A mai nap folyamán, néhány óra leforgása alatt több tucat weboldalt ért támadás az ismerettségi körömben. Gyorsan elkezdtem információt gyűjteni. A támadás célja elsősorban a megtámadott honlapok látogatói forgalmának elterelése kamu, veszélyes reklámoldalakra és egy hátsó kapu nyitása, egy új adminisztrátor hozzáadása után. Az Easy WP SMTP egy igen népszerű WordPress bővítmény. Sajnos azonban tartalmaz egy hibát az 1.3.9-es verzió, melymek sebezhetőségét kihasználva a támadó az adatbázishoz hozzá tudnak férni és azt módosítani.

Az Easy WP SMTP sérülékenységére Március közepén derült fény, miután sorra jelentek meg a támadásokról szóló jelentések. Hazánkban 20. este jelentek meg sorra az információk feltört honlapokról. Ismerettségi körömben is sorra jelentkeztek a jelzések, hogy gond van. Azon ügyfeleim részére akiknél üzemeltetem a honlapjukat, az információk megjelenése utáni órákban ellenőriztem a honlapokat és néhány esetében gyorsan helyre is állítottam a támadók okozta módosításokat. (Köszönhetően, hogy több honlap esetében már fenn volt az 1.3.9.1-es plugin verziója, amivel így meg lett előzve a baj.) Azonban sokan nem voltak felkészülve és valószínűleg

Komoly sérülékenység az Easy WP SMTP bővítményben - easy-wp-smtp

Hogyan ismerhetem fel a támadást

A támadás sorozat esetében a legtöbb alkalommal a kezdőlap kivételével minden egyéb oldal forgalmát és a belépő oldalét is átirányították egy idegen url címre, ahol veszélyes kódok és kamu hirdetések voltak. Ezen felül létrehoztak egy devidpentesting99 nevű, devidpentesting@yandex.ru -s email című adminisztrátor felhasználót.

Hogyan oldhatjuk meg, mit kell tenni

  • FTP-n csatlakozz fel a tárhelyre, vagy tárhely adminon nyisd meg a wp-config.php fájlt
  • A define(‘WP_DEBUG’, false); sor után szúrd be az alábbi két sort, de ügyelj rá, hogy http vagy https kell-e! Amennyiben mappában van a WordPress oldalad, akkor a .hu/mappaneve is kell még. Ha megvagy mentsd el a fájlt.
define( 'WP_HOME', 'http://domaincimed.hu' );
define( 'WP_SITEURL', 'http://domaincimed.hu' );
  • Ezután már be fogsz tudni lépni az adminba.
  • Frissíteni kell az Easy WP SMTP bővítményt (minimum az 1.3.9.1-es verzióra)
  • Az adatbázisban, a …_options tábla site_url és home_url sorának értékeit ellenőrizni kell.
  • Ellenőrizni kell, hogy van-e olyan új felhasználó, aki adminisztrátor vagy más nem megfelelő jogosultsággal rendelkezik és ha igen, törölni kell.
  • Meg kell változtatni az smtp-ben használt levélfiók jelszavát.
  • Az összes szerkesztő, adminisztrátornak tanácsos jelszót cserélnie.
  • Az adminban, beállítások / általános részen ellenőrizni kell, az alapértelmezett felhasználói jogosultságot.
  • Nem árt FTP-n letölteni az összes fájlt és víruskeresővel ellenőriztetni.

Hogyan védekezhetünk

Repüljünk el a Holdra. Sajnos a hackerek mindig találni fognak valami támadási pontot. Az alábbi kis listában összeszedtem néhány lehetőséget, amivel csökkenthetjük az esélyét a hasonló támadásoknak és minimalizálhatjuk az ilyenkor minket érő károkat.

  1. WordPress biztonság növelése cikkemben jó néhány praktikát és infót összeszedtem.
  2. Mindig legyen biztonsági mentésünk (Ilyenkor 1 nappal korábbi dátumra vissza lehet állni kisebb oldalak esetében és úgy elvégezni a szükséges megelelőző lépéseket.)
  3. Érdemes lehet honlapunk üzemeltetését szakemberre bízni, aki gyorsan és szakszerűen tud reagálni a helyzetre.

 

Akit a pontosabb részletek érdeklik, azok itt vagy itt tudhatnak meg többet a hibáról.

  • Facebook
  • Twitter
  • LinkedIn
  • Google+