Eilen illalla saimme ystävältä sähköpostin, jossa hän kertoi löytäneensä uusia käyttäjiä, joilla on järjestelmänvalvojan oikeudet joillakin hänen WordPress-verkkosivustoillaan, ja pyysi meitä tarkistamaan sen.
Aloimme tutkia, ja näyttää siltä, että verkkosivustoilla oli yhteinen asia - WP GDPR Compliance -laajennus.
Näyttää siltä, että laajennuksessa on haavoittuvuus , ja tätä laajennusta käyttäviin sivustoihin on kohdistunut useita hyökkäyksiä.
Infektiolla on eri vaiheita:
- järjestelmänvalvojan käyttäjiä luodaan
- tiedostoja on muokattu
- uudelleenohjaus venäläiselle verkkosivustolle
Suosittelemme tarkistamaan, onko sivustollesi äskettäin ilmestynyt t3trollherten ", " t2trollherten " tai " trollherten
Käyttäjien luomisen jälkeen hyökkääjät muuttivat muiden PHP-skriptien (lisäosien) tiedostoja. Löysimme esimerkiksi muokattuja PHP-tiedostoja Akismet-laajennuskansiosta.
Joillakin verkkosivustoilla löysimme tämän Pastebin-URL-osoitteen wp_options-kohdasta osoitteessa siteurl.
https://pastebin.com/raw/V8SVyu2P?Tässä vaiheessa sivusto alkaa hajota, saat tietokantayhteysvirheitä tai sivustosi ohjataan toiselle sivustolle, joskus venäjäksi.
Kuinka toipua hakkeroinnista
Jos käyttäjiä ei ole, sinun pitäisi olla kunnossa, verkkosivustoasi ei todennäköisesti ole hyökätty.
Jotta näin ei tapahdu päivittää WP GDPR Compliance -laajennus uusimpaan versioon, kehittäjät ovat korjanneet
Ihannetapauksessa pidä kaikki WordPress-laajennukset ja teemat ajan tasalla estääksesi tällaiset mahdolliset tietoturvaongelmat.
Jos löydät näitä käyttäjiä, on mahdollista, että he eivät saaneet sivustoa tartunnan, mutta et voi tietää varmasti, joten on luultavasti parasta palauttaa varmuuskopiosta ja päivittää sitten WP GDPR Compliance -laajennus.
Lisäksi, jos sinulla on suojauslaajennus, kuten Defender Pro, tarkista WordPress-instanssi nähdäksesi, onko se puhdas.
Jos et voi palauttaa tai sinulla ei ole varmuuskopiota, sinun on puhdistettava verkkosivusto manuaalisesti:
- poista haitalliset käyttäjät tietokannasta
- poista kaikki PHP- ja JS-tiedostot (säilytä vain wp-sisältö/lataukset)
- asenna WordPress ja käyttämäsi teemat ja laajennukset uudelleen
Jos haluat välttää nämä tilanteet, harkitse vaihtamista jaetusta isännöinnistä asiantuntevaan WordPress-isännöintiin. vaikuttanut yhteenkään hallinnoiduista WordPress-isännöintiasiakkaistamme, kaikki vaikutuksen kohteena olevat verkkosivustot olivat jaetussa isännöinnissä .
Ei tarkoita, että se johtuu isännöinnistä, mutta hallitun isännöinnin avulla saat ennakoivan seurannan, hallitut päivitykset ja voit välttää tämän tyyppiset tilanteet.
Kun tunnistimme, mitä tapahtui, päivitimme välittömästi asiakkaidemme verkkosivustojen laajennuksen, jossa oli haavoittuva versio, ja suoritimme automaattisen tarkistuksen.
Meillä on myös asiakkaita, jotka isännöivät kanssamme, mutta emme hallinnoi heidän verkkosivustojaan, emmekä pääse heidän WordPress-esiintymiinsä.
Joten etsimme palvelimelta wp-gdpr-compliance-kansion tunnistaaksemme laajennuksen käyttäneet asiakkaat. Lähetimme heille sähköpostia ja ilmoitimme tietoturvahaavoittuvuudesta ja ohjeet kuinka tarkistaa, onko heidän verkkosivustoitaan hakkeroitu.
Jos myös tarvitset apua, älä epäröi ottaa meihin yhteyttä.
Jätä vastaus