- Home
- Categorie
- Coding e Sistemistica
- Hosting e Cloud
- File sconosciuto
-
Ho wordpress aggiornato con plugin aggiornati e senza plugin inutili, non so proprio a chi imputare questa mancanza di sicurezza.
-
Se dall'access_log hai visto che ti hanno inserito una shell dovresti anche vedere da che file hanno fatto l'exploit ergo puoi risalire ad un eventuale plugin incriminato.
-
Grazie vhosting per le risposte, ma in ordine cronologico c'è l'accesso alla pagina di login
184.164.xxx.xxx - - [16/Aug/2011:10:24:39 -0500] "POST /wp-login.php HTTP/1.1" 302 - "http://miosito.it/wp-login.php?redirect_to=http%3A%2F%2Fmiosito.it%2Fwp-admin%2F&reauth=1" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"
184.164.xxx.xxx - - [16/Aug/2011:10:24:42 -0500] "GET /wp-admin/load-styles.php?c=1&dir=ltr&load=dashboard,plugin-install,global,wp-admin&ver=8e77e2d8a0596495034b9c96abb95f68 HTTP/1.1" 200 18828 "http://miosito.it/wp-admin/" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"
184.164.xxx.xxx - - [16/Aug/2011:10:26:17 -0500] "GET /wp-content/plugins/akismet/akismet.css?ver=3.2.1 HTTP/1.1" 200 464 "http://miosito.it/wp-admin/plugin-install.php?tab=upload" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"
184.164.xxx.xxx - - [16/Aug/2011:10:26:33 -0500] "POST /wp-admin/update.php?action=upload-plugin HTTP/1.1" 200 24415 "http://miosito.it/wp-admin/plugin-install.php?tab=upload" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"
184.164.xxx.xxx - - [16/Aug/2011:10:28:47 -0500] "POST /wp-content/plugins/hello-dolly/hello.php?y=/home/miosito/public_html/&x=upload HTTP/1.1" 200 5292 "http://miosito.info/wp-content/plugins/hello-dolly/hello.php?y=/home/miosito/public_html/&x=upload" "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"
-
plugins/hello-dolly ....
-
Non l'ho mai avuto, quello di default l'ho cancellato dopo l'installazione di wp e il file php nella directory hello-dolly, hello.php era la shell. Credo che il tizio abbia uppato la shell nella directory plugins/hello-dolly e rinominato il file in hello.php per non farmene accorgere.
-
Hai letto il codice del file html?
-
Si, solita pagina di protesta contro gli infedeli etc...
-
Se ti può essere di aiuto, assicurati di avere l'ultima versione di Filezilla (se lo usi) e prova ad installare i plugin: Exploit Scanner e Theme Authenticity Checker (TAC).
-
Ho utilizzato il cmd grep tramite cron per cercare tutti i file che usano passthru|shell_exec|system|phpinfo|base64_decode|chmod|mkdir|fopen|fclose|readfile .
-
Hai trovato qualcosa?
-
No, niente di malevole, purtroppo mi sono accorto che il tizio è entrato dalla porta principale,cioè da wp-login e poi con il form di update ha caricato la shell.
Ancora però non sono riuscito a capire come sia venuto a conoscenza dell'username e della password.
-
Un consiglio che ti posso dare e che sicuramente avrai già applicato, cambia tutte le pass compreso il pannello Hosting.
-
GRazie per il consiglio, mi mancava solo quella dell'hosting.
