0-day эксплоит в ВП

Тема в разделе "Wordpress", создана пользователем Snout, 28 мар 2008.

Статус темы:
Закрыта.
Модераторы: Sorcus
  1. Snout

    Snout Постоялец

    Регистр.:
    22 фев 2008
    Сообщения:
    86
    Симпатии:
    15
    0-day эксплоит в ВП создаёт директорию /1/ в wp-content которая наполнена спам дорами. Интересуют подробности, если кто знает, чем это делается и в чем эксплоит.

    Список блогов которых поимели:
    http://www.google.com/search?hl=en&safe=off&q=inurl:wp-content/1/&btnG=Search

    Так как подвержены блоги не использующие мод рирайт, очень похоже на SQL-injection. Сами блоги имеют IFRAME с JS и похоже что они взломаны чем то автоматизированым (бот/скрипт).

    Если кто нибудь знает чем это делается и что за эксплоит, очень интересно узнать.
     
  2. chewie

    chewie Создатель

    Регистр.:
    17 ноя 2007
    Сообщения:
    41
    Симпатии:
    1
    Разве что отписать владельцам нескольких блогов, попросить логи...или свой хонейпот или парочку сделать, возьмешься?
     
  3. Snout

    Snout Постоялец

    Регистр.:
    22 фев 2008
    Сообщения:
    86
    Симпатии:
    15
    Уже делали, есть инфа взятая с сломаных блогов и раскодированый JS, но это не раскрыло сам способ эксплоита и чем проводится заражение. Думал может здесь есть кто с "инсайд" инфо о баге.
     
  4. chewie

    chewie Создатель

    Регистр.:
    17 ноя 2007
    Сообщения:
    41
    Симпатии:
    1
    Думаю, никто этого не станет раскрывать :)
    А инфу и ЖС получить как-то можно?
     
  5. hib

    hib Постоялец

    Регистр.:
    4 окт 2007
    Сообщения:
    86
    Симпатии:
    17
    Пипец! Побежал проверять свои ВПшные блоги.

    Логи надо смотреть с ломанных блогов, по логам все понятно будет.
     
  6. chewie

    chewie Создатель

    Регистр.:
    17 ноя 2007
    Сообщения:
    41
    Симпатии:
    1
    Да не будет ничего понятно, во-первых, чтобы поймать запрос нужно чуть ли не дебаг левел выставлять, чтобы сохранить весь пакет, а так как у всех если и включен ассес_лог, то скорее всего в урезанном формате...

    А человек говорит, что у него есть, неплохо было бы глянуть ;)
     
  7. hib

    hib Постоялец

    Регистр.:
    4 окт 2007
    Сообщения:
    86
    Симпатии:
    17
    Смысла нет спорить понятно будет или нет пока на лог не посмотрим. Посему просим лог похаченного блога в студию.
     
  8. Zahar

    Zahar

    Регистр.:
    21 мар 2007
    Сообщения:
    248
    Симпатии:
    94
    А в голову никому не пришла мысль что все поломаные блоги версии WordPress 2.1.Х, и посмотреть на открытые сплоиты по этой версии, или что на всех установлены одни и те же плагины?
     
  9. levati

    levati Постоялец

    Регистр.:
    2 апр 2007
    Сообщения:
    104
    Симпатии:
    22
    Разумеется, пришла. Плюс ко всему - беспечность при установке CHMOD-а на wp-content и безindex-ность папки с плагинами (можно свободно отмониторить плагины из http://somelooser.com/wp-content/plugins/). Скорее всего, как залили - так и оставили. И поделом. Учите матчасть, господа.
     
  10. Snout

    Snout Постоялец

    Регистр.:
    22 фев 2008
    Сообщения:
    86
    Симпатии:
    15
    Вот здесь подробное описане елси кому интересно

    http://blog.taragana.com/index.php/archive/detailed-post-mortem-of-a-website-hack-through-wordpress-how-to-protect-your-wordpress-blog-from-hacking/
     
    hib и chewie нравится это.
Статус темы:
Закрыта.