"Ugyldig brukernavn" ved innlogging

[Dag Frogner]

Jeg har en kunde som ikke får logget inn på sin Wordpress-side. Nettsiden fungerer fint, men da jeg går inn i databasen for å sjekke brukernavn/passord, ser jeg at epostadressen til admin har blitt forandret, så det er tydelig at det har vært noe forsøk på hacking her.

Jeg endrer passordet til admin-brukeren siden jeg ikke vet dette, men når jeg nå prøver å logge inn, får jeg beskjed om at brukernavnet er ugyldig, selv om jeg ser direkte i databasen at det er korrekt.

 

[kongen]

Sikker på du ser på rett database?

 

[Bjørnar]

det må vel endres både i options og user-tabellen?

 

[Dag Frogner]

Jepp, sikker på det kongen.

Hvor i options-tabellen endre dette Bjørnar?

 

[xdex]

Hvis du misstenker at noen har klart å endre passordet/brukernavnet, kan du begynne der, da er det mye som kan gjøres fra 3 part. Det kan være at noen har prøvd å hardkode inn ett passord, for å få tilgang uansett hva databasen sier, det er null problem og lage en bypass funksjon, så lenge du har tilgang til filene.

1) Begynn med å overskrive alle WordPress CORE filene, bruk samme versjon som er installert på serveren.
2) Når alt er skrevet over, bytt navn på "plugins" mappen din, da starter themet uten noen plugins.
3) Når alle plugins er "borte" eller, deaktivert, sjekk brukernavnet i databasen.
4) Endre passordet i databasen, husk at dette er MD5 hash, personlig gjør jeg dette via FTP, fordi jeg syntes det er enklest (kan gjøres direkte i phpmyadmin også). http://www.wpwhitesecurity.com/wordpress-tutorial/reset-wordpress-password-ftp/
5) Skift tilbake navnet på plugins mappen din, oppdater og aktiver alle plugins igjen, og slett det som ikke brukes.

 

[Bjørnar]

admin_email, tror det er id6 i mysql.

edit: fordi, av en eller annen grunn, så er det noe som henger sammen med den iden, og ikke bare i brukeren. its kind of a WP-thing..

 

[thomasstr]

Om du er kjent med ruby, anbefaler jeg denne på det sterkeste,
https://github.com/wpscanteam/wpscan

Gir deg en fin smørbrødliste på hva som er i orden og hva du trenger å fikse.

En annen fin ting jeg også kan nevne, ModSecurity!
Det blir ikke mindre med exploit og sql injections, og derfor bør man bruke regler som detekterer når noe er på ferde.
Vi har hatt dette en god stund, også for våre kunder med dedikerte servere, og vi kan se en drastisk nedgang i både exploit, injections og mest av alt bruteforce.
Med ModSecurity slipper "kunden" å tenke på dette.