Как хакеры могут атаковать wp-config.php, если он закрыт на стороне веб-сервера?

123
Avatar 118
#11

Вас чекают на наличие так называемых Local-Remote File Inclusion (LFI / RFI). Эти запросы делают попытки считать и отобразить ваш конфиг.

В любом случае в конфиге PHP нужно выключить allow_url_open, allow_url_include.

В параметрах запроса мы видимо image_name и тд, это в надежде считать к примеру в вашем скрипте или бажном плагине есть

<?php

$image_name = $_GET['image_name'];

echo file_get_contents($image_name) ;

Хакер подсовывает в параметр image_name = ../../wp-config.php и тем самым считывает и содержимое конфига.

зачастую и через нулевой байт проходят такие атаки. Надеюсь понятно объяснил.

★Сервис идентифицирует (https://socfishing.com/?utm_source=searchengines) посетителей вашего сайта и предоставляет их профили ВКонтакте, Телефон, Почта! Цены копеечные, работаем 8 лет.
V1 85
#12

Даже и без WAF скорее всего ничего не будет, просто по списку сайтов автоматически чекаются паблик-уязвимости.

Если ВП и модули обновлены - 99,9% там нет уязвимостей. А если есть 0-day, то массово долбиться не будут.

Avatar 1540
#13
В любом случае в конфиге PHP нужно выключить allow_url_open, allow_url_include.

Первое на кой выключать? file_get_contents по урлу выключается тогда.

Вторая обязательно выключить.

✅ Трастовых площадок под размещение статей и ссылок. Опыт 12 лет! ( https://searchengines.guru/ru/forum/675690 ) ⭐ Купить вечные трастовые ссылки для сайта ( https://getmanylinks.ru/?srh ) ⭐ Ускорение ваших сайтов (WP, Opencart и др.) + Настройка сервера ( https://searchengines.guru/ru/forum/997205 )
Avatar 121
#14

Sitealert,

Сразу предупрежу на всякий случай что я ламер полный :)

Короче, я посмотрел логи, если речь идет о логах веб-сервера Apache, и как это не странно что-то нашел в файле ошибок error.log, тот же фашистский айпишник:

[Sun May 31 09:00:17 2020] [error] [client 207.180.195.15] client denied by server configuration: /var/www/data/xxx.ru/wp-config.php
[Sun May 31 09:00:56 2020] [error] [client 207.180.195.15] client denied by server configuration: /var/www/data/xxx.ru/wp-config.php
[Sun May 31 09:00:56 2020] [error] [client 207.180.195.15] client denied by server configuration: /var/www/data/xxx.ru/wp-config.php

Тут время не то немного, но адрес, полный путь до именно файла wp-config.php.

---------- Добавлено 01.06.2020 в 02:35 ----------

SocFishing,

Примерно понятно, спасибо.

---------- Добавлено 01.06.2020 в 02:35 ----------

Vald111,

Стараюсь все обновлять по мере возможностей.

---------- Добавлено 01.06.2020 в 02:35 ----------

Я понял в общем это боты и на них можно забить, просто странно было что на заблокированный файл идет атака.

S 459
#15
Dmitriy_2014:
просто странно было что на заблокированный файл идет атака.

Просто странно, что тебе ещё кто-то что-то отвечает, потому что ты ничего не читаешь. Тебе про Фому, а ты про Ерёму.

Отпилю лишнее, прикручу нужное, выправлю кривое. Вытравлю вредителей.
Avatar 118
#16

LEOnidUKG, а зачем ему allow_url_open, должно быть выключено, если мало ли включено) Ведь суть не только чуть защитить от текущей напасти).

Ведь allow_url_open к примеру может быть передана ссылка на некий файл картинки с хоста хакера, который например идет в некую обработку и сохраняется. Стало быть через нулевой байт или разделить ; с параметром командной строки в некоторых видах атак, может быть экспортирована уязвимость даже минуя проверку на картинку или исполнение. Ну и речь не только про картинки, но и про всякие конфиги и прочие прелести жизни, которые могут подтягиваться в тех же плагинах.

Все примеры можно глянуть, как эксплуатировать открытый allow_url_fopen. Я бы даже его в приоритете убирал, нежели инклюд.

Avatar 867
#17
LEOnidUKG:
Первое на кой выключать? file_get_contents по урлу выключается тогда.

Вторая обязательно выключить.

file_get_contents и readfile и т.п. не нужно внешний урл грузить, а отобразить так конфиг вордпресса, взять с него пароли и дальше уже делать что хочешь.

Антибот защита для сайта (https://antibot.cloud/ru.html#searchengines) (защита от кражи контента и спама) | ВебМастерские микроблоги (https://wmsn.biz/#searchengines) | Фокси SEO форум (https://foxi.biz/#searchengines)
Avatar 253
#18
SocFishing:
как эксплуатировать открытый allow_url_fopen. Я бы даже его в приоритете убирал.

При работающем-то WAF и нормально настроенном сервере от allow_url_fopen никакой угрозы нет.

Клуб любителей хрюш (https://www.babai.ru)
Avatar 66
#19

Заблокируйте хостинг провайдера (CONTABO, диапазон 207.180.192.0 - 207.180.223.255) и не мучайте свой мозг, если ничего не понимаете:


Deny from 207.180.192.0/19
Avatar 121
#20
fliger:
Заблокируйте хостинг провайдера (CONTABO, диапазон 207.180.192.0 - 207.180.223.255) и не мучайте свой мозг, если ничего не понимаете:

Deny from 207.180.192.0/19

Не мне это не подходит пусть лучше его Wordfence блокирует на автомате.

---------- Добавлено 01.06.2020 в 19:00 ----------

Нашел еще в логах Wordfence в разделе Live Traffic этот ip, и там их много в общем, он делает какие-то странные запросы, к разным разделам, например, в темах или плагинах, причем плагинах, которые у меня никогда не были раньше установленны и в конце у него всегда wp-config.php, как будто бы он ищет его.

/wp-content/plugins/ebook-downloader/ebook_plugin.php?file=..%2F..%2F..%2F..%2Fwp-config.php

Походу да это какой-то автоматический бот/сканер, в целом его блокирует постоянно Wordfence, и фиг бы с ним, просто раньше таких писем с угрозами супер кибератаки не поступало вроде.

123

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий