Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 16

Temat: włamali mi się na strone

  1. #1
    Zarejestrowany
    Feb 2011
    Postów
    6

    Domyślnie włamali mi się na strone

    Witam chciałbym opisać pewna sytuacje nie zajmuje sie zadnym hackingiem tylko prowadzę pewna stronę www oparta an wordpressie. I własnie dzisiaj doczekała się pierwszego włamania. Na szczęście był to hacker a nie cracker, porostu podmienił mi index.php nie zmieniając haseł, usuwając niczego.
    Włamanie doszło miedzy godz 12:00 noc a 15:30 dzisiejszego dnia. Na pewno tego nie zrobił logując się na żadne ftp ani nic ponieważ logi były czyste.
    W jakiś sposób wysłał mi pewien plik który miał bardzo podobna nazwę do plików WP CMS (wp-comments-view.php)
    OTO SKRYPT >> Download hack-plik.rar from Sendspace.com - send big files the easy way.
    Otwierając ten plik po prostu miał dostęp do wszystkiego i mógł robić wszystko jak na FTP.
    I teraz pytanie w jaki sposób mogę się uchronić przed przyszłymi atakami i w ogolę w jaki sposób ten plik znalazł się na moim FTP

    dopowiem ze strona znajduje się na hostingu vipower.pl
    Ostatnio edytowane przez berix : 02-15-2011 - 22:24

  2. #2
    Zarejestrowany
    Sep 2006
    Postów
    1,227

    Domyślnie

    Sprawdź logi httpd. Tam może być ślad włamania.

    Zabezpieczenie Wordpressa nie jest łatwe, ponieważ to darmowy projekt open-source, który jest źle zaimplementowany. Dbanie o bezpieczeństwo tej aplikacji sprowadza się do regularnego (dziennego) monitorowania informacji o uaktualnieniach Wordpressa oraz wszystkich pluginów, które masz zainstalowane. Im mniej pluginów, tym aplikacja jest bezpieczniejsza. Oczywiście po opublikowaniu łaty, nalezy ją niezwłocznie zainstalować. Musisz też pamiętać, że w okresie między opublikowaniem dziury a opublikowaniem łaty, Twoja aplkacja jest podatna na ataki i jedynym sposobem obrony jest wyłącznenie aplikacji lub pluginu, który jest podatny.
    Do tego dochodzą takie banały, jak:
    • dobra polityka haseł (mocne, długie hasła i regularna ich zmiana)
    • prawidłowa instalacja aplikacji (uprawnienia do plików itd)

    Nie zapominaj o tym, że atak mógł być przeprowadzony na poziomie serwera i uruchomionych na nim usług, niekoniecznie związanych z Twoją aplikacją.

  3. #3
    Zarejestrowany
    Sep 2009
    Skąd
    Z Nienacka
    Postów
    396

    Domyślnie

    Cytat Napisał berix Zobacz post
    W jakiś sposób wysłał mi pewien plik który miał bardzo podobna nazwę do plików WP CMS (wp-comments-view.php)
    OTO SKRYPT >> Download hack-plik.rar from Sendspace.com - send big files the easy way.
    Backdoor php/c99shell - tu masz jego opis:

    Backdoor.PHP.C99Shell.w - Securelist

    Pozdrawiam

  4. #4
    Zarejestrowany
    Oct 2008
    Skąd
    woj. Lubuskie. Dokładniej się nie da
    Postów
    405

    Domyślnie

    Nie tak dawno miałam podobną sytuację do Ciebie. Niestety jeżeli ktoś się bawił na poziomie serwera (a nie samego WP), to mało możesz zrobić. Nawet "dzisiejszy" WP ci nic nie da. Wina dostawcy usług. Pozostaje go zmienić (providera nie WP), albo poprosić by coś zrobił by się lepiej zabezpieczyć. Utwórz backup, postaw gdzie indziej, a potem wyedytuj w tabeli wp_options pola "siteurl" i "home" na nowe wartości (no chyba że możesz domenkę poprzednią podpiąć)
    Jeśli nie będziesz mieć pod górke, nigdy nie dojdziesz na szczyt.

  5. #5
    Zarejestrowany
    Feb 2011
    Postów
    6

    Domyślnie

    Cytat Napisał Mad_Dud Zobacz post
    Sprawdź logi httpd. Tam może być ślad włamania.
    W jaki sposób to sprawdzić bo BOK i ja sprawdzaliśmy logi apache (panel DA) i nic nie znalezli

    Cytat Napisał lojciecdyrektor Zobacz post
    Backdoor php/c99shell - tu masz jego opis:

    Backdoor.PHP.C99Shell.w - Securelist

    Pozdrawiam
    dzięki za ciekawą informacje, ale dalej nie wiem w jaki sposób mógł mi wysłać ten plik na mój ftp bez loginu/hasła.
    oraz mam pytanie czy jeżeli nic nie zrobię z plikami po prostu je przywrócę (+ zmiana haseł) to haker wróci i będzie używać tej samej metody dostępu?
    Ostatnio edytowane przez berix : 02-16-2011 - 10:27

  6. #6
    Zarejestrowany
    Jan 2011
    Postów
    65

    Domyślnie

    Cytat Napisał berix Zobacz post
    W jaki sposób to sprawdzić bo BOK i ja sprawdzaliśmy logi apache (panel DA) i nic nie znalezli
    proponuje zrobić pentest.

    dzięki za ciekawą informacje, ale dalej nie wiem w jaki sposób mógł mi wysłać ten plik na mój ftp bez loginu/hasła.
    oraz mam pytanie czy jeżeli nic nie zrobię z plikami po prostu je przywrócę (+ zmiana haseł) to haker wróci i będzie używać tej samej metody dostępu?
    bankowo: remote file include; lub sql injection, lub persistant xss.
    tak "haker wróci i będzie".

    pisz pm jak coś.

  7. #7
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    W wiekszosci hostingow masa niebezpiecznych opcji jest domyslnie wlaczona... wystarczy zablokowac pewne funkcje w PHP i odsiejesz od razu wiekszosc niedouczonych hakierow (czyli znakomita wiekszosc atakow z tego co widze u siebie)...

    Ustawienie allow_url_fopen = Off tez sie przydaje (domyslnie jest ON)
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  8. #8
    Zarejestrowany
    Jan 2011
    Postów
    65

    Domyślnie

    I może przyda ci się coś takiego:
    PHP Security Consortium: PHPSecInfo

  9. #9
    Zarejestrowany
    Feb 2011
    Postów
    6

    Domyślnie

    Cytat Napisał TQM Zobacz post
    Ustawienie allow_url_fopen = Off tez sie przydaje (domyslnie jest ON)
    ustawiłem tak już mam nadzieje ze nie bedize to kolidować z pluginami WP

  10. #10
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Jesli to dziala na dedyku albo VPSie a nie wspoldzielonym hostingu to mozesz rzucic okiem na How To Outrun A Lion? - ctrl-alt-del.cc
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Strona 1 z 2 12 OstatniOstatni

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj