WordPress, mvf.php и moban.html

Привет всем, случилась со мной не давно интересная история, о которой решил написать.
Одним прекрасным утром, вовремя завтрака решил я проверить статистику, и как всегда полез в Яндекс Метрику. И увидел странность,которая меня насторожила. На одном свежем МС, появился трафик, и прямые заходы на страницы которых я не создавал.
moban

Меня взломали!И залили шелл!

Завтрак был забыт и я полез разбираться.

moban.html и итальянские панталоны

На новосозданных страницах я увидел кучу ссылок и заголовки на итальянском языки, про какие то панталоны.
генерированная страница шелла
Все генерированные страницы лежали в каталоге categoryl, а сам каталог находился в корне сайта.
Так же в корне лежал файлик mvf.php, который как я понял и являлся тем самым шеллом ,создающий новые страницы.
Был подправлен файл .htaccess, где в правилах прописали редерикт на спамные записи.

Устраняем последствия взлома WordPress

    Итак по пунктам что я сделал, и что помогло:

  1. Полностью удалил каталог categoryl
  2. Удалил файл mvf.php
  3. Перезаписал файл .htaccess
  4. Обновил Wordpess до последней версии, таким образом перезаписал все возможно измененные системные файлы ВП
  5. Изменил пароль на учетной записи Администратора
  6. Поставил плагин Sucuri Security, который помогает отследить изменения в системных файлах, а так же логирует последние действия в системе, и попытки авторизации
  7. plugin Scuri

  8. Sucuri показал, что файлы все в порядке, но постоянно идет попытки авторизоваться под учетной записью Администратора. Вот собственно и ответ, как меня взломали, обычный брутфорс.
    Brute force(Brute, брутфорс) — вариант атаки,когда идет грубый подбор, по заранее составленному словарю украденных или популярных паролей

    Поэтому я поменял страницу авторизации Wp, сделать это можно через файл function.php темы, но я не стал заморачиваться и поставил плагин от Webcraftic (можете так в поиске и вбить). Настройки элементарные, две кнопки что включают плагин, и поле где указываете новый адрес страницы авторизации.
    Внимание! Запомните новый адрес, иначе не сможете зайти в Консоль управления!
  9. Скрыть страницу авторизации WordPress

  10. Однако, даже после смены страницы авторизации, попытки логина не прекратились! Кто-то упорно ломился не пойми куда!
    Попытки авторизации
    А все потому что в WordPress по умолчанию включена функция XML-RPC. Нужна она для удаленного обращения к сайту, авторизации, внесения правок в статьи, выкладка новых записей и т.д. без использования браузера. По сути одна большая дыра в безопасности сайта.

    Проверить активна ли у вас эта функция можно по ссылке: XML-RPC Validator

    Закрыть эту брешь мне помог плагин Disable XML-RPC (Там есть еще один похожий плагин Disable XML-RPC Pingback — он не подходит!). После этого сайт заработал как надо, и попытки взлома прекратились.

Выводы

А выводы очень просты, не нужно забывать про безопасность сайт и относиться к ней халатно. Кроме перебора паролей, через XML-RPC можно так же осуществлять атаки типа DDOS, и класть сайты. А это для Сео очень паршиво, потому что ведет к вылету страниц из индекса, и повышению количества отказов.
Надеюсь статья будет полезна, если остались вопросы задавайте их в комментариях.

Поделиться ссылкой:

Оставить комментарий

avatar
  Подписаться  
Уведомление о