¿Se puede piratear una Wordpress accediendo a un script PHP en el mismo servidor?

Navega tus respuestas
1

Nuestro sitio web de Wordpress fue hackeado. No pude encontrar nada inteligible a partir de mi limitada experiencia a partir de los registros limitados que proporciona mi hosting. Sin embargo, al buscar en los archivos FTP encontré un archivo post.php en la raíz y dos temas más. Nada extraño en la base de datos, ni un nuevo usuario. En el índice encontré la cadena "El silencio es dorado".

Pasé mi día leyendo sobre eso y parece uno de los ataques WP más clásicos.

El servidor aloja un directorio de la raíz donde hay un formulario alimentado por AppGini, que se basa en otro DB y se carga en un iframe en las páginas de Wordpress. Este formulario no está protegido por contraseña, sin embargo, AppGini se envía por protección predeterminada de la inyección de MySQL.

En su opinión, ¿podría este formulario ser la puerta para ingresar a la instalación de WP? ¿Es esto técnicamente posible? ¿O es un ataque de WordPress al 100%, independientemente de lo que esté al lado?

    
pregunta Fabio Ricci 31.03.2017 - 22:50
fuente

4 respuestas

0

Claro, si hay un script PHP que permite la ejecución de código, por ejemplo, mediante inyección de comandos, carga de archivos, etc., en el mismo servidor, un atacante puede usar eso para obtener acceso a la instalación de WordPress. Lo mismo es cierto para las vulnerabilidades de cruce de directorios. (Suponiendo que no tome ninguna medida para separar diferentes aplicaciones, como diferentes máquinas virtuales)

Si una secuencia de comandos separada contiene una inyección de SQL, eso también podría conducir al acceso a WordPress, dependiendo de la configuración de los permisos de la base de datos. Si el script está en el mismo dominio, XSS también podría ser explotado.

No estoy familiarizado con AppGini, y no sé qué tipo de formulario está utilizando, pero como es un tipo de herramienta de desarrollo / generación de código con una GUI de administración basada en navegador, cualquier formulario debería ser una contraseña protegido. No podemos decirle cómo obtuvo acceso un atacante (la respuesta de @K BHATT cubre los problemas más comunes), pero esto también parece ser un probable vector de ataque.

"Silence is golden" Los archivos index.php son de WordPress. No son un signo de nada, solo están allí para evitar la inclusión en el directorio.

    
respondido por el tim 01.04.2017 - 22:22
fuente
1

los puntos de entrada para el atacante pueden incluir: desactualizado: PHP, temas, complementos, contraseñas débiles, archivo php.ini mal configurado que puede provocar problemas. Compruebe si se ha pasado por alto alguno de estos.

    
respondido por el K BHATT 01.04.2017 - 11:36
fuente
0

La mejor práctica que se debe implementar es asegurarse de que su wordpress y sus complementos se actualicen periódicamente, prefiero verificar si hay actualizaciones cada 10 días. Dado el escenario, no parece que haya ningún exploit basado en APPgini disponible públicamente y mi conjetura sería una vulnerabilidad en los complementos que podrían haber sido instalados. También sugiero que si hay un número limitado de personas que acceden al panel, haga uso de un 2FA.

Llegando al punto, esto podría ser un exploit de plugin de wordpress. No se puede dar una conjetura exacta porque no sé qué complementos y qué versión se instaló en su wordpress. Pero sí, hay scripts php de shell inverso disponibles a través de los cuales se puede obtener un acceso de shell limitado.

    
respondido por el Dhruv Shah 01.04.2017 - 15:56
fuente
0

encontró el registro completo en otra publicación tuya.

Aquí está lo que leí:

La solicitud GET para los archivos wp-login.php desde 91.210.145.98 (Windows 10 64Bit, con probablemente Mozilla Firefox 50) es 200 200 = HTTP Statuscode = OK, lo que significa exitoso.

El POST de los datos de inicio de sesión fue exitoso. (Una cosa interesante es que no veo ningún signo de Bruteforce en el LOG que publicaste). El atacante ahora ha iniciado sesión correctamente (acceso a wp-admin)

El atacante abre el editor de temas. (/wp-admin/theme-editor.php) El Atacante comprueba si el Tema TwentyFourteen ya existe. (/wp-admin/theme-editor.php?file=404.php&theme=twentyfourteen)

El atacante abre la página para cargar un tema.

El atacante vincula un shell remoto de Wordpress al database.php del tema Gaukingo (Wordpress Shell Uploader \ gaukingo) y lo sube.

El atacante vincula un shell remoto de Wordpress al db.php del plugin de tres columnas de diseño de pantalla (three-column-screen-layout / db.php) y lo sube.

Comprueba si el archivo GET /wp-content/uploads/db.php ya existe pero obtiene un HTTP 404 que significa No encontrado. Él hace lo mismo con /wp-content/uploads/2017/23/db.php.

Emite una solicitud HEAD, lo que significa que solo recibe los datos del encabezado de la página de inicio, que es más rápido, por ejemplo, si desea recibir datos en un shell de Linux. Tal vez esté usando un Programa como Metasploit de ahora en adelante porque tiene más posibilidades de Exploradores (Mozilla / 5.0 (Windows NT 6.1) AppleWebKit / 537.36 (KHTML, como Gecko) Chrome / 45.0.2454.85 Safari / 537.36 OPR / 32.0.1948.45) - Se conecta a través de wp-login.php - Abre la página para subir un tema. - Comprueba si el boceto del tema ya está instalado aquí.

Después de leer el registro, creo que está tratando de usar una debilidad en los complementos y temas obsoletos pero aún instalados. Creo que es lo mejor para asegurar su Wordpress en el futuro como se sugiere en los Comentarios. 

[30/Mar/2017:13:52:56 +0100] "GET /wp-login.php HTTP/1.1" 200 2752 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" 91.210.145.98 - - 
[30/Mar/2017:13:52:57 +0100] "POST /wp-login.php HTTP/1.1" 302 1136 "http://*************.com.it/wp-login.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" 91.210.145.98 - - 
[30/Mar/2017:13:52:58 +0100] "GET /wp-admin/ HTTP/1.1" 200 62061 "http://*************.com.it/wp-login.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" 91.210.145.98 - - 

[30/Mar/2017:13:52:59 +0100] "GET /wp-admin/theme-editor.php HTTP/1.1" 200 38782 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" 91.210.145.98 - - 
[30/Mar/2017:13:53:00 +0100] "GET /wp-admin/theme-editor.php?file=404.php&theme=twentyfourteen HTTP/1.1" 500 3785 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" 91.210.145.98 - - 

[30/Mar/2017:13:53:01 +0100] "GET /wp-admin/theme-install.php?upload HTTP/1.1" 200 52466 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" 91.210.145.98 - - 
[30/Mar/2017:13:53:02 +0100] "POST /wp-admin/update.php?action=upload-theme HTTP/1.1" 200 31812 "*************.com.it/wp-admin/theme-install.php?upload" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" 91.210.145.98 - - 

[30/Mar/2017:13:53:07 +0100] "GET /wp-content/themes/F:\xc4\xee\xf0\xee\xe3\xee\xf1\xf2\xee\xff\xf9\xe8\xe5\MultiShell2\xf8\xe5\xeb\xeb\xfb\xcf\xee\xea\xf3\xef\xed\xee\xe9 \xf1\xee\xf4\xf2\uploader\Wordpress Shell Uploader\gaukingo/db.php HTTP/1.1" 404 51872 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" 91.210.145.98 - - 
[30/Mar/2017:13:53:08 +0100] "GET /wp-admin/plugin-install.php?tab=upload HTTP/1.1" 200 40682 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" 91.210.145.98 - - 

[30/Mar/2017:13:53:09 +0100] "POST /wp-admin/update.php?action=upload-plugin HTTP/1.1" 200 31541 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" 91.210.145.98 - - 
[30/Mar/2017:13:53:15 +0100] "GET /wp-content/plugins/F:\xc4\xee\xf0\xee\xe3\xee\xf1\xf2\xee\xff\xf9\xe8\xe5\MultiShell2\xf8\xe5\xeb\xeb\xfb\xcf\xee\xea\xf3\xef\xed\xee\xe9 \xf1\xee\xf4\xf2\uploader\Wordpress Shell Uploader\three-column-screen-layout/db.php HTTP/1.1" 404 51874 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" 91.210.145.98 - - 
[30/Mar/2017:13:53:16 +0100] "POST /wp-admin/update.php?action=upload-plugin HTTP/1.1" 200 31426 "*************.com.it/wp-admin/theme-install.php?tab=upload" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" 91.210.145.98 - - 

[30/Mar/2017:13:53:19 +0100] "GET /wp-content/uploads/db.php HTTP/1.1" 404 51729 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" 91.210.145.98 - - 
[30/Mar/2017:13:53:20 +0100] "GET /wp-content/uploads/2017/23/db.php HTTP/1.1" 404 51753 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0" 91.210.145.98 - - 

[30/Mar/2017:13:58:22 +0100] "HEAD /wp-login.php HTTP/1.1" 200 343 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85 Safari/537.36 OPR/32.0.1948.45" 91.210.145.98 - - 
[30/Mar/2017:13:58:23 +0100] "GET /wp-login.php HTTP/1.1" 200 2697 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85 Safari/537.36 OPR/32.0.1948.45" 91.210.145.98 - - 
[30/Mar/2017:13:58:23 +0100] "POST /wp-login.php HTTP/1.0" 302 1305 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85 Safari/537.36 OPR/32.0.1948.45" 91.210.145.98 - - 
[30/Mar/2017:13:58:24 +0100] "POST /wp-admin/ HTTP/1.0" 200 61984 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85 Safari/537.36 OPR/32.0.1948.45" 91.210.145.98 - - 
[30/Mar/2017:13:58:25 +0100] "GET /wp-admin/theme-install.php HTTP/1.1" 200 52420 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85 Safari/537.36 OPR/32.0.1948.45" 91.210.145.98 - - 
[30/Mar/2017:13:58:27 +0100] "POST /wp-admin/update.php?action=upload-theme HTTP/1.0" 200 32257 "http://*************.com.it/wp-admin/theme-install.php?upload" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85 Safari/537.36 OPR/32.0.1948.45" 91.210.145.98 - - 
[30/Mar/2017:13:58:33 +0100] "GET /wp-content/themes/sketch/404.php HTTP/1.1" 200 377 "http://*************.com.it/wp-admin/theme-install.php?upload" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85 Safari/537.36 OPR/32.0.1948.45"
    
respondido por el web_admin_2017 03.04.2017 - 18:06
fuente

Lea otras preguntas en las etiquetas

Almacenamiento de clave privada basado en la nube para usuarios Wireshark descifra y guarda paquetes inalámbricos desde la línea de comandos [cerrado]