Микроблоги Знакомства Люди Поиск Фото Регистрация Добрый вечер, Гость Вход


forumroditeley.ru


Большой форум родителей, для пап и мам, который уже живет
приглашает общаться будущих мам, беременных и родивших детей,
разведенных и одиноких родителей и всех тех, кто хочет знакомиться,
переживать и помогать на форуме родителей другим.
Мужской, женский и детский форум общения сейчас - это новости города, онлайн разговоры о детях.
В мире есть много сайтов, но мы стремимся быть лучше и комфортнее быть
для вашего восприятия всего необычного в мире, полезного для семьи,
увлекательного для детей, познавательного для себя.
Форум обсуждения сделан для людей и у нас нет вообще тупой раздражающей рекламы
Как взламывают вордпресс: HaCkEd By Mohamed Riahi  
Начать новую тему   Ответить на тему    forumroditeley.ru -> администратор -> вебмастеру

Рейтинг для темы >> Как взламывают вордпресс: HaCkEd By Mohamed Riahi
Общая оценка: 0.00 :: Минимальная оценка: 0 :: Максимальная оценка: 0 :: Всего оценило: 0
Мы стараемся для Вас! Оцените труд автора по пятибальной шкале!
Выберите оценку: 
Или обязательно сохраните в браузере в закладки, если тема нужна Вам!
Автор Сообщение
администратор
администратор
Не онлайн
Зарегистрирован: 2011-09-27
Рейтинг:
живет тут 2515 день
Сообщ.: 8249

Темы: 4299
Откуда Вы: Новая Усмань, Воронежская обл
Страна: russia.gif
Сообщение 06-Мар-18 14:43      #1  [дать ссылку]    
Для владельцев вордпресса хуже нет, если взломали его сайт и нельзя понять как это все исправить.

Вы заходите на свой сайт на вордпрессе и видите такую вот надпись: HaCkEd By Mohamed Riahi

Поздравляю, вас только что поимели, то есть вас взломали.

Что делать, если выводится вот такая надпись HaCkEd By Mohamed Riahi и нет ваших тем? А ничего не надо делать в плане судорожных телодвижений. Не надо для начала лезть в админку, пытаться найти в черновиках те самые удаленные темы и попытаться как то восстановить.

Не делайте этого.

Для этого вам нужно зайти в панель управления сайтом в ваш хостинг или в ваш VDS. Затем идем в бэкапы, выбираем свой домен, свою базу данных галочками, но следует заметить особую важность, дату бэкапа выбирайте уверенно такую, если вы уверенны в ней и ничего не делали в тот день и все работало. Нажимаем СДЕЛАТЬ ВОССТАНОВЛЕНИЕ. И ждем) В зависимости от вашего хостинга или вдс, а также от размеров бд и файлов, в течении 5-10 минут, а то и за 2 минуты, все возвращается обратно как было. Теперь ваш сайт заработал!

Но.. чтобы поганцу снова не дать вас взломать, следует поставить плагины защиты на вордпресс, а именно плагин wp-cerber.

Этот плагин защиты умеет многое:
- изменить вход в админку на другую страницу
- блокировать спам комменты
- вносить в черный лист банов всех кто долбился в адрес логина по адресу файла wp-login.php
и много чего)

pic

Чтобы изменить другую страницу для входа в админку, придумайте любое слово на английском, например sun, lego, wow, way, let, zima. Я вам привел пример, чтобы не вбивать по памяти длинное слово на английском, проще и звучно выбрать короткое.

Кстати говоря, этот плагин чуть глюкает в плане и в ваших действий. Например, если вы заходите в указанную страницу этого плагина, а и не пускает вас в админку, выводя надпись: ваш лимит бла бла бла исчерпан и попробуйте зайти через бла бла бла времени -- тупо открываете фтп-клиент, заходите в свой сайт через файлезилла, доходите до этого плагина и удаляете в корне папки плагина все файлы, но заранее их сохранив себе. Сначала сохраняете все к себе на рабочий стол и затем все удалить. Открываете как обычно свой сайт/wp-login.php, заходите в админку. Затем опять кидаете файлы сохраненные у себя в сервер обратно, активируете снова плагин через админку и все. Затем нужно посмотреть какой айпи блокирует плагин. Смотрите свой и исключаете его из списка и ставить игнорить. Все.

pic

А вот можно посмотреть в яндексе по запросу HaCkEd By Mohamed Riahi, какие сайты взломаны....

И вот такая картинка выводится хакером, если вас взломали)))
pic

Но... это еще не все.

Обычно если даже стоит этот цербер, он блокирует REST API в /wp-json/wp/v2/users/, но разрабы уроды и сделали такие уязвимости так, что нам самим приходиться эти дырки латать. Даже цербер может пропустить, как это было в моем случае.

pic

Открываем свой robots.txt и вставляем вот такой код запретов:
Код:
disallow: /wp-json
disallow: /oembed
disallow: /embed


Потом вам надо открыть functions.php своей темы и в самом конце вставить вот такой код защиты от эксплоита, с помощью которого хакер может редактировать ваш любой пост и загрузить/указать картинку:

Код:
// Отключаем REST API
 add_filter('rest_enabled', '__return_false');

// Отключаем фильтры REST API
 remove_action( 'xmlrpc_rsd_apis', 'rest_output_rsd' );
 remove_action( 'wp_head', 'rest_output_link_wp_head', 10, 0 );
 remove_action( 'template_redirect', 'rest_output_link_header', 11, 0 );
 remove_action( 'auth_cookie_malformed', 'rest_cookie_collect_status' );
 remove_action( 'auth_cookie_expired', 'rest_cookie_collect_status' );
 remove_action( 'auth_cookie_bad_username', 'rest_cookie_collect_status' );
 remove_action( 'auth_cookie_bad_hash', 'rest_cookie_collect_status' );
 remove_action( 'auth_cookie_valid', 'rest_cookie_collect_status' );
 remove_filter( 'rest_authentication_errors', 'rest_cookie_check_errors', 100 );

// Отключаем события REST API
 remove_action( 'init', 'rest_api_init' );
 remove_action( 'rest_api_init', 'rest_api_default_filters', 10, 1 );
 remove_action( 'parse_request', 'rest_api_loaded' );

// Отключаем Embeds связанные с REST API
 remove_action( 'rest_api_init', 'wp_oembed_register_route' );
 remove_filter( 'rest_pre_serve_request', '_oembed_rest_pre_serve_request', 10, 4 );


pic

Открою немного чуточку завесу. При правке functions.php следует внимательно в нотепаде прокрутить до низа и посмотреть. Есть версии вордпресса (выше 4.8), при котором в functions.php в самом конце заканчивается ?>, тогда указанный выше мною вам код следует поставить перед ним!

Смотрим на скриншоте. Выделенный код поставлен перед?>
pic

Что такое JSON REST API

Цитата:
Проблема заключается в неверной логике обработки запросов к JSON REST API. Манипулируя с типами, злоумышленник может внести изменения в любую из записей на сайте, что при определенных условиях приведет к выполнению пpоизвольного кода.

По умолчанию в WordPress с версии 4.7 включен REST API, через который можно получать пoлные тексты статей, просматривать комментарии и узнавать лoгины пользователей.

Точка вxода в API - http://ВАШСАЙТ/wp­json/wp/v2/. Если на этой странице видите кипу текста, значит, он работает и открыт для злоумышленников. Посмотрев внимательно на JSON, можно заметить все роуты, методы и поля, которые можно использовать в запросе. Например, пройдя по пути /wp­json/wp/v2/users, можно увидеть весь список пользователей, которые зарегистрированные в вашем сайте, то есть админ и, если кто еще, также и его увидят..


Если вы не знаете что вообще у вас вордпресс творит чудеса, не надо знать, вы только расстроитесь от того, что вордпресс сейчас стал откровенно дырявым))))

Что такое wp-json

Цитата:
Это не вирус. Это прежде всего виртуальная директория для API REST для CMS Wordpress версии 4.4 и выше.

Так, разработчики wordpress внедряют в свое творение новый плагин для удобного доступа к данным Вашего сайта с помощью HTTP RESET API. Подробности Вы можете изучить на странице разработчика http://v2.wp-api.org/.
Читайте иначе, дистанционный доступ к вашему сайту для кого либо))


Похожие темы мною вам рекомендуется:
Нагрузка на вордпресс: как устранить и как снизить нагрузку на домен
Как взламывают вордпресс
Вернуться к началу

Share on APSense Поделиться в LiveJournal Поделиться в Liveinternet Blogger.com Поделиться на Tumblr Запомнить эту страницу на Закладок.нет! Поделиться на zakladki.by Поделиться на stumbleupon.com Поделиться на url.org Поделиться в zakladki.orbita.co.il Поделиться в memori Мой Мир Одноклассники.ru Добавить в закладки i.ua Добавить в закладки в folkd Добавить в закладки juwit Добавить в imgfave Пост! Добавить в xerpi



Мануал - как поделиться с друзьями в сетях - откроется в новой вкладке
администратор
администратор
Не онлайн
Зарегистрирован: 2011-09-27
Рейтинг:
живет тут 2515 день
Сообщ.: 8249

Темы: 4299
Откуда Вы: Новая Усмань, Воронежская обл
Страна: russia.gif
Сообщение 11-Июн-18 10:37      #2  [дать ссылку]    
Вот тут владельцам движка вордпресса стоит почитать, чтобы знать о своем блоге и не совершать распространеннные ошибки начинающих и бывалых админов своих блогов. Как я описывал раньше случай в своих сайтах на вордпрессе, я сам испытал на себе взлом через уязвимость, пока не залатал дырки и вам не рассказал как это все сделать у себя и защитить себя снова.

Цитата:
26 января 2017 года, разработчики одной из популярнейших CMS в мире выпустили WordPress 4.7.2, сообщив, что в новой версии платформы был исправлен ряд проблем. Как выяснилось неделю спустя, релиз WordPress 4.7.2 устранил крайне серьезную уязвимость, связанную с повышением привилегий. В конце января 2017 года брешь обнаружили специалисты компании Sucuri, и они описывают ее как неавторизованную эскалацию привилегий через REST API. Уязвимости подвержены версии 4.7.0 и 4.7.1.

Тогда раскрытие данных об уязвимости сознательно отложили на неделю, чтобы как можно больше сайтов успели спокойно установить обновление, но, судя по всему, это не слишком помогло. Специалисты Sucuri сообщают, что первые попытки эксплуатации бага были замечены в тот же день, когда информация о проблеме была опубликована. В настоящий момент количество атак продолжает расти и уже превысило отметку 3000 дефейсов в день.

Напомню, что проблема позволяет неавторизованному атакующему сформировать специальный запрос, при помощи которого можно будет изменять и удалять содержимое любого поста на целевом сайте. Кроме того, используя шорткоды плагинов, злоумышленник может эксплуатировать и другие уязвимости CMS, которые обычно недоступны даже пользователям с высокими привилегиями. В итоге атакующий может внедрить на страницы сайта SEO-спам, рекламу, и даже исполняемый PHP-код, все зависит от доступных плагинов.


Сейчас нашел в своих блогах, на стороннем движке, на платформе гугл, старый свой домен. куда транслировался rss-канал для ускорения индексации. Увидел историю и вспомнил как это было))))

pic

Напомню вам. что следует сделать после прочтения этого поста:
1. зайти в мою тему Как взламывают вордпресс, внимательно прочитать мой опус и удалить у себя в блоге файл xmlrpc.php
2. старайтесь каждый раз не обновлять свой блог на вордпрессе, как бы у вас там не выводилась надпись в админке, что вышла новая версия
3. лично я никогда не обновляю плагины, даже если настойчиво просит вордпресс обновить, якобы для улучшения и дополнительных примочек плагина
4. учитесь следить за своим блогом. Для этого хотя бы раз в неделю смотрите логи запросов команд в ваш блог
5. если все работает, то не трогай ничего: не обновляй, не изменяй - это первое золотое правило владельца сайта. Помните об этом.

Лично я не успел увидеть как выглядит на взломанном сайте страница By Hawleri_hacker. Встречал только HaCkEd By Mohamed Riahi

Скриншот взят с другого моего домена: тиц10, посещалка около 300 в день, чисто хобби с ним, тематический сайт, темы публикуются раза 2-5 в месяц.
pic

_________________
... иной среди других
Вернуться к началу

Share on APSense Поделиться в LiveJournal Поделиться в Liveinternet Blogger.com Поделиться на Tumblr Запомнить эту страницу на Закладок.нет! Поделиться на zakladki.by Поделиться на stumbleupon.com Поделиться на url.org Поделиться в zakladki.orbita.co.il Поделиться в memori Мой Мир Одноклассники.ru Добавить в закладки i.ua Добавить в закладки в folkd Добавить в закладки juwit Добавить в imgfave Пост! Добавить в xerpi



Мануал - как поделиться с друзьями в сетях - откроется в новой вкладке
Заголовок новой темы
Форум для новой темы
 
Страница 1 из 1
Показать сообщения:   
Как взламывают вордпресс: HaCkEd By Mohamed Riahi
Начать новую тему   Ответить на тему    forumroditeley.ru -> администратор -> вебмастеру Часовой пояс: GMT + 3

 

Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы можете скачивать файлы
Вход
Имя:    Пароль:      Автоматически входить при каждом посещении    


Подписка RSS

Наши сервисы

На правах рекламы

Анонимное голосование

Визиты

Понравилось?
Мы в сетях:
                       
Все материалы сайта представлены только для ознакомления. При копировании материала ссылка на forumroditeley.ru обязательна!

sitemap     карта форума | Статистика визитов поисковых ботов | Выдача в поисковиках | слова | Новости науки от яндекса

Написать админу

Яндекс.Метрика
Powered by phpBB © 2001, 2011 phpBB Group форум общения родителей ©27.09.2011-2018