Wordpress Saldırısı - Sayfa 4

25-12-2012, 17:33:32

#28

Kimlik doğrulama veya yönetimden onay bekliyor.

Olay kaldırılmasında değil çünkü. Temalarda yer alan .php dosyaları aynı şekilde tekrar üretebiliyor. .phplere müdahale edemeyeceğinden dolayı da sürekli döngü halinde üretim yapıyor.

25-12-2012, 18:02:08

#29

Coşkun Çetin

Administrator

sunucuda php üzerinden email gönderimini kapatsanızda sonuçta mail kuyruğunda bekliyor emailler. kaynak tüketimine sebep oluyor. Bu sıkıntıyı yaşatan siteleri askıya alıp sahiplerine sitelerini güncellemelerini söyleyebilirsiniz eğer tekrarlanırsa tema dosyalarındada sıkıntı olabilir.

25-12-2012, 18:22:20

#30

SayfaNet

/home için nosuid, /tmp için nosuid ve noexec ile mount edilmeli.

ardından perl çalışmaz.

php için ise localhostun exim e bağlanmasını exim.conf dan engelleyebilirsiniz. webmailler de çalışmaz, php mail scriptleri de.

25-12-2012, 18:30:45

#31

Coşkun Çetin

Administrator

SayfaNet adlı üyeden alıntı: mesajı görüntüle

/home için nosuid, /tmp için nosuid ve noexec ile mount edilmeli.

ardından perl çalışmaz.

php için ise localhostun exim e bağlanmasını exim.conf dan engelleyebilirsiniz. webmailler de çalışmaz, php mail scriptleri de.

Sunucularda perl çalışmıyor zaten. Şuanda yaşanılan bu olayında perl ile herhangi bir alakası yok.
WordPress'in yada eklenti ve temalarında bulunan açıklarından dolayı .php upload ediyorlar bu php'ler üzerinden spam email çıkışı yapıyorlar. Sunucu kaynaklı değil tamamen wordpress kaynaklı bir sıkıntı mevcut.

26-12-2012, 00:07:41

#32

SayfaNet

Coşkun adlı üyeden alıntı: mesajı görüntüle

Sunucularda perl çalışmıyor zaten. Şuanda yaşanılan bu olayında perl ile herhangi bir alakası yok.
WordPress'in yada eklenti ve temalarında bulunan açıklarından dolayı .php upload ediyorlar bu php'ler üzerinden spam email çıkışı yapıyorlar. Sunucu kaynaklı değil tamamen wordpress kaynaklı bir sıkıntı mevcut.

farzedelim ki shell scripti ile perl dosyası yüklediler

26-12-2012, 01:11:10

#33

PROOYUN

Kimlik doğrulama veya yönetimden onay bekliyor.

http://www.exploit-db.com/exploits/23651
http://www.exploit-db.com/exploits/23652

İncelemenizde fayda var.

26-12-2012, 04:26:01

#34

BurakH

SayfaNet adlı üyeden alıntı: mesajı görüntüle

farzedelim ki shell scripti ile perl dosyası yüklediler

Engin Bey perl dosyası çalışmadıktan sonra FTP'yi verip yüklesinler ne farkeder ki ? Coşkun Bey'in belirtiği gibi Wordpress kaynaklı durumdan öte sunucuda perl komutları çalışmamasına rağmen 150bin mail gönderimi sıraya girmişti dün gece bir anda.

MahsumCelik adlı üyeden alıntı: mesajı görüntüle

var cxs sami ama kaldırmadı nasıl oldu anlamadım

CXS; LiteSpeed, Nginx gibi web serverlar da tam işlevsel çalışmıyor ve CXS exploit radarlarını çok sık ara ile geliştirmiyorlar. Hatta adamlar fırsattan istifade işi gücü bırakıp Noel'e tatiline çıkmışlar, böyle bir durumdan haberdar olacaklarını sanmıyorum da.

26-12-2012, 06:13:53

#35

S4l1h

Kimlik doğrulama veya yönetimden onay bekliyor.

Büyük ihtimal timthumb exploitidir.
Fakat loglara bakıp açığın ne olduğunu bulmak lazım.Daha sonra mod security'den kural tanımlanır.
Tarama yapan ip adreslerini banlamak.
Taramalar çin'den yapılıyorsa ülke bloklamak.(Subnet'i iptables ile banlamak)
Müşterileri wordpress,tema ve plugin sürüm yükseltmeleri için uyarmak.
Bunlar geçici olarak problemleri çözer.
Tabi hali hazırda sunucuda backdoor varmı taramakta gerekir.
Özellikle spam mailler başa çok büyük bela ip adresini black list'ten çıkarmak ızdırap.

26-12-2012, 10:58:34

#36

JustRulz

Kimlik doğrulama veya yönetimden onay bekliyor.

JustRulz adlı üyeden alıntı: mesajı görüntüle

http://wordpress.org/extend/plugins/...ility-scanner/ şu plugini mevcut saldiri alan kullanicilarinidan birine kurup deneyebilirmisiniz.tarama sonucunda vulnerable olan dosyayi yine bu plugin ile uprage edebilirsiniz.

Şu plugini denememekte neden ısrar ediyorsunuz anlamıyorum : =)