Mudanças entre as edições de "Segurança no wordpress"
(Criou página com 'Helo command rejected: need fully-qualified hostname não usar wp_ como prefixo http://www.websitedefender.com/wordpress-security/wordpress-database-security-tables-prefix/ ...') |
(→wpscan) |
||
(12 revisões intermediárias pelo mesmo usuário não estão sendo mostradas) | |||
Linha 1: | Linha 1: | ||
− | + | A idéia desse artigo é documentar uns procedimentos usados para limpar um projeto em wordpress infetados por malware. esses malwares redirecionamas paginas e posts para sites de terceiros com vírus e conteúdo pornográfico e o site acaba sendo bloqueado pelos sistemas de buscam. as soluções abaixam buscam solucionar vunelrabilidades que rôbos e atacker utilizam para identificar vulnerabilidades e explora-las para obter acesso ao site e usar para ações criminosas. esses malware acabam infectado outros sites que estejam no mesmo home, mesmo não sendo um wordpress. | |
+ | * tenha uma pasta com todos os plugins, temas e versão do wordpress em utilização; | ||
+ | * remova todos os plugins e temas sem utilização; | ||
+ | * faça backup diário do banco de dados, uma dica é utilizao o AutoMySQLBackup; | ||
+ | * não usar wp_ como prefixo; | ||
+ | * trocar a senha do banco de dados (com 12 caracteres e que tenha letras em maisculo e minusculo, numeros e caracter especial); | ||
+ | * usar senhas fortes no usuário wordpress (seguir a mesma orientação de complexidade de senha citado acima) | ||
+ | * não ter usuário admin no sistema (é possivel alterar o usuário diretamente da linha de comando do mysql ou via phpmyadmin); | ||
+ | * remover a linha <meta name="generator" content="WordPress <?php bloginfo('version'); ?>" do arquivo header.php do tema; | ||
+ | * ajustar as permissões de pastas e arquivos; | ||
+ | * atualizar o timthumb.php (redimensionador de imagens usados e vários temas e suas versões antigas permite vários tipos de ataques) | ||
− | |||
− | |||
+ | == wpscan == | ||
+ | é um software usado para explorar vulnerabilidades em sites feitos em wordpress... a partir de coleta de informações | ||
+ | * http://wpscan.org/ | ||
− | + | == remover o arquivo readme.html == | |
− | + | <source lang="bash"> | |
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
rm readme.html | rm readme.html | ||
+ | </source> | ||
− | + | == ajuste nas permissões de arquivos e pastas == | |
+ | <source lang="bash"> | ||
touch .htaccess | touch .htaccess | ||
touch wp-admin/.htaccess | touch wp-admin/.htaccess | ||
+ | chown -R www-data.www-data . | ||
+ | find ./ -type d -exec chmod 755 {} \; | ||
+ | find ./ -type f -exec chmod 644 {} \; | ||
chmod 0600 wp-admin/.htaccess | chmod 0600 wp-admin/.htaccess | ||
chmod 0600 wp-config.php | chmod 0600 wp-config.php | ||
Linha 39: | Linha 41: | ||
chmod 0700 wp-includes | chmod 0700 wp-includes | ||
chmod 0700 $PWD | chmod 0700 $PWD | ||
+ | </source> | ||
− | + | == limpando malware - parte 1 == | |
+ | buscando e removendo arquivos diferentes e que são malware | ||
+ | <source lang="bash"> | ||
find -name \*\.tmp -exec rm {} -fr \; | find -name \*\.tmp -exec rm {} -fr \; | ||
find -name lmdex.php -exec rm {} -fr \; | find -name lmdex.php -exec rm {} -fr \; | ||
find . -name \*\INFECTED.php -exec rm {} -fr \; | find . -name \*\INFECTED.php -exec rm {} -fr \; | ||
+ | find -name sitemaps.php -exec rm {} -fr \; | ||
+ | find -name template_rss.php -exec rm {} -fr \; | ||
+ | find -name flash.php -exec rm {} -fr \; | ||
+ | for x in `seq 9`; do find -name w$x*.php -exec rm {} \;; done; | ||
+ | </source> | ||
− | + | == limpando malware - parte 2 == | |
− | + | esse comando acusar ter ou não "base64" | |
− | + | <source lang="bash"> | |
+ | grep -r base64 * |awk -F : '{print $1}' |sort |uniq | ||
+ | </source> | ||
+ | == limpando malware - parte 3 == | ||
+ | instalar os plugins: | ||
+ | * AntiVirus (procurar vulneralibidades nos códigos dos temas) | ||
+ | * Timthumb Scanner (busca pelo script, verificando sua versão e com opção de atualizar) | ||
+ | * WP Security Scan (com opção de renomear o prefixo da tabela do banco de dados, indica senha forte, situação de permissão de pastas/arquivos sensiveis) | ||
+ | |||
+ | baixando e descompatando no diretório | ||
+ | <source lang="bash"> | ||
+ | cd /root/tools/wordpress/plugins/ | ||
wget http://downloads.wordpress.org/plugin/antivirus.zip | wget http://downloads.wordpress.org/plugin/antivirus.zip | ||
wget http://downloads.wordpress.org/plugin/timthumb-vulnerability-scanner.zip | wget http://downloads.wordpress.org/plugin/timthumb-vulnerability-scanner.zip | ||
wget http://downloads.wordpress.org/plugin/wp-security-scan.zip | wget http://downloads.wordpress.org/plugin/wp-security-scan.zip | ||
+ | cd /var/www/projeto | ||
+ | unzip /root/tools/wordpress/plugins/antivirus.zip -d . | ||
+ | unzip /root/tools/wordpress/plugins/wp-security-scan.zip -d . | ||
+ | unzip /root/tools/wordpress/plugins/timthumb-vulnerability-scanner.zip -d . | ||
+ | </source> | ||
− | + | == referências == | |
− | + | * http://www.mcritch.com/content/cleaning_wordpress_pharma_hack | |
− | + | * http://inspirated.com/2010/03/02/wordpress-ninoplas-virus-and-the-fix | |
− | + | * http://www.silvatechsolutions.com/main/2012/03/05/wordpress-base64-hack-cleanup/ | |
− | + | * http://www.exploit-db.com/wordpress-timthumb-exploitation/ | |
− | + | * http://markmaunder.com/2011/08/01/zero-day-vulnerability-in-many-wordpress-themes/ | |
+ | * http://smackdown.blogsblogsblogs.com/2008/06/24/how-to-completely-clean-your-hacked-wordpress-installation/ | ||
+ | * http://ottodestruct.com/blog/2009/hacked-wordpress-backdoors/ | ||
+ | * http://www.doitwithwp.com/how-to-change-wordpress-database-prefix/ | ||
+ | * http://www.wpbeginner.com/wp-tutorials/the-right-way-to-remove-wordpress-version-number/ | ||
+ | * http://www.websitedefender.com/wordpress-security/wordpress-database-security-tables-prefix/ | ||
+ | * [https://pentestic.com/blog/ Testing for security] | ||
− | + | [[Categoria:Servidor]] | |
− | + | [[Categoria:WordPress]] | |
− |
Edição atual tal como às 19h42min de 22 de outubro de 2015
A idéia desse artigo é documentar uns procedimentos usados para limpar um projeto em wordpress infetados por malware. esses malwares redirecionamas paginas e posts para sites de terceiros com vírus e conteúdo pornográfico e o site acaba sendo bloqueado pelos sistemas de buscam. as soluções abaixam buscam solucionar vunelrabilidades que rôbos e atacker utilizam para identificar vulnerabilidades e explora-las para obter acesso ao site e usar para ações criminosas. esses malware acabam infectado outros sites que estejam no mesmo home, mesmo não sendo um wordpress.
- tenha uma pasta com todos os plugins, temas e versão do wordpress em utilização;
- remova todos os plugins e temas sem utilização;
- faça backup diário do banco de dados, uma dica é utilizao o AutoMySQLBackup;
- não usar wp_ como prefixo;
- trocar a senha do banco de dados (com 12 caracteres e que tenha letras em maisculo e minusculo, numeros e caracter especial);
- usar senhas fortes no usuário wordpress (seguir a mesma orientação de complexidade de senha citado acima)
- não ter usuário admin no sistema (é possivel alterar o usuário diretamente da linha de comando do mysql ou via phpmyadmin);
- remover a linha <meta name="generator" content="WordPress <?php bloginfo('version'); ?>" do arquivo header.php do tema;
- ajustar as permissões de pastas e arquivos;
- atualizar o timthumb.php (redimensionador de imagens usados e vários temas e suas versões antigas permite vários tipos de ataques)
wpscan
é um software usado para explorar vulnerabilidades em sites feitos em wordpress... a partir de coleta de informações
remover o arquivo readme.html
rm readme.html
ajuste nas permissões de arquivos e pastas
touch .htaccess
touch wp-admin/.htaccess
chown -R www-data.www-data .
find ./ -type d -exec chmod 755 {} \;
find ./ -type f -exec chmod 644 {} \;
chmod 0600 wp-admin/.htaccess
chmod 0600 wp-config.php
chmod 0600 .htaccess
chmod 0700 wp-admin
chmod 0600 wp-admin/index.php
chmod 0700 wp-admin/js
chmod 0700 wp-content/themes
chmod 0700 wp-content/plugins
chmod 0700 wp-content
chmod 0700 wp-includes
chmod 0700 $PWD
limpando malware - parte 1
buscando e removendo arquivos diferentes e que são malware
find -name \*\.tmp -exec rm {} -fr \;
find -name lmdex.php -exec rm {} -fr \;
find . -name \*\INFECTED.php -exec rm {} -fr \;
find -name sitemaps.php -exec rm {} -fr \;
find -name template_rss.php -exec rm {} -fr \;
find -name flash.php -exec rm {} -fr \;
for x in `seq 9`; do find -name w$x*.php -exec rm {} \;; done;
limpando malware - parte 2
esse comando acusar ter ou não "base64"
grep -r base64 * |awk -F : '{print $1}' |sort |uniq
limpando malware - parte 3
instalar os plugins:
- AntiVirus (procurar vulneralibidades nos códigos dos temas)
- Timthumb Scanner (busca pelo script, verificando sua versão e com opção de atualizar)
- WP Security Scan (com opção de renomear o prefixo da tabela do banco de dados, indica senha forte, situação de permissão de pastas/arquivos sensiveis)
baixando e descompatando no diretório
cd /root/tools/wordpress/plugins/
wget http://downloads.wordpress.org/plugin/antivirus.zip
wget http://downloads.wordpress.org/plugin/timthumb-vulnerability-scanner.zip
wget http://downloads.wordpress.org/plugin/wp-security-scan.zip
cd /var/www/projeto
unzip /root/tools/wordpress/plugins/antivirus.zip -d .
unzip /root/tools/wordpress/plugins/wp-security-scan.zip -d .
unzip /root/tools/wordpress/plugins/timthumb-vulnerability-scanner.zip -d .
referências
- http://www.mcritch.com/content/cleaning_wordpress_pharma_hack
- http://inspirated.com/2010/03/02/wordpress-ninoplas-virus-and-the-fix
- http://www.silvatechsolutions.com/main/2012/03/05/wordpress-base64-hack-cleanup/
- http://www.exploit-db.com/wordpress-timthumb-exploitation/
- http://markmaunder.com/2011/08/01/zero-day-vulnerability-in-many-wordpress-themes/
- http://smackdown.blogsblogsblogs.com/2008/06/24/how-to-completely-clean-your-hacked-wordpress-installation/
- http://ottodestruct.com/blog/2009/hacked-wordpress-backdoors/
- http://www.doitwithwp.com/how-to-change-wordpress-database-prefix/
- http://www.wpbeginner.com/wp-tutorials/the-right-way-to-remove-wordpress-version-number/
- http://www.websitedefender.com/wordpress-security/wordpress-database-security-tables-prefix/
- Testing for security