Czy to luka w zabezpieczeniu serwera?

[igorex]

Cześć. Taka sytuacją mnie właśnie spotkała.

 

Kupiłem w aftermarket domenę, dodałem ją  wczoraj do cloudflare, wymuszone ssl, dodałem ją do hostingu, utworzyłem bazę, wgrałem czyste pliki wordpressa ale instalacji nie zrobiłem bo jeszcze się dnys nie uaktualniły.

Dziś chciałem to zrobić, ale ubiegł mnie jakiś spamer. Nie znał danych do bazy więc instalacji nie zrobił, baza pusta, a w pliku wp-config zamiast loginu i hasła wpisał "remote".  Żałuje że nie zrobiłem ich kopii, lekko spanikowałem i skasowałem.

 

Ale jakimś cudem wgrał obce pliki i plugin wp-file-manager. Jakim sposobem? Sprawdziłem inne moje domeny i strony, są czyste.

 

[Spoofy]

Ciekawy przypadek.

Jeżeli to jest najnowsza wersja czystego WP (nie żaden backup image, bez pluginów etc.) to podziel się proszę zawartością lub analizą access/error.log - ciekawe jakie zapytania konkretnie wykonał atakujący.

Wgranie podatnego WP File manager'a  jest dość popularne.

Czy Twój hosting korzysta z regułek ModSecurity? Takie akcje powinny przynajmniej wyzwolić notice w logach, nie mówiąc już o próbie wgrania podatnej wtyczki czy malware'u przez skan w czasie rzeczywistym.

Alternatywnie: https://secure.wphackedhelp.com/blog/wp-content-uploads/ .

Zapytałbym - jak długo czekacie z konfiguracją fw, zmiany haseł, portu SSH czy własnie instalacją CMS od momentu uzyskania dostępu, hm?

[Kapitan_Bomba]

Przecież ręczny instalator WP tak właśnie wygląda, że podaje się dane dostępowe do bazy przez przeglądarkę. Jeśli ktoś miał do tego formularza dostęp, to wypełnił sobie dane i stworzyła się konfiguracja. IMO to duży problem WP (taki sam jak dostępny domyślnie publicznie formularz logowania), bo ten sam formularz pokazuje się np. przy przekroczeniu limitów połączeń z bazą. Ale widocznie tak ma być, bo tak jest od wielu wielu lat.

[Spoofy]

@Kapitan_Bomba w kwestii wp-config oczywiście, ale co z upload'em plików? Nie chcę teraz sprawdzać, ale przy ostatniej ręcznej instalacji wp nie kojarzę niczego, co by pozwalało wgrać plugin czy wykonać upload plików z poziomu setup'u.

Przypominam, że w takim przypadku instalację - połączenie z nierozpropagowaną domeną można wykonać np. poprzez edycję pliku hosts .

[Kapitan_Bomba]

W instalatorze oprócz danych do bazy podaje się też login i hasło do WP. Ale nawet gdyby nie było, to podał dane do swojej bazy, więc miał dostęp do panelu z poziomu administratora, a co za tym idzie zainstalował sobie plugin.

[Spoofy]

Nie doczytałem lub brak informacji - zrozumiałem, że instalacja nie została zakończona, ale jak to był już zainstalowany wp po prostu z zewnętrzną db to tak. Jeżeli nie - to "ciekawy przypadek".

Edit: W sumie raz jeszcze: "instalacji nie zrobił, baza pusta, a w pliku wp-config zamiast loginu i hasła wpisał "remote" - czyli instalacja zakończona czy nie?

[igorex]

Odpowiadając na pytania, wersja wordpressa najnowsza, pobrana z wordpress.org 2 tyg temu. Hosting raczej dobrze zabezpieczony bo to jeden z tych topowych.

Baza jest pusta.

Pliku z logami nie wyczyściłem całego (z innych domen), sorry za to, ale usuwanie zbędnych wpisów trawałoby wieki.

https://dom.edu.pl/log7lip.zip

Domena o której mowa to projektowaniedomu pl

1 godzinę temu, Kapitan_Bomba napisał:

W instalatorze oprócz danych do bazy podaje się też login i hasło do WP. Ale nawet gdyby nie było, to podał dane do swojej bazy, więc miał dostęp do panelu z poziomu administratora, a co za tym idzie zainstalował sobie plugin.

Nie podałem danych bo bazy w wp-config.  Sorry jeśli niejasno opisałem.

[Kapitan_Bomba]

Cytat

Kupiłem w aftermarket domenę, dodałem ją  wczoraj do cloudflare, wymuszone ssl, dodałem ją do hostingu, utworzyłem bazę, wgrałem czyste pliki wordpressa ale instalacji nie zrobiłem bo jeszcze się dnys nie uaktualniły.

czyli zostawiłeś WP na tym etapie instalacji:

a co za tym idzie każdy, kto wszedł na Twoją stronę mógł podać dane swojej bazy = mieć dane administratora WP = zainstalować dowolny plugin = umieścić na serwerze dowolny plik. Nie rozumiem tego działania developerów WP, ale nie jest to luka zgodna z definicją.

[igorex]

Pliki na moim serwerze i na serwerze spamera jego baza? Nie wiedziałem że tak się da (że połączenie nie jest blokowane przez serwer albo np firewall cloudflare).

Dzięki za wyjaśnienie.

Edytowane 7 Lipca 2021 przez igorex

[Tom X]

Poczytaj sobie przed kolejną instalacją WP:

https://kinsta.com/blog/password-protect-wordpress-site/#directory