Mi blog de WordPress por diversión en http://fakeplasticrock.com (ejecutando WordPress 3.1.1) fue pirateado: mostraba un <iframe>
en cada página así:
<iframe src="http://evilsite.com/go/1"></iframe>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
Hice lo siguiente
- Actualizado a 3.1.3 a través del sistema de actualización de WordPress incorporado
- Instalé el Exploit Scanner (muchas advertencias críticas en archivos inusuales) y AntiVirus (esto mostró todo verde y limpio, así que lo desinstalé y lo eliminé después de ejecutarlo)
- Se cambió la contraseña de MySQL.
- Cambió todas las contraseñas de usuario de WordPress.
- Conectado a través de FTP y descargado todo el sistema de archivos (no es grande, este es un host compartido de Linux solo para WordPress)
- Diffed el sistema de archivos en contra de una postal oficial de WordPress 3.1.3 y eliminado o sobrescrito nada que no coincidía.
Estoy bastante seguro de que
- todos los archivos en el disco son archivos oficiales de WordPress 3.1.3
- no hay archivos "adicionales" en el disco que no sean el mío
/theme
, el complemento Exploit Scanner (que acabo de descargar), la/uploads
carpeta y un puñado de otros archivos esperados. Mi otro complemento, wp-recaptcha, coincide con la versión oficial descargada actual. - También revisé el
.htaccess
archivo y no hay nada mal allí
No toqué la base de datos , pero me cuesta pensar cómo algo en la base de datos podría ser malicioso sin un código PHP especial para que funcione.
Mi blog de WordPress parece estar bien y sin pirateo ahora (creo), pero ¿hay algo más que deba verificar?
Respuestas:
¿Has identificado el vector de explotación? De lo contrario, es posible que te dejes abierto a futuras hazañas.
Otras cosas a considerar:
Cambiar el prefijo de la tabla db.htaccess
fuente
Al mirar el mensaje de "navegación segura" de Google Chrome, está obteniendo el "hack de .cc iFrame" que parece estar dando vueltas MUCHO últimamente. Creo que 3.1.3 solucionará esto, pero verifique su archivo index.php en la raíz de su sitio, ahí es donde me siguió golpeando hasta que TODO estaba actualizado y las contraseñas cambiaron.
Hay algunas cosas MUY complicadas que la gente puede hacer con inyecciones de comentarios y publicaciones. Puede ejecutar las siguientes consultas en su base de datos para ayudar a encontrar algunas de ellas. Blogueé el resto de mi "seguimiento" aquí .
¡Espero que esto ayude!
fuente
SELECT * FROM wp_* WHERE comment_content LIKE '%<?%'
ySELECT * FROM wp_* WHERE comment_content LIKE '%<?php%'
solo para estar seguro ...La base de datos también puede contener código malicioso: cuentas de usuario ocultas o valores que se imprimen sin escape en alguna parte. Además, revise su directorio de carga para archivos que no pertenecen allí.
Ah, e intente comprender cómo el atacante encontró su camino en su sitio. En cuentas compartidas, a menudo es todo el servidor. Revise los otros sitios en el servidor para buscar blogs pirateados u otras páginas también. Lea su registro de FTP. Si no sabe cómo sucedió, no puede evitar el próximo descanso.
fuente
wp_users
tabla y solo 2 filas, ambas esperadas ... nada en la/upload
carpeta inusual (solo gifs y pngs y jpegs)Lamento escuchar que fuiste hackeado, ¡parece que has hecho un buen trabajo de recuperación!
Tu sistema de archivos suena dorado, no diría que hay algo más que puedas hacer aquí.
Creo que Exploit Scanner arrojaría una advertencia si encuentra scripts, iframes, PHP (aunque solo es peligroso si se evalúa) u otro código inusual en su base de datos.
No estoy seguro de si revisa tablas que no sean publicaciones y comentarios, puede valer la pena echarle
/wp-admin/options.php
un vistazo para ver si ves algo extraño.También verificaría su tabla de usuarios en un cliente MySQL (los usuarios pueden estar en la base de datos pero no visibles en el administrador).
fuente
Verifique las herramientas de Google Webmaster para dos cosas:
Además, volvería a implementar el tema o lo comprobaría con mucho cuidado. Algunas líneas de PHP pueden redefinir las funciones centrales de PHP para extraer código malicioso de la base de datos, especialmente las tablas de almacenamiento de valores / claves wp_options
fuente
Buscar en la base de datos a través de phpmyadmin para "iframe" o volcar la base de datos y buscar el texto.
Y busque usuarios invisibles en la tabla de usuarios; He visto usuarios en las tablas que no aparecían en WP Admin >> Usuarios.
Opciones limpias «Los complementos de WordPress mostrarán qué basura de los complementos antiguos y posiblemente vulnerables quedan en la base de datos.
A su tema también le falta la
<head>
etiqueta, así que lo comprobaré en caso de que haya editado el tema para eliminar los enlaces incorrectos.Y lo habitual: y Cómo encontrar una puerta trasera en un WordPress pirateado y Endurecer WordPress «WordPress Codex
fuente
"¿Hay algo más que deba verificar?" Debe examinar su proceso y descubrir cómo fue pirateado (casi seguramente porque no parchó a tiempo o correctamente) y corregirlo también, no solo los síntomas.
fuente
Eso me sucedió una vez, a través de una fuga en el mediotemplo. Tuve que escribir un complemento para verificar los enlaces inyectados en la base de datos. Puedes agarrarlo aquí como una esencia de Github .
Es bastante fácil de usar, tiene varios pasos que brindan comentarios y vuelven a verificar su base de datos una vez que haya terminado.
¡Buena suerte!
fuente
Tuve un truco muy similar que tuve que arreglar en uno de mis sitios de clientes.
Había scripts maliciosos en el sistema de archivos (cosas de php base64_decode). Sin embargo, las tablas de 'publicaciones' y 'comentarios' de la base de datos se vieron comprometidas y el código del iframe también se dispersó a través de esos datos.
Al menos haría algunas búsquedas en el DB, solo para estar seguro. :)
fuente
¡Comprueba tus complementos!, En lo que va del año ha habido 60 lanzamientos de exploits de complementos .org, sospecho que el número real es mucho mayor ya que nadie realmente está haciendo esto a tiempo completo.
Usted mencionó que solo tiene un complemento, bueno, tenía un agujero de seguridad (no estoy seguro de cuánto tiempo estuvo fuera, y podría no ser el vector).
El autor declaró que reescribió con la versión 3.0, pero no se menciona el parche de seguridad.
http://www.wpsecure.net/2011/03/wp-recaptcha-plugin/
Registro de cambios: http://wordpress.org/extend/plugins/wp-recaptcha/changelog/
fuente
Uso un servidor en la nube y tengo números de puerto ssh al azar sin ftp. Las contraseñas son extremadamente difíciles de hackear. Se niega completamente el acceso a la raíz. Estoy de acuerdo en que WordPress no va a ser tu culpable. Otra cosa para verificar es que las sesiones de ftp no se cierren, virus en su computadora personal (recuerde que puede cargar un archivo en su sitio y quien cargue ese archivo puede obtener el mismo virus), tampoco guarde sus contraseñas en sitios públicos o privados los sitios siempre los colocan en papel, nunca en un documento de Word o un bloc de notas.
Por último, pregunte a su host si recientemente tuvo una infracción, ya que debería tener una configuración de firewall
fuente
Verifique la fecha de sus archivos. ¡Ningún archivo debe tener un cambio de datos más reciente que su última edición / instalación!
Pero también esto puede ser falso. La forma más segura de estar seguro sería comparar (por ejemplo, comparar con hash) todos los archivos con los archivos de instalación originales.
fuente