4 votes

zeroin23 avatar

Comment ont-ils piraté mes sites Wordpress

Demandé el 16 de Avril, 2011
Quand la question a-t-elle été
10078 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai plusieurs sites wordpress hébergés dans un environnement d'hébergement partagé Bluehost. Récemment, lorsque j'ai effectué une recherche sur l'un de ces sites dans Google, le message "Le site pourrait être compromis" a été affiché.

J'ai reçu des alertes de Google Webmaster concernant un script dans l'un des sites WP. Quand j'ai vérifié les sites, j'ai trouvé des liens dans le pied de page, mentionnant "myteenmovies.net" et un autre site. Les informations Whois ont montré qu'il s'agissait de sites russes.

J'ai aussi trouvé d'autres fichiers PHP avec des noms bizarres, wxwz.php , xypz.php etc... Le code PHP était crypté avec une sorte de eval(gununcompress(base64_decode())) comme ça. Il y avait un autre fichier qui avait un commentaire "#Web Shell by orb".

Je comprends que le hacker a obtenu un accès complet à mon serveur (avec Webshell script). Tous les sites sont assez anciens (environ un an), Wordpress 2.5. Les permissions sont de 755. Quelqu'un peut-il deviner ou conseiller, comment le pirate a téléchargé les fichiers ? Les mots de passe FTP/SSH/Cpanel sont assez forts. Y a-t-il d'autres moyens ?

Demandé el 16 de Avril, 2011 par zeroin23

Réponses

Trop de publicités?

10voto

JohnP avatar
JohnP Points 248

C'est votre problème, là. La plupart de ces attaques sont menées par des scripts automatisés qui recherchent des vulnérabilités connues dans les anciens systèmes wordpress. Comme tout le monde peut consulter les rapports de bogues et les journaux de modifications, il n'est pas trop difficile de concevoir un scripts pour exploiter une faiblesse.

Votre meilleure défense est de toujours avoir votre version de wordpress ET vos thèmes/plugins à jour.

J'avais ce problème avec quelques-uns de mes blogs disparus, mais le fait de les maintenir constamment à jour l'a résolu.

Faites un grep sur vos blogs existants et recherchez les iframes ou les appels de méthode eval dans votre répertoire WP. Vérifiez également la base de données. Une fois que tout est propre, mettez à jour votre version de WP et vos thèmes/plugins et gardez-les à jour.

Connectez-vous ensuite à Google webmaster et, si vous ne l'avez pas encore fait, prouvez que vous êtes propriétaire de votre site et demandez un examen de celui-ci. L'avertissement devrait disparaître au bout d'un certain temps.

Répondu el 16 de Avril, 2011 par JohnP (248 Points )

6voto

John Gardeniers avatar
John Gardeniers Points 27097

Bienvenue dans la réalité. Vos sites ont été piratés parce que vous n'avez pris aucune précaution. L'utilisation de versions de WordPress aussi anciennes et vulnérables ne fait qu'encourager ce genre de choses. Compte tenu de l'invitation que vous avez créée, ne soyez pas surpris si des gens viennent à la fête.

Je vous suggère soit de mettre un peu d'effort dans vos sites web, soit d'arrêter de jouer au webmaster et de demander à quelqu'un qui sait ce qu'il fait de gérer vos systèmes et de s'assurer que toutes les mesures de sécurité raisonnables sont mises en œuvre, y compris les mises à jour nécessaires. Un site Web ne se résume pas à l'installation d'une version préemballée d'un logiciel, à la saisie d'un contenu et à un simple repos.

Répondu el 17 de Avril, 2011 par John Gardeniers (27097 Points )

4voto

Aleksander L. avatar
Aleksander L. Points 11

À moins que vous n'ayez les journaux de bord du jour où cela s'est produit, il n'y a probablement aucun moyen de savoir comment cela s'est produit. Il y a des tonnes d'exploits contre les versions historiques de Wordpress comme la 2.5. Voici quelques CVE qui pourraient expliquer comment ils sont entrés :

Maintenez-vous vos plugins à jour ? Il y a des exploits contre eux aussi, ça pourrait être le voie d'attaque aussi.

Vous pourriez passer des jours à examiner les CVE et les codes d'exploitation, mais la raison pour laquelle ils sont entrés (en supposant que c'était par Wordpress) était un bug dans le code. Ce bug a probablement été trouvé il y a plusieurs années, largement publié et déjà corrigé. Il n'y a probablement rien de spécial dans votre installation de wordpress, il a probablement été exploité par un outil automatisé recherchant les anciennes versions de wordpress.

Maintenez-vous vos plugins à jour ? Il y a des exploits contre eux aussi, ça pourrait être le voie d'attaque aussi.

Si vous voulez simplement voir comment quelqu'un pourrait exploiter une ancienne version de wordpress, il suffit de rechercher http://exploit-db.com .

Les mots de passe FTP/SSH/Cpanel sont assez forts.

Réutilisez-vous les mots de passe ? Votre mot de passe FTP est-il le même que celui du forum auquel vous vous êtes peut-être inscrit il y a trois ans et qui stockait ses mots de passe en clair et a été piraté ? C'est un autre moyen d'attaque.

Répondu el 16 de Avril, 2011 par Aleksander L. (11 Points )

2voto

markratledge avatar
markratledge Points 489

Voir FAQ : Mon site a été piraté " WordPress Codex y Comment nettoyer complètement votre installation wordpress piratée y Comment trouver une porte dérobée dans un WordPress piraté ? y Durcissement de WordPress " WordPress Codex

Répondu el 16 de Avril, 2011 par markratledge (489 Points )

2voto

kristina childs avatar
kristina childs Points 141

Cette question est vraiment ancienne, mais comme j'ai été récemment confronté au même type d'attaque, voici quelques mesures de base que vous pouvez prendre :

  1. Modifiez votre fichier php.ini pour interdire l'accès à base64_decode fonctionnalité. Trouvez la ligne qui dit disable_functions = et le changer en disable_functions = eval, base64_decode, gzinflate . Beaucoup de ces scripts utilisent cette fonction pour décompresser leurs fichiers et les faire fonctionner sur votre serveur. Cela empêchera au moins les fichiers de se décompresser automatiquement.
  2. Changez le préfixe de votre table wordpress. Vous devrez le faire dans votre base de données MySql ainsi que dans votre fichier config.php fichier. Le préfixe par défaut est wp_ et cela permet de deviner les noms des tables et des champs très facilement pour 90 % des blogs wordpress existants. Ce n'est pas une solution miracle, mais cela les obligera à essayer de deviner les noms de votre base de données, ce qui pourrait les ralentir suffisamment pour qu'ils renoncent à insérer des éléments dans votre base de données.
  3. Changez le nom de votre dossier uploads. Wordpress permet un accès en écriture à ce dossier via le media uploader, ce qui en fait un endroit très facile pour télécharger des fichiers PHP contenant Shell Shell et il est probable que vous ne les verrez pas ici. Ils n'apparaîtront pas dans votre médiathèque ET ils seront enterrés dans un endroit où vous n'êtes pas susceptible de naviguer en utilisant un programme FTP. Tout comme la modification du préfixe par défaut de la base de données, si vous laissez ce dossier par défaut, toute personne un tant soit peu compétente pourra deviner le chemin d'accès à ce dossier. Nous sommes également allés jusqu'à restreindre les types de fichiers qui peuvent être ajoutés à ce dossier à .jpg , .gif y .png puisque le nom du dossier de téléchargement peut facilement être découvert en vérifiant l'url de n'importe quelle image sur votre blog.
  4. Procurez-vous un bon plugin de sécurité comme Wordfence . J'en ai été très satisfait jusqu'à présent.
  5. Je ne recommande pas aux utilisateurs inexpérimentés de le faire, mais un autre bon moyen de garder vos chemins de fichiers secrets est de déplacer votre dossier de contenu en dehors de l'installation principale de Wordpress (c'est-à-dire le répertoire d'application). Cela fonctionnera de la même manière que d'avoir un répertoire virtuel, où les URL sur votre blog ne reflètent pas les chemins de fichiers littéraux. En faisant cela, s'ils essaient de télécharger vers des répertoires trouvés dans votre URL, ils rencontreront des erreurs. Vous trouverez des informations sur la modification de l'emplacement de votre dossier de contenu dans le codex. ici

En général, c'est une bonne idée de changer tous les paramètres par défaut pour personnaliser votre installation autant que possible. Il y a beaucoup, beaucoup plus de choses que vous pouvez faire et je vous recommande vivement de vous documenter sur le renforcement de wordpress et de php, mais des choses simples comme celles-ci empêcheront la plupart des pirates occasionnels et ceux qui utilisent des scanners de vulnérabilité automatisés d'entrer en action.

Sachez également que s'ils ont eu un accès complet à votre serveur, vous allez devoir modifier tous vos comptes d'utilisateur. Changez le nom de votre compte. Changez vos mots de passe. TOUS vos mots de passe, y compris ceux de la base de données, du FTP... tout ce qui nécessite une validation est maintenant compromis et s'ils les ont, tout le durcissement du monde ne signifie rien.

Répondu el 3 de Janvier, 2013 par kristina childs (141 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X