सत्यापित कर रहा हूं कि मैंने पूरी तरह से एक वर्डप्रेस हैक हटा दिया है?

105

Http://fakeplasticrock.com पर मेरा मज़ेदार WordPress ब्लॉग (WordPress 3.1.1 चल रहा है) हैक हो गया - ऐसा <iframe>हर पेज पर दिखाई दे रहा था :

<iframe src="http://evilsite.com/go/1"></iframe>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> 
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">

मैंने निम्नलिखित किया

  1. अंतर्निहित वर्डप्रेस अपग्रेड सिस्टम के माध्यम से 3.1.3 पर अपग्रेड किया गया
  2. स्थापित स्कैनर शोषण और (असामान्य फाइलों पर महत्वपूर्ण चेतावनी के बहुत सारे) एंटीवायरस (यह सब हरे और स्वच्छ से पता चला है, इसलिए मैं स्थापना हटाई और चल रहा है के बाद इसे हटा दिया)
  3. परिवर्तित MySQL पासवर्ड।
  4. सभी वर्डप्रेस यूजर पासवर्ड बदल दिए।
  5. एफ़टीपी के माध्यम से जुड़ा हुआ है और पूरे फाइलसिस्टम को डाउनलोड किया है (बड़ा नहीं है, यह एक वर्डप्रेस-ओनली लिनक्स साझा होस्ट है)
  6. वर्डप्रेस 3.1.3 के एक अधिकारी ज़िप के खिलाफ फाइल सिस्टम diffed किये जाने वाले और हटाया या ओवरराइट कर कुछ भी है कि मेल नहीं खाती।

मुझे पूरा यकीन है कि

  • डिस्क पर सभी फाइलें आधिकारिक वर्डप्रेस 3.1.3 फाइलें हैं
  • मेरे एक के अलावा डिस्क पर कोई "अतिरिक्त" फाइलें नहीं हैं /theme, एक्सप्लॉइट स्कैनर प्लगइन (जो मैंने अभी डाउनलोड किया है), /uploadsफ़ोल्डर, और अन्य अपेक्षित फ़ाइलों का एक छोटा मुट्ठी भर। मेरे अन्य प्लगइन, wp-recaptcha, वर्तमान आधिकारिक डाउनलोड किए गए संस्करण से मेल खाते हैं।
  • मैंने .htaccessफाइल भी चेक की और वहां कुछ भी गलत नहीं लगा

Wordpress 3.1.3 फ़ाइल तुलना में परे है

मैंने डेटाबेस को नहीं छुआ , लेकिन मैं यह सोचने के लिए संघर्ष कर रहा हूं कि डेटाबेस में कुछ भी विशेष PHP कोड के बिना दुर्भावनापूर्ण हो सकता है ताकि यह काम कर सके?

मेरा वर्डप्रेस ब्लॉग अब ठीक है और हैक-मुक्त दिखाई देता है (मुझे लगता है), लेकिन क्या मुझे जाँचना चाहिए?

security  hacked 
जेफ एटवुड
स्रोत
1
आपको ब्लॉग को अद्यतित रखना चाहिए । :)
FUXIA

जवाबों:

80

क्या आपने शोषक वेक्टर की पहचान की है? यदि नहीं, तो आप भविष्य के शोषण के लिए खुद को खुला छोड़ सकते हैं।

अन्य बातों पर विचार:

  1. वर्डप्रेस व्यवस्थापक उपयोगकर्ता पासवर्ड बदलें - किया
  2. होस्टिंग खाता उपयोगकर्ता पासवर्ड बदलें
  3. एफ़टीपी पासवर्ड बदलें
  4. बदलें MySQL db उपयोगकर्ता पासवर्ड - किया
  5. DB तालिका उपसर्ग बदलें
  6. अपने wp-config nonces / नमक को अपडेट करें
  7. अपनी निर्देशिका / फ़ाइल अनुमतियाँ जांचें
  8. ब्लॉक डायरेक्टरी-ब्राउजिंग एक्सेस, थ्रू .htaccess
  9. हार्डनिंग वर्डप्रेस कोडेक्स प्रविष्टि में सब कुछ के माध्यम से जाओ
  10. एफएक्यू माई साइट वाट्सएप कोड प्रविष्टि में सब कुछ के माध्यम से जाओ
चिप बेनेट
स्रोत
1
क्षमा करें, उल्लेख करने के लिए उपेक्षित - मैंने निश्चित रूप से वर्डप्रेस पासवर्ड बदल दिए हैं। पोस्ट को अपडेट किया और यहाँ सूची पर जाँच की! मैं किसी भी तरह से सोच नहीं सकता कि वे मेरे होस्टिंग पासवर्ड, या एफ़टीपी पासवर्ड, बस वर्डप्रेस में मिल सकते हैं; वह जानकारी फाइलसिस्टम या डेटाबेस में कहीं नहीं है।
जेफ एटवुड
9
आपके पास संभावित शोषण वेक्टर पीछे की ओर है; यह वर्डप्रेस -> होस्टिंग खाते की संभावना नहीं है , बल्कि खाते (सर्वर या एफ़टीपी के माध्यम से) की मेजबानी कर रहा है -> वर्डप्रेस
चिप बेनेट
2
@ कुछ सर्वर-स्तरीय कारनामों का आप पर कोई नियंत्रण नहीं है (एक बेहतर मेजबान खोजने से अलग)। लेकिन सिर्फ इसलिए कि आपने होस्ट / एफ़टीपी क्रेडेंशियल्स का उपयोग नहीं किया है, इसका मतलब यह नहीं है कि किसी ने आपके होस्टिंग खाते तक पहुंच प्राप्त करके, उन्हें चोरी नहीं किया है।
चिप बेनेट
7
वहाँ एक बहुत ही सामान्य शोषण है, जहां मैलवेयर आपके कार्य केंद्र (या ठेकेदार के वर्कस्टेशन) को संक्रमित करता है, आपके पसंदीदा एफ़टीपी (या एफ़टीपी-सक्षम) प्रोग्राम में आपके सहेजे गए पासवर्ड के माध्यम से खोदता है, और उन हमलावरों को भेजता है, जो तब समझौता करते हैं आपकी साइट और अन्य वेबमास्टरों के लिए उसी मैलवेयर को फैलाने के लिए इसका उपयोग करती है। यह एक सामान्य तरीका है जिसमें आपका एफ़टीपी पासवर्ड चोरी हो जाता है। क्या विशेष रूप से कपटी है कि यह आपके जैसे सामान्य साइटों के माध्यम से फैलता है , न कि उन आधारों पर जहां आप सावधान रहने की संभावना रखते हैं।
टायलर
3
FYI करें, यदि आपके पास कमांड लाइन तक पहुंच है, तो WP-CLI के पास एक सत्यापित चेकसम कमांड है, जो wordpress.org के खिलाफ प्रत्येक फाइल की जांच करेगा
विलियम टर्लेल
26

Google Chrome "सुरक्षित ब्राउज़िंग" संदेश को देखते हुए, आपको ".cc iFrame हैक" मिल रहा है, जो कि हाल ही में बहुत सारे हो रहे हैं। मुझे लगता है कि 3.1.3 इसे ठीक कर देगा, लेकिन यदि आपकी साइट है, तो अपनी index.php फ़ाइल को रूट में जांचें, यही वह जगह है जो मुझे तब तक मारती रही जब तक कि मुझे अपडेट किया गया और पासवर्ड नहीं बदला गया।

कुछ बहुत मुश्किल सामान लोगों को पोस्ट और टिप्पणी इंजेक्शन के साथ कर सकते हैं। आप अपने डेटाबेस के खिलाफ निम्नलिखित क्वेरीज़ को चलाने में मदद कर सकते हैं उनमें से कुछ को मैंने अपने "ट्रैकिंग" के बाकी हिस्सों में ब्लॉग किया है

SELECT * FROM wp_posts WHERE post_content LIKE '%<iframe%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '%<noscript%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '%display:%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '%<?%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '%<?php%'

SELECT * FROM wp_comments WHERE comment_content LIKE '%<iframe%'
UNION
SELECT * FROM wp_comments WHERE comment_content LIKE '%<noscript%'
UNION
SELECT * FROM wp_comments WHERE comment_content LIKE '%display:%'
UNION
SELECT * FROM wp_comments WHERE comment_content LIKE '%<?%'
UNION
SELECT * FROM wp_comments WHERE comment_content LIKE '%<?php%'

उम्मीद है की यह मदद करेगा!

Dillie-ओ
स्रोत
4
मैं SELECT * FROM wp_* WHERE comment_content LIKE '%<?%'SELECT * FROM wp_* WHERE comment_content LIKE '%<?php%'
जोड़ूंगा
4
ओह, एक अंतिम नोट। मैं मान रहा हूं कि आपके पास इस डोमेन में Google वेबमास्टर टूल हैं। एक बार जब आप चीजों को साफ कर लेते हैं, तो आप अपने वेबमास्टर टूल्स खाते से अनुरोध कर सकते हैं कि Google साइट को फिर से शुरू कर दे और चेतावनी संदेश को हटा दे। वे वेबमास्टर टूल से अनुरोधों को आम तौर पर एक दिन के भीतर संसाधित करते हैं। अन्यथा आप अच्छे 90 दिनों के लिए "शरारती सूची" पर आते हैं।
दिली-ओ
परिणाम का एक गुच्छा मिला, लेकिन यह Vimeo के लिए एम्बेडेड iframes की वजह से है।
टॉशेल
20

डेटाबेस में दुर्भावनापूर्ण कोड भी हो सकते हैं: छिपे हुए उपयोगकर्ता खाते या मूल्य जो कहीं न कहीं प्रिंट किए गए हैं। इसके अलावा, उन फ़ाइलों के लिए अपनी अपलोड निर्देशिका की जाँच करें जो वहां नहीं हैं।

ओह, और यह समझने की कोशिश करें कि हमलावर ने आपकी साइट में अपना रास्ता कैसे पाया। साझा खातों पर यह अक्सर पूरा सर्वर होता है। हैक किए गए ब्लॉग या अन्य पृष्ठों के लिए सर्वर पर अन्य साइटों की जाँच करें । अपना एफ़टीपी लॉग पढ़ें। अगर आपको नहीं पता कि यह कैसे हुआ तो आप अगले ब्रेक को नहीं रोक सकते।

fuxia
स्रोत
Exploit स्कैनर किसी भी छिपे हुए उपयोगकर्ता खाते को नहीं ढूंढेगा?
जेफ एटवुड
@ जेफ एटवुड मैं उस पर भरोसा नहीं करेगा। आपकी उपयोगकर्ता तालिका इतनी बड़ी नहीं है। आप इसे बिना किसी plugin के आसानी से पढ़ सकते हैं।
FUXIA
मैंने wp_usersमेज और केवल 2 पंक्तियों की जाँच की , दोनों की उम्मीद थी .. /uploadफ़ोल्डर में कुछ भी असामान्य नहीं (बस gifs और pngs और jpegs)
जेफ एटवुड
@ जेफ एटवुड क्या आपने फाइलों पर या केवल एक्सटेंशन पर गौर किया? क्या वे सभी फाइलें मीडिया लाइब्रेरी में सूचीबद्ध हैं?
FUXIA
4
छवि फ़ाइलें एक काफी सामान्य पेलोड वितरण विधि हैं। यहाँ देखें , और थीम रिव्यू टीम भी इसी तरह के TIFF कारनामे का उपयोग करके थीम्स में चला गया है।) तो, हाँ: मैं यह सुनिश्चित करने के लिए हर एक की जांच करूंगा कि यह मीडिया लाइब्रेरी का हिस्सा है। (आसान उच्च-स्तरीय स्कैन: उन छवियों की जांच करें जिनमें थंबनेल-आकार परिभाषित नहीं हैं।)
चिप बेनेट
13

खेद है कि आप हैक हो गए - ऐसा लगता है कि आपने ठीक वसूली का काम किया है!

आपका फाइलसिस्टम सुनहरा लगता है, मैं नहीं कहूंगा कि आप यहां कुछ और कर सकते हैं।

मुझे लगता है कि एक्सप्लॉइट स्कैनर एक चेतावनी को फेंक देगा यदि उसे कोई स्क्रिप्ट, iframes, PHP (हालांकि केवल खतरनाक अगर खतरनाक है), या आपके डेटाबेस में अन्य असामान्य कोड मिला।

मुझे यकीन नहीं है कि यह पोस्ट और टिप्पणियों के अलावा अन्य तालिकाओं की जांच करता है, /wp-admin/options.phpएक त्वरित नज़र के लिए बाहर की जाँच करने के लायक हो सकता है और देखें कि क्या आप कुछ भी अजीब देखते हैं।

मैं एक MySQL क्लाइंट में आपके उपयोगकर्ताओं की तालिका भी देखूंगा (उपयोगकर्ता डेटाबेस में हो सकता है लेकिन व्यवस्थापक में दिखाई नहीं दे सकता है)।

TheDeadMedic
स्रोत
निश्चित रूप से उपयोगकर्ता तालिका पर एक MySQL क्वेरी चलाने के लिए एक अच्छा विचार यह सुनिश्चित करने के लिए है कि कुछ भी अप्रत्याशित नहीं है, और मैंने ऐसा किया। अच्छा सुझाव!
जेफ एटवुड
8

दो चीजों के लिए Google वेबमास्टर टूल देखें:

  • सत्यापित करें कि आपकी साइट को समझौता नहीं किया गया है, और यदि यह है तो पुनर्विचार का अनुरोध करें
  • Googlebot के रूप में अपनी साइट की जाँच करें और सत्यापित करें कि कोई स्पैम नहीं डाला जा रहा है जो केवल Googlebot को दिखाई दे रहा है - इसका उदाहरण WP फार्मा हैक है

इसके अलावा, मैं विषय को फिर से लागू करूंगा, या इसे बेहद सावधानी से जांचूंगा। PHP की कुछ पंक्तियाँ कोर PHP फ़ंक्शंस को फिर से परिभाषित कर सकती हैं ताकि वे डेटाबेस से दुर्भावनापूर्ण कोड निकालें, विशेष रूप से wp_options कुंजी / मान स्टोर टेबल

जॉन गैलोवे
स्रोत
हाँ, मैंने निश्चित रूप से Google वेबमास्टर टूल्स के माध्यम से साइट को फिर से सबमिट किया है, और अब यह "क्लियर" लगता है।
जेफ एटवुड
6

"Iframe" के लिए phpmyadmin के माध्यम से डेटाबेस खोजें या डेटाबेस को डंप करें और टेक्स्ट खोजें।

और उपयोगकर्ता तालिका में अदृश्य उपयोगकर्ताओं की जांच करें; मैंने उन उपयोगकर्ताओं को तालिकाओं में देखा है जो WP व्यवस्थापक >> उपयोगकर्ताओं में दिखाई नहीं देते थे।

स्वच्छ विकल्प «वर्डप्रेस प्लगइन्स दिखाएगा कि डेटाबेस में पुराने और संभवतः कमजोर प्लग से कौन सा कबाड़ बचा है।

आपकी थीम भी <head>टैग गायब है , इसलिए मैं जाँच करूँगा कि यदि आपने खराब लिंक्स को हटाने के लिए थीम को संपादित किया है।

और हमेशा की तरह: और हैक किए गए वर्डप्रेस और हार्डनिंग वर्डप्रेस «वर्डप्रेस कोडेक्स में एक बैकडोर कैसे खोजें

markratledge
स्रोत
5

"और कुछ है जो मुझे जांचना चाहिए?" आपको अपनी प्रक्रिया की जांच करने की आवश्यकता है, और यह पता करें कि आपको कैसे हैक किया गया था (लगभग निश्चित रूप से क्योंकि आपने समय में पैच नहीं किया था, या सही ढंग से) और इसे भी ठीक करें, न केवल लक्षण।

टॉम चिवर्टन
स्रोत
5
मुझे संदेह है कि यह वर्डप्रेस को अपडेट नहीं करने के साथ करना था (हालांकि यह संभव है , यह सिर्फ संभावित नहीं है )। वर्डप्रेस अपने आप में लगभग शोषित वेक्टर नहीं है। सामान्य वैक्टर असुरक्षित कॉन्फ़िगरेशन, और चोरी किए गए एफ़टीपी क्रेडेंशियल हैं।
चिप बेनेट
4

यह एक बार मुझे भाता है, मध्यांतर पर एक लीक के माध्यम से। मुझे इंजेक्ट लिंक के लिए डेटाबेस की जांच करने के लिए एक प्लगइन लिखना था। आप इसे यहां गिथब गैस्ट के रूप में पकड़ सकते हैं ।

यह बहुत ही उपयोगकर्ता के अनुकूल है, इसमें कई चरण हैं जो आपके द्वारा पूरा होने के बाद प्रतिक्रिया देने और आपके डेटाबेस को फिर से जांचते हैं।

सौभाग्य!

कैसर
स्रोत
4

मेरे पास एक समान हैक था जिसे मुझे अपने ग्राहक साइटों में से एक पर ठीक करना था।

फाइलसिस्टम में दुर्भावनापूर्ण स्क्रिप्ट थी (php base64_decode सामान)। हालाँकि, डेटाबेस 'पोस्ट' और 'टिप्पणियों' तालिकाओं समझौता किया गया था और iframe कोड के रूप में अच्छी तरह से उस डेटा के माध्यम से बिखरे हुए थे।

मैं डीबी पर कम से कम कुछ खोज चलाता हूं, बस सुरक्षित रहने के लिए। :)

एरिक एलीसन
स्रोत
3

अपने प्लगइन्स की जांच करें!, इस साल अब तक .org प्लगइन्स से 60 शोषण रिलीज़ हुए हैं, मुझे असली संख्या बहुत अधिक होने का संदेह होगा क्योंकि कोई भी वास्तव में इस पूरे समय नहीं कर रहा है।

आपने सूचीबद्ध किया कि आपके पास केवल एक प्लगइन है, अच्छी तरह से इसमें एक सुरक्षा छेद था (यह सुनिश्चित नहीं था कि यह कितनी देर तक था, और यह वेक्टर नहीं हो सकता है)।

wp-recaptcha- प्लगइन
शोषण जारी किया गया था: 2011-03-18
शोषण संस्करण: 2.9.8

लेखक ने कहा कि वह संस्करण 3.0 के साथ फिर से लिखा है, लेकिन सुरक्षा पैच का कोई उल्लेख नहीं है।

http://www.wpsecure.net/2011/03/wp-recaptcha-plugin/

परिवर्तन लॉग: http://wordpress.org/extend/plugins/wp-recaptcha/changelog/

Wyck
स्रोत
2

मैं एक क्लाउड सर्वर का उपयोग करता हूं और यादृच्छिक wacky ssh पोर्ट संख्याओं पर कोई ftp नहीं है। पासवर्ड हैक करना बेहद मुश्किल है। सभी रूट एक्सेस पूरी तरह से मना कर दिया गया है। मैं सहमत हूं कि वर्डप्रेस आपका अपराधी नहीं बनने जा रहा है। एफ़टीपी सत्र बंद करने के लिए जाँच करने के लिए एक और बात, आपके व्यक्तिगत कंप्यूटर पर वायरस नहीं है (याद रखें कि आप अपनी साइट पर फ़ाइल लोड कर सकते हैं और जो कभी भी उस फ़ाइल को लोड कर सकता है वही वायरस प्राप्त कर सकता है), अपने पासवर्ड को सार्वजनिक साइटों या निजी पर न रखें साइटें हमेशा उन्हें एक शब्द दस्तावेज़ या नोटपैड पर कभी भी कागज पर सही नहीं करती हैं।

अंतिम रूप से अपने होस्ट से पूछें कि क्या उनके पास हाल ही में एक ब्रीच था क्योंकि उनके पास एक फ़ायरवॉल सेटअप होना चाहिए

xLRDxREVENGEx
स्रोत
2

अपनी फ़ाइलों की तारीख जांचें। किसी भी फाइल में आपके पिछले एडिट / इंस्टॉल की तुलना में नया बदलाव करने वाला डेटा नहीं होना चाहिए!

लेकिन यह भी नकली हो सकता है। यह सुनिश्चित करने का प्रारंभिक तरीका होगा कि मूल स्थापना फ़ाइलों के साथ सभी फ़ाइलों की तुलना (जैसे। हैश तुलना) की जाए।

powtac
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.