Χθες το βράδυ λάβαμε ένα email από έναν φίλο που έλεγε ότι βρήκε μερικούς νέους χρήστες με δικαιώματα διαχειριστή σε μερικούς από τους ιστότοπους WordPress του και μας ζήτησε να το ελέγξουμε.
Αρχίσαμε να ερευνούμε και φαίνεται ότι οι ιστότοποι είχαν ένα κοινό χαρακτηριστικό – την συμμόρφωσης WP GDPR .
Φαίνεται ότι υπάρχει μια ευπάθεια στην προσθήκη και έχει σημειωθεί μια σειρά από επιθέσεις σε ιστότοπους που χρησιμοποιούν αυτήν την προσθήκη.
Υπάρχουν διάφορα στάδια μόλυνσης:
- δημιουργούνται χρήστες διαχειριστή
- τα αρχεία έχουν τροποποιηθεί
- ανακατεύθυνση στη ρωσική ιστοσελίδα
Σας συνιστούμε να ελέγξετε εάν νέοι χρήστες με τα ονόματα " t3trollherten ", " t2trollherten " ή " trollherten " εμφανίστηκαν πρόσφατα στον ιστότοπό σας.
Μετά τη δημιουργία των χρηστών, οι εισβολείς τροποποίησαν τα αρχεία άλλων σεναρίων PHP (πρόσθετα). Για παράδειγμα, βρήκαμε τροποποιημένα αρχεία PHP στον φάκελο προσθηκών Akismet.
Σε ορισμένους ιστότοπους, βρήκαμε αυτήν τη διεύθυνση URL Pastebin στο wp_options στο siteurl.
https://pastebin.com/raw/V8SVyu2P;Σε αυτό το σημείο ο ιστότοπος αρχίζει να σπάει, λαμβάνετε σφάλματα σύνδεσης της βάσης δεδομένων ή ο ιστότοπός σας ανακατευθύνεται σε άλλο ιστότοπο, μερικές φορές στα ρωσικά.
Πώς να συνέλθετε από το hack
Εάν δεν υπάρχουν χρήστες, θα πρέπει να είστε εντάξει, ο ιστότοπός σας πιθανότατα δεν δέχθηκε επίθεση.
Για να αποφευχθεί κάτι τέτοιο, ενημερώστε το πρόσθετο WP GDPR Compliance στην πιο πρόσφατη έκδοση, οι προγραμματιστές διόρθωσαν το
Ιδανικά, διατηρείτε ενημερωμένα όλα τα πρόσθετα και τα θέματα του WordPress για να αποτρέψετε πιθανά ζητήματα ασφάλειας όπως αυτό.
Εάν βρείτε αυτούς τους χρήστες, υπάρχει πιθανότητα να μην μολύνουν τον ιστότοπο, αλλά δεν μπορείτε να το ξέρετε με βεβαιότητα, επομένως είναι μάλλον καλύτερο να κάνετε επαναφορά από ένα αντίγραφο ασφαλείας και, στη συνέχεια, να ενημερώσετε την προσθήκη συμμόρφωσης WP GDPR.
Επίσης, εάν διαθέτετε μια προσθήκη ασφαλείας όπως το Defender Pro, σαρώστε την παρουσία του WordPress για να δείτε αν είναι καθαρή.
Εάν δεν μπορείτε να επαναφέρετε ή δεν έχετε αντίγραφο ασφαλείας, θα πρέπει να καθαρίσετε τον ιστότοπο με μη αυτόματο τρόπο:
- διαγράψτε τους κακόβουλους χρήστες από τη βάση δεδομένων
- διαγράψτε όλα τα αρχεία PHP και JS (διατηρήστε μόνο το wp-content/uploads)
- επανεγκαταστήστε το WordPress και τα θέματα και τις προσθήκες που χρησιμοποιείτε
Εάν θέλετε να αποφύγετε αυτές τις καταστάσεις, σκεφτείτε να μεταβείτε από την κοινόχρηστη φιλοξενία σε μια εξειδικευμένη φιλοξενία WordPress. διαχειριζόμενους πελάτες φιλοξενίας WordPress μας δεν επηρεάστηκε, όλοι οι ιστότοποι που επηρεάστηκαν ήταν σε κοινόχρηστη φιλοξενία.
Για να μην πω ότι οφείλεται στη φιλοξενία, αλλά στη διαχειριζόμενη φιλοξενία, λαμβάνετε προληπτική παρακολούθηση, διαχειριζόμενες ενημερώσεις και μπορείτε να αποφύγετε αυτού του είδους τις καταστάσεις.
Όταν εντοπίσαμε τι συνέβαινε, ενημερώσαμε αμέσως την προσθήκη στους ιστότοπους των πελατών μας που είχαν την ευάλωτη έκδοση και πραγματοποιήσαμε μια αυτοματοποιημένη σάρωση.
Έχουμε επίσης πελάτες που φιλοξενούν μαζί μας, αλλά δεν διαχειριζόμαστε τους ιστότοπούς τους, δεν έχουμε πρόσβαση στις παρουσίες τους στο WordPress.
Έτσι, αναζητούμε τον διακομιστή για να βρούμε το φάκελο wp-gdpr-compliance προκειμένου να εντοπίσουμε τους πελάτες που χρησιμοποίησαν το πρόσθετο. Τους στείλαμε email, ειδοποιώντας την ευπάθεια ασφαλείας με οδηγίες για το πώς να ελέγξουμε εάν οι ιστοσελίδες τους έχουν παραβιαστεί.
Εάν χρειάζεστε επίσης βοήθεια, μη διστάσετε να επικοινωνήσετε μαζί μας.
Αφήστε μια