włamali mi się na strone

[berix]

Witam chciałbym opisać pewna sytuacje nie zajmuje sie zadnym hackingiem tylko prowadzę pewna stronę www oparta an wordpressie. I własnie dzisiaj doczekała się pierwszego włamania. Na szczęście był to hacker a nie cracker, porostu podmienił mi index.php nie zmieniając haseł, usuwając niczego.
Włamanie doszło miedzy godz 12:00 noc a 15:30 dzisiejszego dnia. Na pewno tego nie zrobił logując się na żadne ftp ani nic ponieważ logi były czyste.
W jakiś sposób wysłał mi pewien plik który miał bardzo podobna nazwę do plików WP CMS (wp-comments-view.php)
OTO SKRYPT >> Download hack-plik.rar from Sendspace.com - send big files the easy way.
Otwierając ten plik po prostu miał dostęp do wszystkiego i mógł robić wszystko jak na FTP.
I teraz pytanie w jaki sposób mogę się uchronić przed przyszłymi atakami i w ogolę w jaki sposób ten plik znalazł się na moim FTP

dopowiem ze strona znajduje się na hostingu vipower.pl

[Mad_Dud]

Sprawdź logi httpd. Tam może być ślad włamania.

Zabezpieczenie Wordpressa nie jest łatwe, ponieważ to darmowy projekt open-source, który jest źle zaimplementowany. Dbanie o bezpieczeństwo tej aplikacji sprowadza się do regularnego (dziennego) monitorowania informacji o uaktualnieniach Wordpressa oraz wszystkich pluginów, które masz zainstalowane. Im mniej pluginów, tym aplikacja jest bezpieczniejsza. Oczywiście po opublikowaniu łaty, nalezy ją niezwłocznie zainstalować. Musisz też pamiętać, że w okresie między opublikowaniem dziury a opublikowaniem łaty, Twoja aplkacja jest podatna na ataki i jedynym sposobem obrony jest wyłącznenie aplikacji lub pluginu, który jest podatny.
Do tego dochodzą takie banały, jak:

• dobra polityka haseł (mocne, długie hasła i regularna ich zmiana)
• prawidłowa instalacja aplikacji (uprawnienia do plików itd)

Nie zapominaj o tym, że atak mógł być przeprowadzony na poziomie serwera i uruchomionych na nim usług, niekoniecznie związanych z Twoją aplikacją.

[lojciecdyrektor]

W jakiś sposób wysłał mi pewien plik który miał bardzo podobna nazwę do plików WP CMS (wp-comments-view.php)
OTO SKRYPT >> Download hack-plik.rar from Sendspace.com - send big files the easy way.

Backdoor php/c99shell - tu masz jego opis:

Backdoor.PHP.C99Shell.w - Securelist

Pozdrawiam

[Piatkosia2010]

Nie tak dawno miałam podobną sytuację do Ciebie. Niestety jeżeli ktoś się bawił na poziomie serwera (a nie samego WP), to mało możesz zrobić. Nawet "dzisiejszy" WP ci nic nie da. Wina dostawcy usług. Pozostaje go zmienić (providera nie WP), albo poprosić by coś zrobił by się lepiej zabezpieczyć. Utwórz backup, postaw gdzie indziej, a potem wyedytuj w tabeli wp_options pola "siteurl" i "home" na nowe wartości (no chyba że możesz domenkę poprzednią podpiąć)

[berix]

Sprawdź logi httpd. Tam może być ślad włamania.

W jaki sposób to sprawdzić bo BOK i ja sprawdzaliśmy logi apache (panel DA) i nic nie znalezli

Backdoor php/c99shell - tu masz jego opis:

Backdoor.PHP.C99Shell.w - Securelist

Pozdrawiam

dzięki za ciekawą informacje, ale dalej nie wiem w jaki sposób mógł mi wysłać ten plik na mój ftp bez loginu/hasła.
oraz mam pytanie czy jeżeli nic nie zrobię z plikami po prostu je przywrócę (+ zmiana haseł) to haker wróci i będzie używać tej samej metody dostępu?

[testujemy]

W jaki sposób to sprawdzić bo BOK i ja sprawdzaliśmy logi apache (panel DA) i nic nie znalezli

proponuje zrobić pentest.

dzięki za ciekawą informacje, ale dalej nie wiem w jaki sposób mógł mi wysłać ten plik na mój ftp bez loginu/hasła.
oraz mam pytanie czy jeżeli nic nie zrobię z plikami po prostu je przywrócę (+ zmiana haseł) to haker wróci i będzie używać tej samej metody dostępu?

bankowo: remote file include; lub sql injection, lub persistant xss.
tak "haker wróci i będzie".

pisz pm jak coś.

[TQM]

W wiekszosci hostingow masa niebezpiecznych opcji jest domyslnie wlaczona... wystarczy zablokowac pewne funkcje w PHP i odsiejesz od razu wiekszosc niedouczonych hakierow (czyli znakomita wiekszosc atakow z tego co widze u siebie)...

Ustawienie allow_url_fopen = Off tez sie przydaje (domyslnie jest ON)

[testujemy]

I może przyda ci się coś takiego:
PHP Security Consortium: PHPSecInfo

[berix]

Ustawienie allow_url_fopen = Off tez sie przydaje (domyslnie jest ON)

ustawiłem tak już mam nadzieje ze nie bedize to kolidować z pluginami WP

[TQM]

Jesli to dziala na dedyku albo VPSie a nie wspoldzielonym hostingu to mozesz rzucic okiem na How To Outrun A Lion? - ctrl-alt-del.cc