Skocz do zawartości
  • Cześć!

    Witaj na forum RootNode - aby pisać u nas musisz się zarejestrować, a następnie zalogować. Posty pisane z kont niezarejestrowanych nie są widoczne publicznie.

Czy to luka w zabezpieczeniu serwera?


igorex
 Udostępnij

Rekomendowane odpowiedzi

Cześć. Taka sytuacją mnie właśnie spotkała.

 

Kupiłem w aftermarket domenę, dodałem ją  wczoraj do cloudflare, wymuszone ssl, dodałem ją do hostingu, utworzyłem bazę, wgrałem czyste pliki wordpressa ale instalacji nie zrobiłem bo jeszcze się dnys nie uaktualniły.

Dziś chciałem to zrobić, ale ubiegł mnie jakiś spamer. Nie znał danych do bazy więc instalacji nie zrobił, baza pusta, a w pliku wp-config zamiast loginu i hasła wpisał "remote".  Żałuje że nie zrobiłem ich kopii, lekko spanikowałem i skasowałem.

 

Ale jakimś cudem wgrał obce pliki i plugin wp-file-manager. Jakim sposobem? Sprawdziłem inne moje domeny i strony, są czyste.

 

Odnośnik do komentarza
Udostępnij na innych stronach

Ciekawy przypadek.

Jeżeli to jest najnowsza wersja czystego WP (nie żaden backup image, bez pluginów etc.) to podziel się proszę zawartością lub analizą access/error.log - ciekawe jakie zapytania konkretnie wykonał atakujący.

Wgranie podatnego WP File manager'a  jest dość popularne.

Czy Twój hosting korzysta z regułek ModSecurity? Takie akcje powinny przynajmniej wyzwolić notice w logach, nie mówiąc już o próbie wgrania podatnej wtyczki czy malware'u przez skan w czasie rzeczywistym.

Alternatywnie: https://secure.wphackedhelp.com/blog/wp-content-uploads/ .

Zapytałbym - jak długo czekacie z konfiguracją fw, zmiany haseł, portu SSH czy własnie instalacją CMS od momentu uzyskania dostępu, hm?

Odnośnik do komentarza
Udostępnij na innych stronach

Przecież ręczny instalator WP tak właśnie wygląda, że podaje się dane dostępowe do bazy przez przeglądarkę. Jeśli ktoś miał do tego formularza dostęp, to wypełnił sobie dane i stworzyła się konfiguracja. IMO to duży problem WP (taki sam jak dostępny domyślnie publicznie formularz logowania), bo ten sam formularz pokazuje się np. przy przekroczeniu limitów połączeń z bazą. Ale widocznie tak ma być, bo tak jest od wielu wielu lat.

Odnośnik do komentarza
Udostępnij na innych stronach

@Kapitan_Bomba w kwestii wp-config oczywiście, ale co z upload'em plików? Nie chcę teraz sprawdzać, ale przy ostatniej ręcznej instalacji wp nie kojarzę niczego, co by pozwalało wgrać plugin czy wykonać upload plików z poziomu setup'u.

Przypominam, że w takim przypadku instalację - połączenie z nierozpropagowaną domeną można wykonać np. poprzez edycję pliku hosts .

Odnośnik do komentarza
Udostępnij na innych stronach

W instalatorze oprócz danych do bazy podaje się też login i hasło do WP. Ale nawet gdyby nie było, to podał dane do swojej bazy, więc miał dostęp do panelu z poziomu administratora, a co za tym idzie zainstalował sobie plugin.

Odnośnik do komentarza
Udostępnij na innych stronach

Nie doczytałem lub brak informacji - zrozumiałem, że instalacja nie została zakończona, ale jak to był już zainstalowany wp po prostu z zewnętrzną db to tak. Jeżeli nie - to "ciekawy przypadek".

Edit: W sumie raz jeszcze: "instalacji nie zrobił, baza pusta, a w pliku wp-config zamiast loginu i hasła wpisał "remote" - czyli instalacja zakończona czy nie?

Odnośnik do komentarza
Udostępnij na innych stronach

Odpowiadając na pytania, wersja wordpressa najnowsza, pobrana z wordpress.org 2 tyg temu. Hosting raczej dobrze zabezpieczony bo to jeden z tych topowych.

Baza jest pusta.

Pliku z logami nie wyczyściłem całego (z innych domen), sorry za to, ale usuwanie zbędnych wpisów trawałoby wieki.

https://dom.edu.pl/log7lip.zip

Domena o której mowa to projektowaniedomu pl

1 godzinę temu, Kapitan_Bomba napisał:

W instalatorze oprócz danych do bazy podaje się też login i hasło do WP. Ale nawet gdyby nie było, to podał dane do swojej bazy, więc miał dostęp do panelu z poziomu administratora, a co za tym idzie zainstalował sobie plugin.

Nie podałem danych bo bazy w wp-config.  Sorry jeśli niejasno opisałem.

  • Lubię 1
Odnośnik do komentarza
Udostępnij na innych stronach

Cytat

Kupiłem w aftermarket domenę, dodałem ją  wczoraj do cloudflare, wymuszone ssl, dodałem ją do hostingu, utworzyłem bazę, wgrałem czyste pliki wordpressa ale instalacji nie zrobiłem bo jeszcze się dnys nie uaktualniły.

czyli zostawiłeś WP na tym etapie instalacji:

https://i0.wp.com/wordpress.org/support/files/2018/10/install-step3_v47.png?ssl=1

a co za tym idzie każdy, kto wszedł na Twoją stronę mógł podać dane swojej bazy = mieć dane administratora WP = zainstalować dowolny plugin = umieścić na serwerze dowolny plik. Nie rozumiem tego działania developerów WP, ale nie jest to luka zgodna z definicją.

  • Lubię 1
Odnośnik do komentarza
Udostępnij na innych stronach

Napisano (edytowane)

Pliki na moim serwerze i na serwerze spamera jego baza? Nie wiedziałem że tak się da (że połączenie nie jest blokowane przez serwer albo np firewall cloudflare).

Dzięki za wyjaśnienie.

Edytowane przez igorex
Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
 Udostępnij

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Korzystając z forum, wyrażasz zgodę na: Warunki użytkowania, Regulamin, Polityka prywatności.