Cambio de DNS en registros MX en un sitio de Wordpress

Navega tus respuestas
1

Mantengo qtechtheory.org, el sitio web de mi grupo de investigación, que ejecuta Wordpress y está alojado en BlueHost. Aunque hemos recibido inyecciones de PHP durante varias semanas, he mantenido el sitio en vivo ya que no contiene información confidencial, y me ha interesado encontrar la vulnerabilidad.

Ahora, Wordfence informa "un cambio en los registros del servidor de correo electrónico (MX) de su configuración de DNS". Supongo que esto significa que están intentando redirigir qtechtheory.org a su propio sitio, o interceptar / falsificar correos electrónicos a / desde nuestro dominio. Los nuevos registros tienen un dominio en blanco.

Por lo tanto, mis preguntas son

  • ¿Qué pueden hacer exactamente ahora?
  • ¿Cuánto 'acceso' debe haber tenido para efectuar este cambio? ¿Podría ese acceso realmente ser elevado desde la inyección de PHP en, por ejemplo, algunos plugin?
  • ¿Puedo revertir este cambio sin tener que volver a crear el sitio? De lo contrario, ¿se trata de un cambio que persistiría si restaurara una copia de seguridad del sitio?
  • ¿Esto indica un problema que no puedo solucionar al eliminar / recrear el sitio de wordpress y que tendré que tratar con BlueHost?

Finalmente, ¿hay algún consejo para encontrar la vulnerabilidad para no volver a crearla? Uso alrededor de 13 complementos, que son demasiados para analizarlos.

EDIT

Encontré una cuenta de SSH de la que no estaba seguro de la función, llamada 'ss-a76cde51202b8a78'. Lo borré después de descubrirlo en el registro de acceso de FTP: 

/home2/ldjovumy/public_html/MMprobe-3et5u.php b _ i r [email protected] ftp 1 * c

(nota que no pude encontrar MMprobe-3et5u.php ). El comando fue de IP 52.10.88.182, el mismo reportado en estos ataques . Supongo que eso responde a quién lo hizo.

¡Gracias por la ayuda!

    
pregunta Anti Earth 20.09.2018 - 11:24
fuente

1 respuesta

1

Es muy poco probable que se hayan producido cambios en los registros MX debido a un ataque en el sitio de WordPress, con la excepción de que si su DNS se ejecuta en el mismo servidor, podría ser posible. Esa no sería una configuración típica: si compró un nombre de dominio, es más común que los registros DNS estén asociados con la infraestructura de ese proveedor, incluso si lo compró en el mismo proveedor que aloja el sitio.

Teniendo en cuenta esto, es probable que los cambios no autorizados en los registros de DNS hayan resultado de la cuenta con el proveedor de alojamiento comprometido, en lugar del sitio en sí. Por lo tanto, aconsejo ver si es posible que la cuenta del proveedor haya sido comprometida y, como no sería extraño, si el proveedor ha realizado algunas actualizaciones en su entorno de correo que requieren cambios en los registros MX.

Suponiendo que los cambios son maliciosos, los atacantes podrían controlar dónde se envió realmente el correo electrónico enviado a las direcciones del dominio. Por lo general, no les importa la mayor parte del correo a la mayoría de las bandejas de entrada, pero están interesados en los correos de restablecimiento de contraseñas para cuentas más valiosas, material que podría ser comercialmente sensible o material que podría usarse para fines de chantaje.

Es posible que los detalles de acceso a su cuenta de proveedor estuvieran disponibles en el entorno de Wordpress: si se compartieron con una conexión FTP o un servidor de correo, por ejemplo. Si ese fuera el caso, el compromiso del sitio podría estar vinculado, pero es igualmente posible que el proveedor de alojamiento se haya visto comprometido, o que la cuenta haya utilizado una contraseña que pueda adivinar, y tuvieron suerte.

Este cambio se mantendría a través de la restauración del sitio, los cambios de PHP o incluso un cambio de formato completo del servidor (salvo la excepción anterior), ya que no está en ese servidor. Los registros de DNS apuntan al servidor web y al servidor de correo, pero estos pueden ser de proveedores completamente no relacionados.

Tendrá que tratar con cualquier compañía que ejecute sus registros DNS. Por lo general, esta es la compañía a la que le compró el dominio, a menos que haya cambiado específicamente a un servicio de terceros. Si has cambiado, ese proveedor será el

    
respondido por el Matthew 20.09.2018 - 12:40
fuente

Lea otras preguntas en las etiquetas

Puntuación de impacto CVSS3.0 y explotabilidad ¿Puede alguien resaltar la diferencia clave entre la inyección CRLF, la división de respuesta HTTP y la inyección de encabezado HTTP?