{"id":406,"date":"2015-01-15T16:39:08","date_gmt":"2015-01-15T14:39:08","guid":{"rendered":"http:\/\/webowiec.net\/blog\/?p=406"},"modified":"2015-04-07T10:44:11","modified_gmt":"2015-04-07T08:44:11","slug":"atak-brute-force-jako-googlebot-na-wordpress-jak-wykryc","status":"publish","type":"post","link":"https:\/\/webowiec.net\/blog\/atak-brute-force-jako-googlebot-na-wordpress-jak-wykryc\/","title":{"rendered":"Atak brute force jako GoogleBot na WordPress – jak wykry\u0107"},"content":{"rendered":"

Sprawa do\u015b\u0107 \u015bwie\u017ca (cho\u0107 problem bardzo stary), bo pierwsze sygna\u0142y o atakach pojawi\u0142y si\u0119 ju\u017c 14 stycznia 2015.<\/p>\n

Odporny na skanowanie popularnym “clamscan”, bot wkrad\u0142 si\u0119 na wiele serwer\u00f3w, dokunuj\u0105c atak\u00f3w typu brute force na inne skrypty, najcz\u0119\u015bciej WordPress, podaj\u0105c si\u0119 za “GoogleBot”. Przyk\u0142adowe logi serwera atakowanego:<\/p>\n

IP - - [14\/Jan\/2015:19:12:04 +0100] \"POST wp-login.php HTTP\/1.1\" 200 3865 \"-\" \"Mozilla\/5.0 (compatible; Googlebot\/2.1; +http:\/\/www.google.com\/bot.html)\"
\nIP - - [14\/Jan\/2015:21:20:10 +0100] \"POST wp-login.php HTTP\/1.1\" 200 6166 \"-\" \"Mozilla\/5.0 (compatible; Googlebot\/2.1; +http:\/\/www.google.com\/bot.html)\"
\nIP - - [14\/Jan\/2015:19:12:04 +0100] \"POST wp-login.php HTTP\/1.1\" 200 3865 \"-\" \"Mozilla\/5.0 (compatible; Googlebot\/2.1; +http:\/\/www.google.com\/bot.html)\"<\/code><\/p>\n

Zabezpieczenie przed atakami to po prostu ograniczenie dost\u0119pu do pliku “wp-login.php” poprzez filtrowanie IP, lub dodatkowa autoryzacja wykorzystuj\u0105c “htpassword”.<\/p>\n

Jednak jak wykry\u0107 czy nasz serwer nie pad\u0142 ofiar\u0105 owego bota, staj\u0105c si\u0119 elementem wi\u0119kszego bot-neta:<\/p>\n

Dla ca\u0142ego katalogu \/home lub odpowiedniego katalogu z danymi www, wykonujemy skanowanie plik\u00f3w php po zawarto\u015bci:
\n grep -lir '\\\\x.\\\\x.\\\\x.' \/home<\/code>
\nPolecenie zwr\u00f3ci list\u0119 potencjalnie zainfekowanych plik\u00f3w.<\/p>\n

Aby maksymalnie zwi\u0119kszy\u0107 zasi\u0119g skanowania, polecenie:
\ngrep -lir \"?><?php\" \/home<\/code>
\nZwr\u00f3ci wszystkie pliki, kt\u00f3re korzystaj\u0105 z “doklejonego” fragmentu kodu php.<\/p>\n

Dodatkowe metody zabezpieczenia serwera:
\n– ustawienie chmod\u00f3w wszystkich plik\u00f3w na : 0666, folder\u00f3w na: 0755
\n– wy\u0142\u0105czenie funkcji “eval” w php
\n– regularne skanowanie programem “clamscan”<\/p>\n

UPDATE 16.01.2015:<\/strong><\/span>
\naktualizacja polecenia “grep” – dostosowanie pod wi\u0119ksz\u0105 grup\u0119 potencjalnie niebezpiecznych plik\u00f3w.<\/p>\n

UPDATE 18.01.2015:<\/strong><\/span>
\nSkrypt automatycznie usuwaj\u0105cy zainfekowany kod z plik\u00f3w:<\/p>\n

1) Zawarto\u015b\u0107 zapisujemy jako “clean.sh” i nadajemy chmody +x<\/b>:
\n
\n#!\/bin\/bash
\nFILE=$1
\nif [ -f $FILE ]
\nthen
\n`sed '1d' $FILE > $FILE.tmp`
\n`mv $FILE.tmp $FILE`
\n`sed -i 1i\"<?php\" $FILE`
\necho \"file($FILE) : OK\";
\nelse
\necho \"file($FILE) : NOT FOUND\";
\nfi
\n<\/code><\/p>\n

2) Generujemy liste zainfektowanych plik\u00f3w:
\n grep -lir '\\\\x.\\\\x.\\\\x.' \/home > all.txt<\/code><\/p>\n

3) Uruchamiamy skrypt dla ka\u017cdego znalezionego pliku:
\n cat all.txt | xargs -n1 .\/clean.sh<\/code><\/p>\n

4) Je\u015bli wykonywali\u015bmy skrypt jako root, trzeba jeszcze przywr\u00f3ci\u0107 w\u0142a\u015bciciela pliku.
\n chown user:user -R \/home\/user<\/code><\/p>\n","protected":false},"excerpt":{"rendered":"

Sprawa do\u015b\u0107 \u015bwie\u017ca (cho\u0107 problem bardzo stary), bo pierwsze sygna\u0142y o atakach pojawi\u0142y si\u0119 ju\u017c 14 stycznia 2015. Odporny na skanowanie popularnym “clamscan”, bot wkrad\u0142 si\u0119 na wiele serwer\u00f3w, dokunuj\u0105c atak\u00f3w typu brute force na inne skrypty, najcz\u0119\u015bciej WordPress, podaj\u0105c … <\/i> Czytaj ca\u0142o\u015b\u0107<\/a><\/p>\n","protected":false},"author":1,"featured_media":448,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[599,39],"tags":[651,652,646,647,648,649,650],"class_list":["post-406","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-administracja-serwerami","category-niebezpieczenstwo-w-sieci","tag-ataki-burteforce-googlebot","tag-ataki-buteforce-wordpress","tag-brute-force-attack","tag-brute-force-googlebot","tag-brute-force-wordpress","tag-googlebot-virus","tag-jak-wykryc-bota-bruteforce"],"_links":{"self":[{"href":"https:\/\/webowiec.net\/blog\/wp-json\/wp\/v2\/posts\/406","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/webowiec.net\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/webowiec.net\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/webowiec.net\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/webowiec.net\/blog\/wp-json\/wp\/v2\/comments?post=406"}],"version-history":[{"count":8,"href":"https:\/\/webowiec.net\/blog\/wp-json\/wp\/v2\/posts\/406\/revisions"}],"predecessor-version":[{"id":449,"href":"https:\/\/webowiec.net\/blog\/wp-json\/wp\/v2\/posts\/406\/revisions\/449"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/webowiec.net\/blog\/wp-json\/wp\/v2\/media\/448"}],"wp:attachment":[{"href":"https:\/\/webowiec.net\/blog\/wp-json\/wp\/v2\/media?parent=406"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/webowiec.net\/blog\/wp-json\/wp\/v2\/categories?post=406"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/webowiec.net\/blog\/wp-json\/wp\/v2\/tags?post=406"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}