Feltörték a wp oldalamat

Web, mail, IRC, IM, hálózatok

A kutyafule.hu wp oldalamat jelenleg, csak a helyreállító módban tudom "használni".

Azt el kell ismerni, hogy szellemes üzenetet hagyott az egyik fájlban az, aki vette magának az időt és fáradságot annak érdekében, hogy ne romboljon sokat, csak éppen annyit, hogy legyen mivel foglalkozzak az elkövetkező pár napban :)

Aki tudja, hogy melyik fájlban és milyen angol nyelvű üzenetet hagyott, bátran jelentkezzen és mesélje el az üzenete értelmét, hogy számára mit jelent. Szavamat adom, hogy semminemű kutakodást nem fogok végezni a kiléte felől, egyrészt mert míg helyreállítom a rendet, van minek utánaolvassak, másrészt valóban kulturált az üzenete. Harmadrészt gyanítom, nem sok mindent találnék, ami beazonosíthatná :)

Ide írj nyugodtan egy üzenetet: job(kukac)hunvagyok.hu .

( _ventura_ v | 2023. 06. 01., cs – 17:37 )

Szakértelmedet ismerve miből gondolod, hogy nem sima script kiddie áldozata vagy ?

Fedora 38, Thinkpad x280

A következő fórumtémákat látom a szemeim előtt a közeli jövőben:
- Hányas WP-t használjak?
- Van jobb CMS, mint a WP?
- Mi az a "server hardening"?
- Hogyan tudom védeni a fájlaimat WP alatt?
- Miért törnek fel egy weboldalt, ami senkinek se árt?
- Milyen Linux illik a WP alá?
- WP security: Hol és hogyan találok erről magyarul leírást?
- Hogyan lehet védekezni weboldal támadások ellen?

( n.balazs v | 2023. 06. 01., cs – 17:53 )

Hogy építő is legyek: 90%, hogy script kiddiek "kóstolták meg" az oldalt.
Abban is biztos vagyok, hogy nem valamelyik hupos kolléga volt az elkövető. Nem hiszem, hogy bárki is kockáztatna egy BTK-s cselekményből adódó "jutalmazást". Az angol szöveg miatt még az is valószínű, hogy nem magyar volt az elkövető / elkövetők.

Én szeretem a BTK-t. 

Pont mint a directory listinget wordpress oldalon 2023-ban:

https://kutyafule.hu/wp-content/plugins/contact-form-7/

Tippre ezen keresztül törték meg:

https://kutyafule.hu/wp-content/plugins/gdpr-cookie-compliance/

De nem én voltam. :) Mindenesetre magával a listingel is cseszni kellene valamit szerintem. (Mert ha más nem égő :))

Ha nekiállnak banki phisinget nyomni ezen keresztül is kikepzo nem lesz a haverom. :D

( kikepzo | 2023. 06. 01., cs – 17:55 )

Az üzenet abszolút idevonatkozott, csak angolul. Az, hogy külföldi IP-nek látszott az "elkövető" címe, tudom nem jelent semmit sem. 

"https://hunvagyok.hu "

Persze, hogy valami bottal csinálják ezt. Élő embernek nem lenne annyi ideje, hogy kézzel menjen végig ezeken, az erre alkalmas oldalakat keresve, meg egyénre szabott üzeneteket írogasson. Ezeket mindig tömegesen nyomják fel. Frissíteni kell időben, meg normálisan beállítani a CMS installt, hogy ne legyen benne hagyva kétes biztonsági beállítás. Tanulni kell belőle, nem személyes támadásnak venni. Az is biztos, hogy ezek általában kínai, orosz, stb. támadások, nem fognak akármilyen jog meg .hu címre megerősítő e-mailt írni a kollégának.

Szerintem ha rákeres a „szellemes üzenet” konkrét szövegére, tömeges találatokat fog rá adni bármelyik keresős, mivel ezek a támadások tömegesek.

A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)

( wladek1 | 2023. 06. 01., cs – 21:43 )

Vajon elo fogod venni majd azokat a Kollegakat, akik anno minden alkalommal segiteni probaltak, mondvan, hogy ez biza miattuk volt?

Error: nmcli terminated by signal Félbeszakítás (2)

( Nyosigomboc v | 2023. 06. 02., p – 13:23 )

Nem teljesen ertem a dolgot. Az oldaladon van egy csomo wordpressre utalo nyom, sehol egy angular vagy react konyvtar. Most hol az atveres? Tenyleg WP volt az oldaladon? Tenyleg feltorte valaki?

A strange game. The only winning move is not to play. How about a nice game of chess?

Hint: tartalom (szöveg, kép) vissza, meglévő egyéb cuccok legyalulni. És mindenből a frisset, megfelelő hardening után kirakni public-ba, és folyamatosan figyelni/elemezni a logokat, követni az összes(!) használt komponenshez kapcsolódó sérülékenységekre vonatkozó jelzéseket, azokat értelmezni, elemezni, ezek alapján meghatározni, hogy az adott sérülékenység a te esetedben kihasználható-e, ha igen, milyen kockázatot jelent, van-e mitigation, vagy várnod kell a javított verzióra...

A WP-vel az a probléma, hogy hiába lesz rommá "hardeningelve", azt igen változatos módokon törik meg. Valójában a legfontosabb, hogy mindíg, de tényleg mindíg legyen naprakész, és hogy biztos forrásból jöjjenek a pluginek (bár ezzel is épp pár hete láttunk problémát), ha egyáltalán kellenek.

A teljesség igénye nélkül az alábbiak a "feltörési" vektorok, bár ezek egy része nem is valódi feltörés:

  • Sebezhetőség kihasználása a WP-ben, vagy egy remek pluginben, inkább 3rd partyban, mert jellemzően elfelejtődik frissülni.
  • Az FTP-re/elérésre használt gépről a megfelelő hozzáférési adatok kinyerése, legyen az FTP account vagy böngészőben mentett WP login.
  • Random helyről összeszedett, eleve fertőzött plugin telepítése.
  • Eredeti repóból felrakott, de fertőzött plugin telepítése.

Lehet Akismettel, az xmlrpc rejtésével, és a wp-admin külön http auth-tal védésével emelni a szinteken, rögtön az első három ellen nem véd.