Wordpress potencialne luknje

Em imam en WP, ki mi ga za boga ne uspe zaščitit tako kot je treba, na par dni se mi pojavi Shell file na serverju in prepisane .js datoteke. Pogledal sem že vsemogoče, zamenjano je bilo FTP geslo, pregledane mape, da ni druge nesnage, verzija je zadnja, plugini so nekako vsi posodobljeni, počiščeni uporabniki v bazi, itd.

Še vprašanje je kje kak seznam potencialnih lukenj? :D

21 odgovorov

Cela debata :D

Error log nič v zvezi s tem, access log samo dostop do shell faila. Kar sem pregledal shell faile je povsem enostavno, niti ni nekih exec funkcij, tak da kaj dosti ne morem blokirat.

Opazil sem nekaj broute force na xmlrpc, sem tudi blokiral, tak da upam da bo sedaj mir.

No sej se je že v temi nabral en seznam :D

Če se kar pojavi, v error nič, v acces samo post - ftp log? tega je biilo v zadnjih letih ogromno - kraje FTP dostopnih podatkov. Morda.

Ker zelo težko, da ni nobenega datuma/ure povezane med logi in timestampom fajla.

Je ja povezava - access log na shell file je isti kot timestamp fajlov. Kako je pa shell file maložil pa ne najdem ničesar ...

Dej pokazi ta shell, da vidim.

Eden iz med shell failov: http://pastebin.com/Nr1cXrsN

Nekaj teh shell failow pa itak že antivirus zazna.

Gre za to da lahko urejaš file direkt, 1,2,3 si spišeš en macro, ki klika in editira file.

Očitno sem poštimal zadevo, ker trenutno je mir :D

Če bo kdo testiral shell file, naj ga tudi zbriše, ker uporablja faile na drugih naslovih, da ne bo potem kak problem!

Si zamenjal tudi vse dostopne podatke (WP axx, FTP in MySQL)?

Ko boš pognal Wordfence vklopi še funkcijo 'Treat images as executable files', včasih se kakšna skripta skrije v image datoteko z execute pravicami.

V primeru, da še vedno ne najde, ti pa predlagam, da preveriš kdaj so bile datoteke ustvarjene, kdo jih je ustvaril (ls -l | awk '{print $3, $4 }') in pregledaš dostopne loge na strežniku, kateri URLji so bili zahtevani v tisti minuti.

1

Zadeva je rešena, kot kaže!

Pa si mogoče ugotovil kako so prvič prišli notri?

Poleg ostalih možnosti ki so že omenjene lahko probaš tudi z zastonj accountom pri CloudFlare CDN ki deluje kot vmesna postaja med tvojo stranjo in hostingom. Poleg tega da naredi stran hitrejšo v bližini njihovih serverjev (ZDA) dobiš tudi eno plast dodatne zašćite.

Je pa zelo težko vedeti ali bo to rešilo problem ker je možnosti veliko, ker pa je zadeva zastonj ni tak problem probat.

zakaj administracije ne zaklenete na statični IP administratorja ?