Vulnerabilitate wordpress admin-ajax.php

Naruto9

VIP Club
Registered
Full Member
Web Designer
VIP Club
Astazi am suferit un atac sau tentativa si am avut o zi foarte agitata.
66.249.83.218 - - [11/May/2015:07:24:09 +0300] "POST /wp-admin/admin-ajax.php?action=ajax-checkclicks&nonce=633606aef5 HTTP/1.1" 200 30 "http://www.site.org/episod-188/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET CLR 1.1.4322; .NET4.0C; .NET4.0E)"
Exista o vulnerabilitate in /wp-admin/admin-ajax.php pe care incearca sa o exploateze.
Cum sa va protejati in caz ca patiti la fel:
- stergere admin-ajax.php (eu l-am sters si nu sunt probleme)
- activare cloudflare pe modul "i'm under attack"
- limitare logari la wp-login.php
- update la zi (wordpress), tema si pluginuri daca cumva nu le aveti

De asemenea, aveam un .htaccess foarte prost gandit, se vedeau fisierele de pe host, tot ce era in folderul wp-admin si wp-includes si multe altele. Asa ca am modificat
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

<files wp-config.php>
order allow,deny
deny from all
</files>

# directory browsing
Options All -Indexes

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?SITEULVOSTRU.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [NC,F,L]

<FilesMatch "\.(htaccess|htpasswd|ini|phps|fla|psd|log|sh)$">
Order Allow,Deny
Deny from all
</FilesMatch>

<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

In ultima perioada apar tot mai multe incercari de cand cu vulnerabilitatile descoperite in wordpress. Sper totusi sa nu aveti de-a face cu asa ceva :)

PS: In ultimul rand vreau sa-i multumesc lui Alex, Ovidiu si gsoftcentral!
 
Ultima editare:
Imi pare rau ca ai avut probleme, dar fata de altii au fost norocos daca pot spune asa.
Stiu cazuri unde domeniul a fost banat de google pentru activitati ilicite, fisierele infectate de asa natura ca trebuie sa stergi totul sau chiar hackerii au sters totul cand au fost descoperiti.

In zilele noastre nimic nu este prea mult in materie de securitate. Asa ca luati orice masura necesara. daca nu stiti intrebati pe altii.
Multumesc pentru codul .htaccess pentru ca il voi folosi si eu.
 
si eu am "n" atacuri pe login, sper sa nu am probleba ta, dar imi da de gandit
 
si eu am "n" atacuri pe login, sper sa nu am probleba ta, dar imi da de gandit
Eu la un blog am dezactivat de tot sistemul de inregistrare. Se inregistratu cate cateva zeci de persoane pe ora.
 
Se pare ca atacul de ieri a devenit viral :(
Acum am gasit in log:
Cod:
May 12 11:42:55 vps126328 drupal: http://fifo.cc|1431423775|page not found|217.160.179.141|http://fifo.cc/wp-admin/admin-ajax.php||0||wp-admin/admin-ajax.php

Pe o platforma de Drupal.

Dar o sugestie pentru a evita astfel de "remote executions" va recomand sa setati file/folder permission astfel:

Foldere:
Cod:
find /opt/lampp/htdocs -type d -exec chmod 755 {} \;

Fisiere:
Cod:
find /opt/lampp/htdocs -type f -exec chmod 644 {} \;

.htaccess
Cod:
chmod 444 .htaccess
 
Loading...
Back
Sus