Главная Микроблоги Знакомства Люди Поиск Фото Музыка Регистрация Доброе утро, Гость Вход


forumroditeley.ru


Социальная сеть для всех живет , нам 11 лет!
Здравствуйте. Вы попали на форум родителей, где нет вообще никакой назойливой рекламы!
Сайт сделан для людей, для вас, для тех, кто ищет новые знания и ответы на свои вопросы.
Вкусные рецепты, неспешное общение, узнать законы и льготы, вопросы отношений,
скачать прямой ссылкой книги, новые знакомства, истории людей,
воспитание детей, завести блог и писать свои мысли, все о свадьбах,
здоровье и уход за собой, полезные идеи для вашего дома - море информации в нужных разделах!
У нас есть: сам форум, фотоальбомы, чат, блоги, доска объявлений,
микроблоги, слушать онлайн радио, онлайн игры и многое другое.


Мы не воруем Ваше время - мы даем возможность узнать мир лучше!

Как взламывают вордпресс: HaCkEd By Mohamed Riahi

В этой теме отвечено 1 раз и проглядели 9266 раза!

 
Начать новую тему   Ответить на тему    forumroditeley.ru -> администратор -> вебмастеру

Просмотров темы Как взламывают вордпресс: HaCkEd By Mohamed Riahi: 9266
Общая оценка: 0.00 :: Минимальная оценка: 0 :: Максимальная оценка: 0 :: Всего оценило: 0
Понравилось? Оцените по пятибальной шкале!
Выберите оценку: 
Страница 1 из 1
Автор Сообщение
администратор
администратор
Онлайн
Зарегистрирован: 2011-09-27
Рейтинг:
живет тут 4566 день
Сообщ.: 9375

Темы: 5105
Откуда Вы: Новая Усмань, Воронежская обл
Страна: russia.gif
Сообщение 06-Мар-18 14:43      #1  [дать ссылку]    
Для владельцев вордпресса хуже нет, если взломали его сайт и нельзя понять как это все исправить.

Вы заходите на свой сайт на вордпрессе и видите такую вот надпись: HaCkEd By Mohamed Riahi

Поздравляю, вас только что поимели, то есть вас взломали.

Что делать, если выводится вот такая надпись HaCkEd By Mohamed Riahi и нет ваших тем? А ничего не надо делать в плане судорожных телодвижений. Не надо для начала лезть в админку, пытаться найти в черновиках те самые удаленные темы и попытаться как то восстановить.

Не делайте этого.

Для этого вам нужно зайти в панель управления сайтом в ваш хостинг или в ваш VDS. Затем идем в бэкапы, выбираем свой домен, свою базу данных галочками, но следует заметить особую важность, дату бэкапа выбирайте уверенно такую, если вы уверенны в ней и ничего не делали в тот день и все работало. Нажимаем СДЕЛАТЬ ВОССТАНОВЛЕНИЕ. И ждем) В зависимости от вашего хостинга или вдс, а также от размеров бд и файлов, в течении 5-10 минут, а то и за 2 минуты, все возвращается обратно как было. Теперь ваш сайт заработал!

Но.. чтобы поганцу снова не дать вас взломать, следует поставить плагины защиты на вордпресс, а именно плагин wp-cerber.

Этот плагин защиты умеет многое:
- изменить вход в админку на другую страницу
- блокировать спам комменты
- вносить в черный лист банов всех кто долбился в адрес логина по адресу файла wp-login.php
и много чего)

pic

Чтобы изменить другую страницу для входа в админку, придумайте любое слово на английском, например sun, lego, wow, way, let, zima. Я вам привел пример, чтобы не вбивать по памяти длинное слово на английском, проще и звучно выбрать короткое.

Кстати говоря, этот плагин чуть глюкает в плане и в ваших действий. Например, если вы заходите в указанную страницу этого плагина, а и не пускает вас в админку, выводя надпись: ваш лимит бла бла бла исчерпан и попробуйте зайти через бла бла бла времени -- тупо открываете фтп-клиент, заходите в свой сайт через файлезилла, доходите до этого плагина и удаляете в корне папки плагина все файлы, но заранее их сохранив себе. Сначала сохраняете все к себе на рабочий стол и затем все удалить. Открываете как обычно свой сайт/wp-login.php, заходите в админку. Затем опять кидаете файлы сохраненные у себя в сервер обратно, активируете снова плагин через админку и все. Затем нужно посмотреть какой айпи блокирует плагин. Смотрите свой и исключаете его из списка и ставить игнорить. Все.

pic

А вот можно посмотреть в яндексе по запросу HaCkEd By Mohamed Riahi, какие сайты взломаны....

И вот такая картинка выводится хакером, если вас взломали)))
pic

Но... это еще не все.

Обычно если даже стоит этот цербер, он блокирует REST API в /wp-json/wp/v2/users/, но разрабы уроды и сделали такие уязвимости так, что нам самим приходиться эти дырки латать. Даже цербер может пропустить, как это было в моем случае.

pic

Открываем свой robots.txt и вставляем вот такой код запретов:
Код:
disallow: /wp-json
disallow: /oembed
disallow: /embed


Потом вам надо открыть functions.php своей темы и в самом конце вставить вот такой код защиты от эксплоита, с помощью которого хакер может редактировать ваш любой пост и загрузить/указать картинку:

Код:
// Отключаем REST API
 add_filter('rest_enabled', '__return_false');

// Отключаем фильтры REST API
 remove_action( 'xmlrpc_rsd_apis', 'rest_output_rsd' );
 remove_action( 'wp_head', 'rest_output_link_wp_head', 10, 0 );
 remove_action( 'template_redirect', 'rest_output_link_header', 11, 0 );
 remove_action( 'auth_cookie_malformed', 'rest_cookie_collect_status' );
 remove_action( 'auth_cookie_expired', 'rest_cookie_collect_status' );
 remove_action( 'auth_cookie_bad_username', 'rest_cookie_collect_status' );
 remove_action( 'auth_cookie_bad_hash', 'rest_cookie_collect_status' );
 remove_action( 'auth_cookie_valid', 'rest_cookie_collect_status' );
 remove_filter( 'rest_authentication_errors', 'rest_cookie_check_errors', 100 );

// Отключаем события REST API
 remove_action( 'init', 'rest_api_init' );
 remove_action( 'rest_api_init', 'rest_api_default_filters', 10, 1 );
 remove_action( 'parse_request', 'rest_api_loaded' );

// Отключаем Embeds связанные с REST API
 remove_action( 'rest_api_init', 'wp_oembed_register_route' );
 remove_filter( 'rest_pre_serve_request', '_oembed_rest_pre_serve_request', 10, 4 );


pic

Открою немного чуточку завесу. При правке functions.php следует внимательно в нотепаде прокрутить до низа и посмотреть. Есть версии вордпресса (выше 4.8), при котором в functions.php в самом конце заканчивается ?>, тогда указанный выше мною вам код следует поставить перед ним!

Смотрим на скриншоте. Выделенный код поставлен перед?>
pic

Что такое JSON REST API

Цитата:
Проблема заключается в неверной логике обработки запросов к JSON REST API. Манипулируя с типами, злоумышленник может внести изменения в любую из записей на сайте, что при определенных условиях приведет к выполнению пpоизвольного кода.

По умолчанию в WordPress с версии 4.7 включен REST API, через который можно получать пoлные тексты статей, просматривать комментарии и узнавать лoгины пользователей.

Точка вxода в API - http://ВАШСАЙТ/wp­json/wp/v2/. Если на этой странице видите кипу текста, значит, он работает и открыт для злоумышленников. Посмотрев внимательно на JSON, можно заметить все роуты, методы и поля, которые можно использовать в запросе. Например, пройдя по пути /wp­json/wp/v2/users, можно увидеть весь список пользователей, которые зарегистрированные в вашем сайте, то есть админ и, если кто еще, также и его увидят..


Если вы не знаете что вообще у вас вордпресс творит чудеса, не надо знать, вы только расстроитесь от того, что вордпресс сейчас стал откровенно дырявым))))

Что такое wp-json

Цитата:
Это не вирус. Это прежде всего виртуальная директория для API REST для CMS Wordpress версии 4.4 и выше.

Так, разработчики wordpress внедряют в свое творение новый плагин для удобного доступа к данным Вашего сайта с помощью HTTP RESET API. Подробности Вы можете изучить на странице разработчика http://v2.wp-api.org/.
Читайте иначе, дистанционный доступ к вашему сайту для кого либо))


Похожие темы мною вам рекомендуется:
Нагрузка на вордпресс: как устранить и как снизить нагрузку на домен
Как взламывают вордпресс
Вернуться к началу

Поделиться в LiveJournal Поделиться в Liveinternet Blogger.com Поделиться на Tumblr Добавить в закладки i.ua Добавить в закладки в folkd Добавить в imgfave Пост! Добавить в xerpi

Мануал - как поделиться с друзьями в сетях - откроется в новой вкладке
администратор
администратор
Онлайн
Зарегистрирован: 2011-09-27
Рейтинг:
живет тут 4566 день
Сообщ.: 9375

Темы: 5105
Откуда Вы: Новая Усмань, Воронежская обл
Страна: russia.gif
Сообщение 11-Июн-18 10:37      #2  [дать ссылку]    
Вот тут владельцам движка вордпресса стоит почитать, чтобы знать о своем блоге и не совершать распространеннные ошибки начинающих и бывалых админов своих блогов. Как я описывал раньше случай в своих сайтах на вордпрессе, я сам испытал на себе взлом через уязвимость, пока не залатал дырки и вам не рассказал как это все сделать у себя и защитить себя снова.

Цитата:
26 января 2017 года, разработчики одной из популярнейших CMS в мире выпустили WordPress 4.7.2, сообщив, что в новой версии платформы был исправлен ряд проблем. Как выяснилось неделю спустя, релиз WordPress 4.7.2 устранил крайне серьезную уязвимость, связанную с повышением привилегий. В конце января 2017 года брешь обнаружили специалисты компании Sucuri, и они описывают ее как неавторизованную эскалацию привилегий через REST API. Уязвимости подвержены версии 4.7.0 и 4.7.1.

Тогда раскрытие данных об уязвимости сознательно отложили на неделю, чтобы как можно больше сайтов успели спокойно установить обновление, но, судя по всему, это не слишком помогло. Специалисты Sucuri сообщают, что первые попытки эксплуатации бага были замечены в тот же день, когда информация о проблеме была опубликована. В настоящий момент количество атак продолжает расти и уже превысило отметку 3000 дефейсов в день.

Напомню, что проблема позволяет неавторизованному атакующему сформировать специальный запрос, при помощи которого можно будет изменять и удалять содержимое любого поста на целевом сайте. Кроме того, используя шорткоды плагинов, злоумышленник может эксплуатировать и другие уязвимости CMS, которые обычно недоступны даже пользователям с высокими привилегиями. В итоге атакующий может внедрить на страницы сайта SEO-спам, рекламу, и даже исполняемый PHP-код, все зависит от доступных плагинов.


Сейчас нашел в своих блогах, на стороннем движке, на платформе гугл, старый свой домен. куда транслировался rss-канал для ускорения индексации. Увидел историю и вспомнил как это было))))

pic

Напомню вам. что следует сделать после прочтения этого поста:
1. зайти в мою тему Как взламывают вордпресс, внимательно прочитать мой опус и удалить у себя в блоге файл xmlrpc.php
2. старайтесь каждый раз не обновлять свой блог на вордпрессе, как бы у вас там не выводилась надпись в админке, что вышла новая версия
3. лично я никогда не обновляю плагины, даже если настойчиво просит вордпресс обновить, якобы для улучшения и дополнительных примочек плагина
4. учитесь следить за своим блогом. Для этого хотя бы раз в неделю смотрите логи запросов команд в ваш блог
5. если все работает, то не трогай ничего: не обновляй, не изменяй - это первое золотое правило владельца сайта. Помните об этом.

Лично я не успел увидеть как выглядит на взломанном сайте страница By Hawleri_hacker. Встречал только HaCkEd By Mohamed Riahi

Скриншот взят с другого моего домена: тиц10, посещалка около 300 в день, чисто хобби с ним, тематический сайт, темы публикуются раза 2-5 в месяц.
pic

_________________
Быть иным среди других сложно, но удивляя окружающих, можно быть Богом
Вернуться к началу

Поделиться в LiveJournal Поделиться в Liveinternet Blogger.com Поделиться на Tumblr Добавить в закладки i.ua Добавить в закладки в folkd Добавить в imgfave Пост! Добавить в xerpi

Мануал - как поделиться с друзьями в сетях - откроется в новой вкладке
Заголовок новой темы
Форум для новой темы
 
Страница 1 из 1
Показать сообщения:   
Как взламывают вордпресс: HaCkEd By Mohamed Riahi
Начать новую тему   Ответить на тему    forumroditeley.ru -> администратор -> вебмастеру Часовой пояс: GMT + 3

 

Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы можете скачивать файлы
Вход
Имя:    Пароль:      Автоматически входить при каждом посещении    


Наши сервисы

На правах рекламы

Анонимное голосование

Нравится

Форум родителей живет
Форум для подростков и приемных детей, для родителей школьников и усыновителей,
где опыт мам и пап важен для всех в общении.
Родительский сайт по разделам где есть статьи, по городам где общие интересы в эфире.
Социальная сеть родителей, бабушек и дедушек - это аудитория охвата по Грузии, Казахстану, Азербайджану, Молдова и стран СНГ

Все материалы сайта представлены только для ознакомления. При копировании материала ссылка на forumroditeley.ru обязательна!

sitemap     карта форума | Статистика визитов поисковых ботов | Выдача в поисковиках | слова | Мы в сетях

Написать админу

Яндекс.Метрика
Powered by phpBB © 2001, 2011 phpBB Group форум общения родителей ©27.09.2011-2024