ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
24.10.2015, 21:01
|
|
Участник форума
Регистрация: 10.05.2015
Сообщений: 251
Провел на форуме:
98300
Репутация:
31
|
|
Меня тут недавно попросили выкурить одного злобного хацкера,который орудует на сайте уже несколько недель. Сайтов на хостинге всего 2, один на WP, второй на October CMS (я его просканил, дырок не нашел).
Полез смотреть логи, нашел кучу интересных запросов. Какой-то тип сидящий с левых IP, постоянно ломится на админ панель WP, и по всей видимости успешно. WordPress обновленный, свежайшая версия..
Пораскинув мозгами, я решил дать права только на чтение на все директории, кроме upload'овых. Но ведь эти права легко вернуть обратно, поэтому я вырубил поддержку внешних команд. Потом решил так-же в disable functions добавить unlink (удаление файлов), т.е загрузить сможет, а вот удалить нет.
Disable-Functions у меня получился таким:
Сообщение от None
popen,exec,system,passthru,proc_open,shell_exec,sh ow_source,phpinfo,unlink,rmdir,chmod,fileperms,uma sk,chown,chgrp
На следующий день захожу посмотреть как там дела, и вижу полные права в корневой каталог, а в нем 3 пустых файла: temp-write-file, видимо удалить эти файлы не смогли. Полез смотреть логи, вижу что опять зашли в этот несчастный WP и залились через wp-cron.php. Только вот как они сменили права на папку, так я и не вьехал. Может есть альтернативная команда в PHP которой можно поменять права?
P.S "Да не тупи, поменяй пассворд на WP и все будет пучком" -- это не вариат( |
|
|
25.10.2015, 06:23
|
|
Участник форума
Регистрация: 22.07.2011
Сообщений: 229
Провел на форуме:
55143
Репутация:
0
|
|
Права 777 только на папки upload и тп. В них файл .htaccess для запрета исполнения php и тп. Посмотрите нет ли удаленного подключения к MySQL. Не запрятан ли бекдор? Да, а не залились ли к вам через соседей?(рутнули хостера)
|
|
|
|
25.10.2015, 06:24
|
|
Участник форума
Регистрация: 22.07.2011
Сообщений: 229
Провел на форуме:
55143
Репутация:
0
|
|
+ сменить url к админ панели и как вариант авторизация только с вашего ip
|
|
|
|
25.10.2015, 11:34
|
|
Banned
Регистрация: 21.11.2007
Сообщений: 181
Провел на форуме:
1066435
Репутация:
1013
|
|
может там вообще рут на сервере?
|
|
|
|
25.10.2015, 13:13
|
|
Участник форума
Регистрация: 10.05.2015
Сообщений: 251
Провел на форуме:
98300
Репутация:
31
|
|
Сообщение от ol1ver
↑
+ сменить url к админ панели и как вариант авторизация только с вашего ip
Сообщение от yarbabin
↑
может там вообще рут на сервере?
IP сменил, жду резултатов Ну а вот по поводу рута не уверен, файлы то удалить не получилось, значит действовал средствами PHP. Обычно этот тип как что-то сделал, все удалял, никаких следов, а здесь файлы оставил. Где то в недрах есть альтернатива chmod.. Например, вот если взять файловый менеджер от хостера, если нету прав, а ты туда чего-то хочешь загрузить он их подтягивает до 0750.
|
|
|
|
25.10.2015, 14:03
|
|
Участник форума
Регистрация: 22.07.2011
Сообщений: 229
Провел на форуме:
55143
Репутация:
0
|
|
как вариант бага может быть в плагинах wp, банальный брут. Доп. авторизацию поставьте еще на странице авторизации админа.
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
