it-swarm.com.de

Wie laden Cracker PHP-Skripte in das wp-Inhaltsverzeichnis von Wordpress hoch?

Ich habe eine Site gesehen, die angegriffen wurde, indem PHP-Skripte (vermutlich eine Art Shell oder Code, der eine Shell lädt) in das Verzeichnis wp-content/uploads von Wordpress hochgeladen wurden. Normalerweise wird dieses Verzeichnis für vom Benutzer hochgeladene Inhalte wie Fotos usw. verwendet. Dieser bestimmte Server wurde so konfiguriert, dass die schädlichen Skripts für jeden Benutzer im Internet ausgeführt werden (mit Kenntnis der richtigen URL).

Wie funktioniert das? Wie würde der Cracker wordpress, um die PHP-Datei in das Upload-Verzeichnis ohne Benutzerkonto zu legen? Ich dies nur das berüchtigte und inspecific "yeah, wordpress ist nicht sicher "Art des Problems?

14
Thomas

Ich würde nicht sagen, dass die Hauptursache des Problems Wordpress ist, sondern die Tatsache, dass:

  • Es gibt so viele Themes/Plugins für Wordpress ist von Entwicklern von Drittanbietern erhältlich, und die Leute prüfen sie normalerweise nicht vor der Installation. Seit der Eintrittsbarriere für PHP = ist sehr niedrig, viele dieser Entwickler von Drittanbietern haben keine/schlechte IT-Sicherheitskenntnisse

Ich denke, eines der möglichsten Szenarien ist, dass ein Wordpress Setup mit einem Plugin/Theme konfiguriert ist, das anonyme Uploads ermöglicht. Ein Beispiel ist das Clockstone Theme upload.php Arbitrary File Upload) Sicherheitslücke .

Grundsätzlich Sie

  1. Stellen Sie sicher, dass nicht autorisierte/anonyme Uploads nicht zulässig sind
  2. Verschieben Sie hochgeladene Dateien aus dem Webstammverzeichnis
  3. Überprüfen Sie den Inhalt, um sicherzustellen, dass nur das, was Sie erwarten, hochgeladen und gespeichert wird

Die Seite auf nrestricted File Upload auf der OWASP-Website enthält einige sehr gute Erklärungen zu diesem Thema.

13

Ich bin damit einverstanden, dass die Plugins und Themes problematisch sein können, möchte aber drei weitere Vorschläge zur Verwendung von Plugins hinzufügen:

  1. Sie sollten sicherstellen, dass Sie die neueste Version der Plugins WordPress UND ] ausführen.
  2. Gehen Sie Ihre Plugins durch und löschen Sie alles, was Sie wirklich nicht brauchen. Versuchen Sie, Plugins nach Möglichkeit durch Code zu ersetzen.
  3. Seien Sie wählerischer beim Herunterladen von Plugins (wer hat es wann gemacht und wie oft wird es aktualisiert).

Entwickler von Drittanbietern bieten zwar anfangs möglicherweise Sicherheitsprobleme an, bieten jedoch Updates an, um Sicherheitsprobleme abzudecken. Ein Teil der Verantwortung liegt jedoch auch beim Benutzer WP). Ich habe Updates ignoriert, weil sie mehr Arbeit für mich geleistet haben kurzfristig, aber auf lange Sicht viele Probleme gemacht.

Dies ist ein Rat eines Beraters, den wir beauftragt haben, unsere Websites nach dem Hacken unserer .php-Dateien zu schützen.

5
Rae

Erstellen Sie eine leere Datei in einem Texteditor. Nennen Sie es .htaccess und fügen Sie den folgenden Code ein:

<Files *.php>
    deny from all
</Files>

Laden Sie diese Datei nun in Ihren Ordner/wp-content/uploads/hoch.

Code Erläuterung: Dieser Code sucht nach PHP -Dateien und verweigert den Zugriff darauf.

4
Paul S.