WP 3.2.1 [уязвимость]

17 января был взлом с 193.111.9.98, через пару минут с 213.238.9.7 зашли на шелл и заразили все .htaccess. Позже вернулись с 193.111.9.98, потыкали пару раз шелл и без каких-либо указаний свалили. 4 февраля вернулся 193.111.9.98, прочекал наличие шелла и снова свалил.

Первая активность 213.238.9.7 начинается 10 декабря, зашёл с реферером

http://www.google.com.ua/url?sa=t&rct=j&q=%D1%80%D0%B0%D1%81%D1%81%D0%BA%D0%B0%D0%B7%D1%8B%20%D1%81%D0%B5%D0%BA%D1%81&source=web&cd=5&ved=0CDsQFjAE&url=http%3A%2F%2FSITE4.com%2Ftag%2Fsluchajnyj-seks%2F&ei=EdvjTouvAtOYsAbNurG_Cw&usg=AFQjCNHALErAfjYPc0mA7NsOo_1VA5SP0w

Далее небольшая активность на одном из сайтов

access.log.43:213.238.9.7 - - [10/Dec/2011:22:21:40 +0000] "GET /favicon.ico HTTP/1.1" 200 4662 "http://SITE4.com/tag/sluchajnyj-seks/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.10.229 Version/11.60"
access.log.43:213.238.9.7 - - [10/Dec/2011:22:21:41 +0000] "GET /wp-content/themes/ghostwriter/font/gentium.ttf HTTP/1.1" 200 112581 "http://SITE4.com/tag/sluchajnyj-seks/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.10.229 Version/11.60"
access.log.43:213.238.9.7 - - [10/Dec/2011:22:21:43 +0000] "GET /wp-content/themes/ghostwriter/font/gentium-italic.ttf HTTP/1.1" 200 116010 "http://SITE4.com/tag/sluchajnyj-seks/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.10.229 Version/11.60"
access.log.43:213.238.9.7 - - [10/Dec/2011:22:21:44 +0000] "GET /wp-content/themes/ghostwriter/font/gentium-bold.ttf HTTP/1.1" 200 117619 "http://SITE4.com/tag/sluchajnyj-seks/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.10.229 Version/11.60"
access.log.43:213.238.9.7 - - [10/Dec/2011:22:21:46 +0000] "GET /wp-content/themes/ghostwriter/font/gentium-bold-italic.ttf HTTP/1.1" 200 112996 "http://SITE4.com/tag/sluchajnyj-seks/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.10.229 Version/11.60"
access.log.43:213.238.9.7 - - [10/Dec/2011:22:22:18 +0000] "GET /2011/08/den-rozhdeniya/ HTTP/1.1" 200 11953 "http://SITE4.com/tag/sluchajnyj-seks/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.10.229 Version/11.60"
access.log.43:213.238.9.7 - - [10/Dec/2011:22:22:39 +0000] "GET /tag/gruppovoj-seks/ HTTP/1.1" 200 14212 "http://SITE4.com/tag/sluchajnyj-seks/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.10.229 Version/11.60"
access.log.43:213.238.9.7 - - [10/Dec/2011:22:23:51 +0000] "GET /2011/11/dostupnaya-odnogruppnica/ HTTP/1.1" 200 15889 "http://SITE4.com/tag/gruppovoj-seks/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.10.229 Version/11.60"
access.log.43:213.238.9.7 - - [10/Dec/2011:22:28:57 +0000] "GET /2011/08/dorozhnye-razvlecheniya/ HTTP/1.1" 200 12564 "http://SITE4.com/tag/gruppovoj-seks/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.10.229 Version/11.60"
access.log.43:213.238.9.7 - - [10/Dec/2011:22:30:00 +0000] "GET /2011/08/doigralis/ HTTP/1.1" 200 11247 "http://SITE4.com/tag/gruppovoj-seks/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.10.229 Version/11.60"

Следующее появление только 17 числа.

Грепнул второй айпишник, оказалось, что 193.111.9.98 долбился ещё 23, 24, 25, 27 и 28 декабря.

access.log.30:193.111.9.98 - - [23/Dec/2011:21:20:54 +0000] "GET / HTTP/1.1" 200 46711 "http://SITE2.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.30:193.111.9.98 - - [23/Dec/2011:21:20:57 +0000] "GET /administrator/ HTTP/1.1" 404 5680 "SITE2.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.30:193.111.9.98 - - [23/Dec/2011:21:20:59 +0000] "GET /user HTTP/1.1" 404 5680 "SITE2.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.30:193.111.9.98 - - [23/Dec/2011:21:21:00 +0000] "GET /?q=user HTTP/1.1" 200 46719 "SITE2.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.30:193.111.9.98 - - [23/Dec/2011:21:21:01 +0000] "GET /index.php?do=register HTTP/1.1" 301 0 "SITE2.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.30:193.111.9.98 - - [23/Dec/2011:21:21:02 +0000] "GET /wp-login.php HTTP/1.1" 200 3193 "SITE2.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.30:193.111.9.98 - - [24/Dec/2011:05:46:23 +0000] "GET / HTTP/1.1" 200 78583 "http://SITE6.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.30:193.111.9.98 - - [24/Dec/2011:05:46:25 +0000] "GET /administrator/ HTTP/1.1" 404 28307 "SITE6.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.30:193.111.9.98 - - [24/Dec/2011:05:46:27 +0000] "GET /user HTTP/1.1" 404 28307 "SITE6.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.30:193.111.9.98 - - [24/Dec/2011:05:46:29 +0000] "GET /?q=user HTTP/1.1" 200 78664 "SITE6.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.30:193.111.9.98 - - [24/Dec/2011:05:46:30 +0000] "GET /index.php?do=register HTTP/1.1" 301 0 "SITE6.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.30:193.111.9.98 - - [24/Dec/2011:05:46:31 +0000] "GET /wp-login.php HTTP/1.1" 200 3747 "SITE6.RU" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"

... долбился на все сайты на сервере, лог довольно длинный.

Позже вернулся 17 января

access.log.22:193.111.9.98 - - [17/Jan/2012:10:30:37 +0000] "POST /wp-login.php HTTP/1.1" 302 20 "http://SITE1.ru/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.22:193.111.9.98 - - [17/Jan/2012:10:30:40 +0000] "GET /wp-admin/ HTTP/1.1" 200 11873 "http://SITE1.ru/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.22:193.111.9.98 - - [17/Jan/2012:10:30:41 +0000] "GET /wp-admin/plugin-install.php?tab=upload HTTP/1.1" 200 6108 "http://SITE1.ru/wp-admin/plugin-install.php?tab=upload" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.22:193.111.9.98 - - [17/Jan/2012:10:30:44 +0000] "POST /wp-admin/update.php?action=upload-plugin HTTP/1.1" 200 4523 "http://SITE1.ru/wp-admin/plugin-install.php?tab=upload" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.22:193.111.9.98 - - [17/Jan/2012:10:30:44 +0000] "GET /wp-content/plugins/zlfmjbpfmbc/gsm.php HTTP/1.1" 200 4722 "http://SITE1.ru/wp-content/plugins/zlfmjbpfmbc/gsm.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.22:193.111.9.98 - - [17/Jan/2012:10:32:48 +0000] "POST /wp-login.php HTTP/1.1" 302 20 "http://SITE5.ru/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.22:193.111.9.98 - - [17/Jan/2012:10:32:51 +0000] "GET /wp-admin/ HTTP/1.1" 200 11260 "http://SITE5.ru/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.22:193.111.9.98 - - [17/Jan/2012:10:32:52 +0000] "GET /wp-admin/plugin-install.php?tab=upload HTTP/1.1" 200 5657 "http://SITE5.ru/wp-admin/plugin-install.php?tab=upload" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.22:193.111.9.98 - - [17/Jan/2012:10:32:52 +0000] "POST /wp-admin/update.php?action=upload-plugin HTTP/1.1" 200 4054 "http://SITE5.ru/wp-admin/plugin-install.php?tab=upload" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.22:193.111.9.98 - - [17/Jan/2012:10:32:53 +0000] "GET /wp-content/plugins/zottaueioev/gsm.php HTTP/1.1" 200 4731 "http://SITE5.ru/wp-content/plugins/zottaueioev/gsm.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.22:193.111.9.98 - - [17/Jan/2012:10:36:12 +0000] "POST /wp-login.php HTTP/1.1" 302 20 "http://SITE3.ru/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.22:193.111.9.98 - - [17/Jan/2012:10:36:16 +0000] "GET /wp-admin/ HTTP/1.1" 200 15594 "http://SITE3.ru/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.22:193.111.9.98 - - [17/Jan/2012:10:36:19 +0000] "GET /wp-admin/plugin-install.php?tab=upload HTTP/1.1" 200 7462 "http://SITE3.ru/wp-admin/plugin-install.php?tab=upload" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.22:193.111.9.98 - - [17/Jan/2012:10:36:25 +0000] "POST /wp-admin/update.php?action=upload-plugin HTTP/1.1" 200 5490 "http://SITE3.ru/wp-admin/plugin-install.php?tab=upload" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
access.log.22:193.111.9.98 - - [17/Jan/2012:10:36:25 +0000] "GET /wp-content/plugins/zafvpopbtec/gsm.php HTTP/1.1" 200 4726 "http://SITE3.ru/wp-content/plugins/zafvpopbtec/gsm.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"

Такие последствия возникают не только на WP, в том смысле, что была целая волна подобного заражения, от которой пострадали/страдают разные движки сайтов/форумов/блогов.

У меня есть подозрение на то, что проблема на сервере.

Хостеры не ищут у своих клиетов всякие чудо:)

Любую версию необходимо защищать.

- запретом на изменение htaccess , снимаем галочку на разрешение на запись в панели хостера

- Начиная с версии 2.6, WordPress позволяет перемещать файл конфигурации на более высокий уровень. Так как доступ к корневой папке сервера получить труднее, то есть смысл хранить этот системный файл на уровень выше, чем устанавливается при инсталяции программы.

- разрешением входа в папки админ и инклудес только со своего IP

- используйте плагин для защиты от атак

<?php

/*

Plugin Name: blockbadqueries

*/

global $user_ID;

if($user_ID) {

if(!current_user_can('level_10')) {

if (strlen($_SERVER['REQUEST_URI']) > 255 ||

strpos($_SERVER['REQUEST_URI'], "eval(") ||

strpos($_SERVER['REQUEST_URI'], "CONCAT") ||

strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||

strpos($_SERVER['REQUEST_URI'], "base64")) {

@header("HTTP/1.1 404 Error");

@header("Status: 404 Error");

@header("Connection: Close");

@exit;

}

}

}

?>

Какое отношение советы на запрет перезаписи .htaccess, вынесение wp-config.php на уровень выше и постоянное дёргание обфускаций помогут в борьбе с шеллом, описанным выше? Запрет по IP на /wp-admin/ && /wp-includes/ вообще не имеет смысла.

Хостеры имеют практику ставить ClamAV на обход ноды, когда уследить за всеми новыми клиентами и их подозрительным трафиком и содержимым не представляется возможным вручную.

Точно, все хостеры так и имеют практику всееее ставить, не смешите мои валенки.

И потом с чего вы решили, что у хакера подозрительный трафик? точно такой же пользователь как и все другие, точно такой же Http запрос.

Да и у нормального хостера, вход по шелл, фтр можно разрешить только себе по своему IP

- для того, чтобы избавиться от вашего шелл, вам необходимо заменить все файлы вашего WP

- при запрете на запись htaccess, не смогли бы изменить и вписать в ваш htaccess перенаправления. Да, ваш файл htaccess необходимо удалить полностью, и создать новый.

- запрет по IP имеет смысл, если вы запретите вход в эти папки всем, кроме своего IP.

Поиском поищите зачем:)

Вы уверены, что знаете что такое FTP и как работает инсталл плагинов?

Так вот, во-первых, мне не нужно распрягать что такое .htaccess и как удалять папки. Во-вторых, вы не совсем понимаете в каких случаях WP использует FTP для инсталла плагина. В линуксовых ФС есть такая вещь как юзер и группа и есть папка вида /var/www, которой назначен какой-нибудь vasya:vasya. А есть ещё фронтэнд, в данном случае апач, который работает тоже под каким-нибудь www-data:www-data. Так вот если по каким-то причинам у вашего апачика нет возможности записи в папку вашего юзера, а сайтик, напоминаю, работает под апачиком, то WP начинает клянчить FTP доступ. Пнятненько, да?

Да конечно понятно, на все сто😂

- тема создана для того чтобы поспорить ни о чем

- нахватались поверхностных знаний , которые не можете применить, ибо лечить вас не надо, а вот защитить свой файл htccess от перезаписи увы не сумели

- наивны и ведетесь на ники(ник от слова, а нет имени), начиная читать лекции старому "бородатому" админу

ТС, ничего личного, просто будьте проще...удачи:)

Дорогой бородатый админ, мне глубоко плевать какое имя у моего собеседника. Я колупаюсь с WP начиная с 2008, плагины пишу к этой CMS с 2009, ставлю линьку на свои рабочие ноуты с 2009 тоже, поднимаю сервера вплоть до связок PHP-FPM с 2010. И меня просто нипадецки напрягает, когда неведомые юзеры, считающие свою бороду самой длинной, заваливаются в топик и начинают мне рассказывать что шелл оказываицо имеет структуру плагина, что логи можно потыкать пальцем и найти айпишечки взломщиков, что файлики-то с шеллами снести можно.

Да тыкал я логи до ваших советов, там всего два айпишника, ни один не объясняет полученный доступ к инсталлеру плагинов. А искать ещё однин\два\etc, которые и спёрли пароли\пробили_админку не представляется возможным, потому что между взломом и десятком-другим заходов на страницу логина уже известных вредителей прошло полмесяца и 300М логов.

А что до вас, так я просто охреневаю с того, как можно раздавать советы по защите только части сайта после вторжения без установленной причины. На фтпшку доп. защиту вешаете? Выносите wp-config повыше? Оккупируете .htaccess? Ахриненна. Я уже теку от такого подхода.

Надеюсь, врачом вы не работаете.

ТС, можно попробовать соц. инженерию :)

Хацкер-то рядом живет. С ДЦ ОСУ можно попытаться решить вопрос, кто такой и что делал :) Может натолкнуть на мысли.

ЗЫ: взлом WP беспокоит не меньше вашего

---------- Добавлено 12.02.2012 в 12:44 ----------

213.238.9.7 - это, судя по всему, айпишник из ppp-пула Веги-телеком.

Т.е. скорее всего, динамический.