за работой проффессионлов

  6. Очень полезная информация о то, что предпринять при взломе! Большое спасибо!

  7. Информация, несомненно, полезнейшая, и я даже пытаюсь пользоваться некоторыми доступными для меня Вашими советами. Но как только речь заходит об этих HTML кодах, то тут я пас. Я в них ничегошеньки не понимаю. А вот насчет обновления — это я усвоила. Правда, наши учителя из Твоего Старта советуют не обновляться сразу после предложения обновления, так как эти плагины и версии должны сначала устояться. Я правильно все поняла?

  8. Спасибо за подробности.Сайт обновляем.

  9. Да уж, ухо держать востро надо каждую минуту!

  10. Всегда надеюсь на лучшее, боялась обновляться, напугали, что при обновлении могут быть утеряны некоторые данные. Узнала на хостинге о днях обновления, сама сохранила копию сайта и приступила к обновлению. В течение 2х-3х минут все обновилось без проблем. Мои опасения были напрасными.

  11. Береженого, бог бережет. Спасибо за ценную информацию!

  12. Да, взлом заставляет задуматься. Спасибо.

  13. Надеюсь это всё не коснётся моего сайта.

  14. Спасибо за полезные советы, но пусть нас минует чаша сия.

  15. Спасибо за очень подробную статью. Я не все поняла, но в случае неприятностей буду знать, что на Вашем сайте найду нужную информацию.

  16. Вовремя обновлять важное программное обеспечение Виндовс научила, спасибо, всегда своевременно обновляюсь

  17. Бекапируюсь, стараюсь, а Ворд пока не обновляла, надо сделать, спасибки, конечно огромное!!! Искандер, думаю, что в скором времени, Вы будете чинить наши сайты по полной, за деньги, к этому всё идёт,а я этому и рада! Кажется, Ваша ниша будет востребованной!

  18. Мне пришлось побороться за свой сайт. Потому не по наслышке знаю как это не просто.

  19. Согласен с автором в том,что необходимо регулярно делать резервную копию сайта и баз данных.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *