Как хакеры могут атаковать wp-config.php, если он закрыт на стороне веб-сервера?

Вас чекают на наличие так называемых Local-Remote File Inclusion (LFI / RFI). Эти запросы делают попытки считать и отобразить ваш конфиг.

В любом случае в конфиге PHP нужно выключить allow_url_open, allow_url_include.

В параметрах запроса мы видимо image_name и тд, это в надежде считать к примеру в вашем скрипте или бажном плагине есть

<?php

$image_name = $_GET['image_name'];

echo file_get_contents($image_name) ;

Хакер подсовывает в параметр image_name = ../../wp-config.php и тем самым считывает и содержимое конфига.

зачастую и через нулевой байт проходят такие атаки. Надеюсь понятно объяснил.

Даже и без WAF скорее всего ничего не будет, просто по списку сайтов автоматически чекаются паблик-уязвимости.

Если ВП и модули обновлены - 99,9% там нет уязвимостей. А если есть 0-day, то массово долбиться не будут.

Первое на кой выключать? file_get_contents по урлу выключается тогда.

Вторая обязательно выключить.

Sitealert,

Сразу предупрежу на всякий случай что я ламер полный :)

Короче, я посмотрел логи, если речь идет о логах веб-сервера Apache, и как это не странно что-то нашел в файле ошибок error.log, тот же фашистский айпишник:

Тут время не то немного, но адрес, полный путь до именно файла wp-config.php.

---------- Добавлено 01.06.2020 в 02:35 ----------

SocFishing,

Примерно понятно, спасибо.

---------- Добавлено 01.06.2020 в 02:35 ----------

Vald111,

Стараюсь все обновлять по мере возможностей.

---------- Добавлено 01.06.2020 в 02:35 ----------

Я понял в общем это боты и на них можно забить, просто странно было что на заблокированный файл идет атака.

Просто странно, что тебе ещё кто-то что-то отвечает, потому что ты ничего не читаешь. Тебе про Фому, а ты про Ерёму.

LEOnidUKG, а зачем ему allow_url_open, должно быть выключено, если мало ли включено) Ведь суть не только чуть защитить от текущей напасти).

Ведь allow_url_open к примеру может быть передана ссылка на некий файл картинки с хоста хакера, который например идет в некую обработку и сохраняется. Стало быть через нулевой байт или разделить ; с параметром командной строки в некоторых видах атак, может быть экспортирована уязвимость даже минуя проверку на картинку или исполнение. Ну и речь не только про картинки, но и про всякие конфиги и прочие прелести жизни, которые могут подтягиваться в тех же плагинах.

Все примеры можно глянуть, как эксплуатировать открытый allow_url_fopen. Я бы даже его в приоритете убирал, нежели инклюд.

file_get_contents и readfile и т.п. не нужно внешний урл грузить, а отобразить так конфиг вордпресса, взять с него пароли и дальше уже делать что хочешь.

При работающем-то WAF и нормально настроенном сервере от allow_url_fopen никакой угрозы нет.

Заблокируйте хостинг провайдера (CONTABO, диапазон 207.180.192.0 - 207.180.223.255) и не мучайте свой мозг, если ничего не понимаете:

Deny from 207.180.192.0/19

Deny from 207.180.192.0/19

Не мне это не подходит пусть лучше его Wordfence блокирует на автомате.

---------- Добавлено 01.06.2020 в 19:00 ----------

Нашел еще в логах Wordfence в разделе Live Traffic этот ip, и там их много в общем, он делает какие-то странные запросы, к разным разделам, например, в темах или плагинах, причем плагинах, которые у меня никогда не были раньше установленны и в конце у него всегда wp-config.php, как будто бы он ищет его.

Походу да это какой-то автоматический бот/сканер, в целом его блокирует постоянно Wordfence, и фиг бы с ним, просто раньше таких писем с угрозами супер кибератаки не поступало вроде.