WooCommerce sitelere atak denemesi mi var?

18-05-2022, 11:50:36

Merhaba arkadaşlar,

Bir süredir 2 ayrı WordPress-WooCommerce sitemde "/my-account/add-payment-method/" bağlantısına yoğun ziyaret alıyorum. Sizde de benzer bir durum var mı, almamız gereken bir aksiyon var mı merak ediyorum.

18-05-2022, 11:53:12

#2

sezgin

Ödeme yöntemi eklemekle ilgili bir eklenti ve bunda bi açık varsa. Sistemdeki kayıtlı kartları çekmek için birşeyler deniyor olabilirler.
Eğer site türkçe ise, my-account sayfasının slug'ını "hesabım" yapın. Üye olma ekranınada google captcha yerleştirin.

18-05-2022, 11:55:34

#3

Gutenberg

sezgin adlı üyeden alıntı: mesajı görüntüle

Ödeme yöntemi eklemekle ilgili bir eklenti ve bunda bi açık varsa. Sistemdeki kayıtlı kartları çekmek için birşeyler deniyor olabilirler.
Eğer site türkçe ise, my-account sayfasının slug'ını "hesabım" yapın. Üye olma ekranınada google captcha yerleştirin.

Sitelerin her ikisi de İngilizce. Captcha deneyeyim. Site içinde kart bilgisi kaydedilmiyor, Stripe ile alıyorum ödemeleri

18-05-2022, 11:58:37

#4

sezgin

Gutenberg adlı üyeden alıntı: mesajı görüntüle

Sitelerin her ikisi de İngilizce. Captcha deneyeyim. Site içinde kart bilgisi kaydedilmiyor, Stripe ile alıyorum ödemeleri

İngilizce aradığımda tek olmadığını görüyorum hocam

https://wordpress.org/support/topic/...ayment-method/

18-05-2022, 12:01:07

#5

alemburda

cloudflare ekleyin hiç olmazsa çok fazla aynı ipden gelen istekleri sorgudan geçirir.

18-05-2022, 12:01:34

#6

Gutenberg

sezgin adlı üyeden alıntı: mesajı görüntüle

İngilizce aradığımda tek olmadığını görüyorum hocam

https://wordpress.org/support/topic/...ayment-method/

Evet siz bunu yazınca ben de bir bakayım dedim, aynı şikayet Reddit'te de varmış. Bir süre CloudFlare kullansam faydası olur mu acep

---

alemburda adlı üyeden alıntı: mesajı görüntüle

cloudflare ekleyin hiç olmazsa çok fazla aynı ipden gelen istekleri sorgudan geçirir.

Geçeyim bir süre CF'ye bakalım nasıl değişiklik olacak. Ayrıca Stripe üzerinden bakınca website kaynaklı olmayan birçok ödeme girişimi görüyorum. Normalde hatalı ödeme denemelerinde sipariş numarası da yazar ama ödeme ID yazıyor sadece.

İlk önce Stripe üzerinden yeni bir API Key oluşturup, sonra CF etkinleştireceğim.

18-05-2022, 12:15:04

#7

IWS

default link yapısı ile index aldıysa bunu google üzerinden aratıp saldırı yapıyorlardır.

Yüksek ihtimal ile bir eklentide açık var. Bu eklentinin sizde olup olmadığını test ediyorlardır. Ya ücretsiz ürün çekmek için yada eklentinin bıraktığı açık ile kayıtlı kart varsa çekmek için.

Tavsiyem odur ki ilk olarak my-account default linki account gibi default olmayan bir url ile değiştirin sonrasında sayfası google indexe kapatın.
Cloudflare kurarak sürekli aynı ip den gelen saldırıyı önleyebililirsiniz.
Htaccess ile aşağıdaki kodlar ile biraz daha olası girişlerin önüne geçebilirsiniz.

#htaccess erişim engelleme
<Files .htaccess>
Order Allow,Deny
Deny from all
</Files>
#wp-config erişim engelleme
<Files wp-config.php>
Order Deny,Allow
Deny from all
</Files>
#dosya listeme engeli
Options All -Indexes
#sunucu imzası kaldır
ServerSignature Off
#XmlRPC erişim engellemek
<Files xmlrpc.php>
Order allow,deny
Deny from all
</Files>
#log erişim engellemek
<FilesMatch "(error.log)">
Order deny,allow
Deny from all
</FilesMatch>

Bu lattaki kodları da eklediğinizde sitenizi kontrol edin bozulma vs olursa geri silin.
RewriteEngine On
RewriteCond %{REQUEST_URI} .*((php|my)?shell|remview.*|phpremoteview.*|sshphp .*|pcom|nstview.*|c99|r57|webadmin.*|phpget.*|phpw riter.*|fileditor.*|locus7.*|storm7.*).(p?s?x?htm? l?|txt|aspx?|cfml?|cgi|pl|php[3-9]{0,1}|jsp?|sql|xml) [NC,OR] RewriteCond %{REQUEST_METHOD} (GET|POST) [NC] RewriteCond %{QUERY_STRING} ^(.*)=/home(.+)?/loginftp/(.*)$ [OR] RewriteCond %{QUERY_STRING} ^work_dir=.*$ [OR] RewriteCond %{QUERY_STRING} ^command=.*&output.*$ [OR] RewriteCond %{QUERY_STRING} ^nts_[a-z0-9_]{0,10}=.*$ [OR] RewriteCond %{QUERY_STRING} ^(.*)cmd=.*$ [OR]
## BU KURALA DIKKAT EDIN SITENIZIN CALISMASINI ENGELLEYEBILIR##
RewriteCond %{QUERY_STRING} ^c=(t|setup|codes)$ [OR] RewriteCond %{QUERY_STRING} ^act=((about|cmd|selfremove|chbd|trojan|backc|mass browsersploit|exploits|grablogins|upload.*)|((chmo d|f)&f=.*))$ [OR] RewriteCond %{QUERY_STRING} ^act=(ls|search|fsbuff|encoder|tools|processes|ftp quickbrute|security|sql|eval|update|feedback|cmd|g ofile|mkfile)&d=.*$ [OR] RewriteCond %{QUERY_STRING} ^&?c=(l?v?i?&d=|v&fnot=|setup&ref=|l&r=|d&d=|tree& d|t&d=|e&d=|i&d=|codes|md5crack).*$ [OR] RewriteCond %{QUERY_STRING} ^(.*)([-_a-z]{1,15})=(ls|cd|cat|rm|mv|vim|chmod|chdir|mkdir|rmd ir|pwd|clear|whoami|uname|tar|zip|unzip|tar|gzip|g unzip|grep|more|ln|umask|telnet|ssh|ftp|head|tail| which|mkmode|touch|logname|edit_file|search_text|f ind_text|php_eval|download_file|ftp_file_down|ftp_ file_up|ftp_brute|mail_file|mysql|mysql_dump|db_qu ery)([^a-zA-Z0-9].+)*$ [OR] RewriteCond %{QUERY_STRING} ^(.*)(wget|shell_exec|passthru|system|exec|popen|p roc_open)(.*)$

18-05-2022, 12:37:41

#8

Gutenberg

Çok teşekkürler, şimdilik CloudFlare'a geçtim ve my-account url düzenleyeceğim.

Apache yok bende. Panelsiz sunucuda NGINX + PHP + MariaDB kullanıyorum, bu yüzden .htaccess kullanamıyorum.

iws adlı üyeden alıntı: mesajı görüntüle

default link yapısı ile index aldıysa bunu google üzerinden aratıp saldırı yapıyorlardır.

Yüksek ihtimal ile bir eklentide açık var. Bu eklentinin sizde olup olmadığını test ediyorlardır. Ya ücretsiz ürün çekmek için yada eklentinin bıraktığı açık ile kayıtlı kart varsa çekmek için.

Tavsiyem odur ki ilk olarak my-account default linki account gibi default olmayan bir url ile değiştirin sonrasında sayfası google indexe kapatın.
Cloudflare kurarak sürekli aynı ip den gelen saldırıyı önleyebililirsiniz.
Htaccess ile aşağıdaki kodlar ile biraz daha olası girişlerin önüne geçebilirsiniz.

#htaccess erişim engelleme
<Files .htaccess>
Order Allow,Deny
Deny from all
</Files>
#wp-config erişim engelleme
<Files wp-config.php>
Order Deny,Allow
Deny from all
</Files>
#dosya listeme engeli
Options All -Indexes
#sunucu imzası kaldır
ServerSignature Off
#XmlRPC erişim engellemek
<Files xmlrpc.php>
Order allow,deny
Deny from all
</Files>
#log erişim engellemek
<FilesMatch "(error.log)">
Order deny,allow
Deny from all
</FilesMatch>

Bu lattaki kodları da eklediğinizde sitenizi kontrol edin bozulma vs olursa geri silin.
RewriteEngine On
RewriteCond %{REQUEST_URI} .*((php|my)?shell|remview.*|phpremoteview.*|sshphp .*|pcom|nstview.*|c99|r57|webadmin.*|phpget.*|phpw riter.*|fileditor.*|locus7.*|storm7.*).(p?s?x?htm? l?|txt|aspx?|cfml?|cgi|pl|php[3-9]{0,1}|jsp?|sql|xml) [NC,OR] RewriteCond %{REQUEST_METHOD} (GET|POST) [NC] RewriteCond %{QUERY_STRING} ^(.*)=/home(.+)?/loginftp/(.*)$ [OR] RewriteCond %{QUERY_STRING} ^work_dir=.*$ [OR] RewriteCond %{QUERY_STRING} ^command=.*&output.*$ [OR] RewriteCond %{QUERY_STRING} ^nts_[a-z0-9_]{0,10}=.*$ [OR] RewriteCond %{QUERY_STRING} ^(.*)cmd=.*$ [OR]
## BU KURALA DIKKAT EDIN SITENIZIN CALISMASINI ENGELLEYEBILIR##
RewriteCond %{QUERY_STRING} ^c=(t|setup|codes)$ [OR] RewriteCond %{QUERY_STRING} ^act=((about|cmd|selfremove|chbd|trojan|backc|mass browsersploit|exploits|grablogins|upload.*)|((chmo d|f)&f=.*))$ [OR] RewriteCond %{QUERY_STRING} ^act=(ls|search|fsbuff|encoder|tools|processes|ftp quickbrute|security|sql|eval|update|feedback|cmd|g ofile|mkfile)&d=.*$ [OR] RewriteCond %{QUERY_STRING} ^&?c=(l?v?i?&d=|v&fnot=|setup&ref=|l&r=|d&d=|tree& d|t&d=|e&d=|i&d=|codes|md5crack).*$ [OR] RewriteCond %{QUERY_STRING} ^(.*)([-_a-z]{1,15})=(ls|cd|cat|rm|mv|vim|chmod|chdir|mkdir|rmd ir|pwd|clear|whoami|uname|tar|zip|unzip|tar|gzip|g unzip|grep|more|ln|umask|telnet|ssh|ftp|head|tail| which|mkmode|touch|logname|edit_file|search_text|f ind_text|php_eval|download_file|ftp_file_down|ftp_ file_up|ftp_brute|mail_file|mysql|mysql_dump|db_qu ery)([^a-zA-Z0-9].+)*$ [OR] RewriteCond %{QUERY_STRING} ^(.*)(wget|shell_exec|passthru|system|exec|popen|p roc_open)(.*)$