Intrusión de alto riesgo detectada

Navega tus respuestas
0

Tengo una protección de punto final de Symantec. Recientemente, he estado recibiendo muchos correos electrónicos de alerta en la nube de Symantec. 

wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

Han estado atacando un dominio aleatorio que está alojado en mi servidor. La mayoría de mi sitio web utiliza un marco basado en .NET, solo unos pocos sitios funcionan con Wordpress. Y todos los de Wordpress no usan este complemento revslider_show_image .

No conozco la definición de este ataque (¿quizás DoS?), pero me gustaría recibir algunos consejos sobre cómo solucionar estos problemas.

Actualmente, solo bloqueo la dirección IP utilizando este método , pero no estoy seguro de que ayude.

Esta es una respuesta de Symantec, que realmente no ayuda mucho:

  

Verás que muchas de estas URL terminan con "../wp-config.php" . Esta   parece ser un exploit de Wordpress de algún tipo.

     

Creo que deberías tomar las siguientes acciones:

     

  • Realice un análisis completo en cada máquina y envíe los resultados a nuestro sitio enlace

    •   

  • Si está utilizando Wordpress, eche un vistazo a estos artículos:

         
    •   
    
pregunta user2056901 16.09.2014 - 04:21
fuente

1 respuesta

3

Lo que estás viendo es un sondeo automático de los agujeros de seguridad en tu sitio web. Actualmente, los ataques que intentan recuperar el contenido de wp-config.php son la gran cosa; otros objetivos populares son phpMyAdmin y php-cgi.

Para pruebas como estas, es vulnerable (y probablemente ya haya sido atacado con éxito) o no es vulnerable (y no tiene nada de qué preocuparse). En su caso, ya que no está ejecutando "revslider_show_image", usted cae en el grupo "no vulnerable".

Puede bloquear las direcciones IP de las que provienen las sondas, pero no servirá de mucho: las computadoras involucradas son casi seguramente parte de una red de bots, y el verdadero atacante tiene decenas de miles de estas máquinas para trabajar. Lo mejor que puedes hacer es eliminar el software innecesario y asegurarte de que el resto esté actualizado.

    
respondido por el Mark 16.09.2014 - 04:54
fuente

Lea otras preguntas en las etiquetas

Cifrar pdf por el servidor para evitar la impresión y copia pez volador de fuerza bruta