Hỏi Website WP bị tấn công do đâu

Discussion in 'Thảo Luận Chung' started by I Love Php, May 31, 2020.

  1. I Love Php

    I Love Php Bang Chúng

    Chào các bác

    Hiện tại mình có gặp trường hợp như thế này
    Website của mình dùng wordpress có cài theme, và plugin trên store của wordpress
    Mình có chmod 0777 vì cài đặt cần ghi file
    Sau chạy 1 thời gian thì phát hiện có vài thư mục lạ được tạo ra, và rất nhiều backlink vào thư mục này
    Mình thấy tất cả backlink này đều là site WP bị chèn backlink tới nhau, google bot vào rất nhiều
    Vậy cho mình hỏi là bị tấn công dạng nào?
    Mình nghi là mã độc ở theme hoặc plugin mình cài, hoặc bị scan vps

    upload_2020-5-31_18-32-55.png
     
  2. Nai

    Nai MiddleMan Staff Member

    Nếu theme mua chung đàng hoàng thì khả năng cao là bị scan. Do phân quyền ko đúng
     
  3. Hoa Mãn Lâu

    Hoa Mãn Lâu Trưởng Môn

    Chạy trên sharehost hay vps thớt đễ bị local hack cmnr
     
  4. I Love Php

    I Love Php Bang Chúng

    theme free ở kho giao diện của wp b ạ
     
  5. I Love Php

    I Love Php Bang Chúng

    nên phòng tránh ntn vậy ad?
     
  6. Tọi

    Tọi Sơ Nhập Giang Hồ

    Ở tầng WP:

    - Đợt vừa rồi Elementor bị zero-day, nếu bạn dùng thì có thể bị từ đây
    - Scan bruteforce, cái này khả năng cũng cao => dùng wordfence để chặn access - brute force login
    - Dùng plugins/themes null
    - Không update WP (WP sau mỗi lần release update đều có công bố security issues của bản trước, attacker dùng cái này để attack)
    - Scan các plugin lỗi, cái này nhiều

    ========

    Secure cho site WP dùng NGĨNX

    - Chặn chạy file .php ở folder uploads
    - chmod file wp-config.php về 444
    - Chặn bruteforce:
    -- Ở tầng DNS, nếu dùng cloudflare vào firewall rule (nếu ngoài VN thì không cho access /wp-admin)
    -- Ở WP cài Wordfence
    -- Ở server thêm rate limitting khi access /wp-login.php

    Ở server, config lại SSH:

    - Đổi port SSH
    - Thêm mấy dòng này vào file /etc/ssh/sshd_config

    MaxAuthTries 4
    Protocol 2
    ClientAliveInterval 900
    ClientAliveCountMax 2
    LogLevel INFO
    PermitEmptyPasswords no

    ==========

    - Sẽ hạn chế được nhiều việc attack!
     
  7. I Love Php

    I Love Php Bang Chúng

    cảm ơn b
     
  8. I Love Php

    I Love Php Bang Chúng

    upload_2020-5-31_22-31-5.png
    Giá như mà có cái tool bơm của họ thì index chắc rất nhanh phải không các b?
    Mình thấy số lượng backlink tăng rất nhanh, google bot vào site cũng nhiều (vào link rác)
     
  9. Hoa Mãn Lâu

    Hoa Mãn Lâu Trưởng Môn

    Xuất ra dc list backlink ko thím, vô xem tụi nó bắn đường nào
     
  10. I Love Php

    I Love Php Bang Chúng

    ditim.work
    xin phép share domain lên đây, mình dùng ahref check backlink
    thấy archor rất ngắn
     
  11. Mr Ghost

    Mr Ghost Sơ Nhập Giang Hồ

    Cài Wordfence quét site nếu dùng Wordpress xem có shell trên host không?
    Download bản free ở đây:
    https://en-ca.wordpress.org/plugins/wordfence/

    Mở file: wordfenceClass.php trong thư mục wordfence\lib

    Tim dòng:

    $updateCountries = false;
    if (!WFWAF_SUBDIRECTORY_INSTALL and& $waf = wfWAF::getInstance()) {
    $homeurl = wfUtils::wpHomeURL();
    $siteurl = wfUtils::wpSiteURL();

    Thêm vào phía dưới:

    wfConfig::set('isPaid', 1);
    wfConfig::set('keyType', wfAPI::KEY_TYPE_PAID_CURRENT);
    wfConfig::set('premiumNextRenew', time()+31536000);

    Save lại >>> zip rồi upload lên sẽ có wordfence 365 ngày premium. Hoặc sửa trực tiếp khi upload bản free trên Wordpress Plugin Editor hoặc upload bản free rồi sưa trực tiếp qua FTP,...
     
    Last edited: May 31, 2020
    I Love Php and thitgaluoc like this.
  12. thitgaluoc

    thitgaluoc Hương Chủ

    mình cũng mới bị 1 site, đáng nói là site này cấu hình cẩn thận, tk admin không phải tên là admin, có điều k cài wordfence với sucuri scan với lâu k update nên chắc wp dạo này dinhs 0day gì rồi :D
     
    I Love Php likes this.
  13. u23

    u23 Sơ Nhập Giang Hồ

    Có lẽ như bác tọi nọi là không update wp chứ chứ trước giờ site dùng sharehost với vps (cài vpssim) mà chưa bị
     
  14. Tọi

    Tọi Sơ Nhập Giang Hồ

    thường k chặn là nó bruteforce lấy admin là chủ yếu a. có đc admin là nó hack đc rồi. vì cho dù có disable edit file thì vẫn upload đc plugin lên, nó upload cái plugin shell lên cũng hack đc.

    ngoài bruteforce ra, nó còn scan các lỗ hổng được biết từ các plugin khác, các bạn xem hình.

    vậy nên, nên có

    - WAF -> chặn các request độc hại, mang tính exploit, Mysql injection...., cái này nếu ở hosting có thì nên dùng ở hosting, ai dùng aaPanel thì nó có sẵn, ai k dùng aaPanel thì dùng Wordfence cho WP cũng đc.
     

    Attached Files:

    I Love Php likes this.
  15. DichVuSeo

    DichVuSeo Tân Thủ Thôn

    @I Love Php: Cấp độ tấn công được dưa theo mức độ cúa mấy người thích:
    - Tấn công vào nền tảng WP để xài khi cần --> Cái này fix khó (Lịch sử đã có)
    - Tấn công vào máy chủ
    - Tấn công vào cấu hình thiết lập
    ---> Khả năng bác bị tấn công vào cấu hình thiết lập hệ thống rồi! Cách hướng dẫn bên trên cũng ổn nên mình không phải bàn thêm. PHP có nhiều nền tảng phát triển, mỗi cái đều có cái được, cái chưa được do mình xài cả thôi! Còn khách quan từ bên ngoài thì chịu đựng và dần tìm cách khắc phục!
     
    I Love Php likes this.
  16. I Love Php

    I Love Php Bang Chúng


    Uh mình sài mấy cách thì oki rùi