Οργανωμένη προσπάθεια παγκόσμιας επίθεσης κατά των Wordpress

Μια περιοχή για το WordPress, αυτή την δημοφιλή δωρεάν πλατφόρμα για blogging

Συντονιστές: WebDev Moderators, Super-Moderators, PHP Moderators

Απάντηση
Άβαταρ μέλους
Cha0s
SysAdmin
Δημοσιεύσεις: 10247
Εγγραφή: 28 Ιούλ 2001 03:00

Οργανωμένη προσπάθεια παγκόσμιας επίθεσης κατά των Wordpress

Δημοσίευση από Cha0s » 13 Απρ 2013 20:59

http://www.pcworld.com/article/2034458/ ... orted.html

Όσοι έχετε εύκολα/dictionary based passwords στα wordpress σας καλό είναι να τα αλλάξετε.


Όσο secure και να είναι το WP (λέμε τώρα :lol: ) ο πιο αδύναμος κρίκος είναι οι ίδιοι οι χρήστες τους και κατεπέκταση τα απλά - συνήθως - passwords τους.


Btw, σήμερα είναι το WP, αύριο θα είναι το Joomla, μεθαύριο θα είναι το Drupal.

Ως πότε θα υποστηρίζουμε τα ίδια προβληματικά συστήματα ξανά και ξανά που δεν παρέχουν σωστή ασφάλεια, τρώνε περιττά resources και κάνουν όλο το Internet μία ίδια μορφοποιημένη μάζα σαβούρας; :hammer:



Άβαταρ μέλους
Cha0s
SysAdmin
Δημοσιεύσεις: 10247
Εγγραφή: 28 Ιούλ 2001 03:00

Οργανωμένη προσπάθεια παγκόσμιας επίθεσης κατά των Wordpress

Δημοσίευση από Cha0s » 03 Μαρ 2014 16:18

Πέτυχα ένα wordpress όπου του φυτέψανε executable με όνομα /usr/bin/host (fake προφανώς) το οποίο φορτώνει 2 libraries που δείχνουν ότι έχει εξελιχθεί σοβαρά το παραπάνω attack.

Συγκεκριμένα βλέπω να φορτώνει το cmsurls.so & bruteforce.so

Κώδικας: Επιλογή όλων

root@server ~ # lsof | grep 12735 | grep host
host      12735                USERNAME  cwd       DIR                9,3       4096   48107599 /home/USERNAME/public_html/wp-content/themes/portfolio-press
host      12735                USERNAME  rtd       DIR                9,3       4096          2 /
host      12735                USERNAME  txt       REG                9,3     112960   15733519 /usr/bin/host
host      12735                USERNAME  DEL       REG                9,3              48109025 /home/USERNAME/public_html/wp-content/themes/portfolio-press/cmsurls.so
host      12735                USERNAME  mem       REG                9,3      31104     787552 /lib/x86_64-linux-gnu/libnss_dns-2.15.so
host      12735                USERNAME  mem       REG                9,3      52120     787614 /lib/x86_64-linux-gnu/libnss_files-2.15.so
host      12735                USERNAME  mem       REG                9,3   12582912   48109026 /home/USERNAME/public_html/wp-content/themes/portfolio-press/.sd0
host      12735                USERNAME  mem       REG                9,3      89040   16914802 /usr/lib/x86_64-linux-gnu/openssl-1.0.0/engines/libgost.so
host      12735                USERNAME  DEL       REG                9,3              48109027 /home/USERNAME/public_html/wp-content/themes/portfolio-press/bruteforce.so
host      12735                USERNAME  mem       REG                9,3     105288     787700 /lib/x86_64-linux-gnu/libresolv-2.15.so
host      12735                USERNAME  mem       REG                9,3      14360     787580 /lib/x86_64-linux-gnu/libkeyutils.so.1.4
host      12735                USERNAME  mem       REG                9,3    1030512     787721 /lib/x86_64-linux-gnu/libm-2.15.so
host      12735                USERNAME  mem       REG                9,3      92720     787628 /lib/x86_64-linux-gnu/libz.so.1.2.3.4
host      12735                USERNAME  mem       REG                9,3      14768     787642 /lib/x86_64-linux-gnu/libdl-2.15.so
host      12735                USERNAME  mem       REG                9,3      31200   16908823 /usr/lib/x86_64-linux-gnu/libkrb5support.so.0.1
host      12735                USERNAME  mem       REG                9,3      14696     787567 /lib/x86_64-linux-gnu/libcom_err.so.2.1
host      12735                USERNAME  mem       REG                9,3     158168   16908431 /usr/lib/x86_64-linux-gnu/libk5crypto.so.3.1
host      12735                USERNAME  mem       REG                9,3     844648   16908526 /usr/lib/x86_64-linux-gnu/libkrb5.so.3.3
host      12735                USERNAME  mem       REG                9,3    1421464   16908449 /usr/lib/x86_64-linux-gnu/libxml2.so.2.7.8
host      12735                USERNAME  mem       REG                9,3     215136   15733307 /usr/lib/libGeoIP.so.1.4.8
host      12735                USERNAME  mem       REG                9,3    1930616     786852 /lib/x86_64-linux-gnu/libcrypto.so.1.0.0
host      12735                USERNAME  mem       REG                9,3     252720   16908493 /usr/lib/x86_64-linux-gnu/libgssapi_krb5.so.2.2
host      12735                USERNAME  mem       REG                9,3    1815224     787602 /lib/x86_64-linux-gnu/libc-2.15.so
host      12735                USERNAME  mem       REG                9,3     135366     787706 /lib/x86_64-linux-gnu/libpthread-2.15.so
host      12735                USERNAME  mem       REG                9,3     347488   15728850 /usr/lib/libisc.so.83.0.1
host      12735                USERNAME  mem       REG                9,3     130520   15733338 /usr/lib/libisccfg.so.82.0.0
host      12735                USERNAME  mem       REG                9,3      50976   15733532 /usr/lib/libbind9.so.80.0.3
host      12735                USERNAME  mem       REG                9,3    1596272   15733356 /usr/lib/libdns.so.81.3.1
host      12735                USERNAME  mem       REG                9,3      71584   15733368 /usr/lib/liblwres.so.80.0.1
host      12735                USERNAME  DEL       REG                9,3              48109024 /home/USERNAME/public_html/wp-content/themes/portfolio-press/libworker.so
host      12735                USERNAME  mem       REG                9,3     149280     787625 /lib/x86_64-linux-gnu/ld-2.15.so
host      12735                USERNAME    0r      CHR                1,3        0t0       1029 /dev/null
host      12735                USERNAME    1r      CHR                1,3        0t0       1029 /dev/null
host      12735                USERNAME    2r      CHR                1,3        0t0       1029 /dev/null
host      12735                USERNAME    3r      CHR                1,3        0t0       1029 /dev/null

Οπότε πλέον δεν γίνεται με απλά PHP Scripts το bruteforce attack από WP σε WP.


Μάλιστα έχουν βάλει να περνάει και τον εαυτό του στο cron οπότε ξανατρέχει μόνο του και να γίνει kill!!


Και σχεδον 1 χρόνο τώρα ούτε το Joomla ούτε το WP αξιώθηκαν να αλλάξουν το admin login page τους ώστε να μην επιτρέπονται τέτοια attacks :hammer:

Απάντηση

Επιστροφή στο “WordPress γενικά”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες