Jump to content

Vulnerabilidade do Wordpress - CRITICO


LucianoZ

Recommended Posts

20 minutos atrás, Jorge Marcelino disse:

WAF e ajustes diretamente no servidor, NÃO é falha no Wordpress.

Não da para afirmar com certeza que também não é, se estão tentando bruteforce é porque acharam alguma forma de capturar.

Chamou? Estamos ai!

Link to comment
Share on other sites

6 minutos atrás, LucianoZ disse:

Não da para afirmar com certeza que também não é, se estão tentando bruteforce é porque acharam alguma forma de capturar.

Isso ocorre até nas versões atualizadas, pode ter certeza que já verificamos isso. Como dito utilizam scripts para fazer varreduras, a partir do hostname (IP) do servidor.

 www.HostSeries.com.br - Hospedagem de sites | Revenda de Hospedagem cPanel | VPS KVM SSD | Streaming | Performance Superior com discos SSD NVMe e Litespeed! Data center Tier 4 HIVELOCITY

Link to comment
Share on other sites

  • Administration

Eu acho que eles estão atirando para tudo quanto é lado, o que me chama a atenção é o porque usarem uma botnet BR para isso ai.

Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um".

Link to comment
Share on other sites

8 minutes ago, owsbr said:

Eu acho que eles estão atirando para tudo quanto é lado, o que me chama a atenção é o porque usarem uma botnet BR para isso ai.

Exato colega, chama atenção é isso, uma botnet 100% BR.

E vou te dizer, eu venho coletando todos os IP's da botnet - eliminando os duplicados já tenho 21.000 IP's.  Claro que a maioria é IP dinamico, mas mesmo assim é muita máquina infectada, mesmo que seja só 10% disso o cara tem uma botnet de 2.000 máquinas.

Outra informação: hoje a botnet saiu do padrão do horário, já não atacou "somente após as 14hs" - hoje iniciou o ataque as 06h.

 

Link to comment
Share on other sites

  • Administration
33 minutos atrás, sabenada disse:

Exato colega, chama atenção é isso, uma botnet 100% BR.

E vou te dizer, eu venho coletando todos os IP's da botnet - eliminando os duplicados já tenho 21.000 IP's.  Claro que a maioria é IP dinamico, mas mesmo assim é muita máquina infectada, mesmo que seja só 10% disso o cara tem uma botnet de 2.000 máquinas.

Outra informação: hoje a botnet saiu do padrão do horário, já não atacou "somente após as 14hs" - hoje iniciou o ataque as 06h.

 

Pois é, preocupante demais até mesmo por outra situação.

Nas novas versões do WHM é possível colocar um geobloqueio para os serviços do servidor (webmail, cpanel, smtp, etc..)
No meu caso eu bloqueei o mundo inteiro menos Brasil (99% dos meus clientes)...e com isso contas invadidas para envio de spam caiu drasticamente MAS ai notei essa situação que você disse...Começaram a usar botnet BR..

F*** isso...

Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um".

Link to comment
Share on other sites

Como uma opção gratuita para o WordPress: https://br.wordpress.org/plugins/hide-my-wp/, no meu WP uso ele e nada foi alterado por aqui. O problema é nos clientes que só instalam e deixam tudo padrão, o correto é entrar em cada WP e alterar o login, isso já deveria ser padrão do WP, quando vc instala ele, já altera as URL's padrões, caso contrário é fácil ter problemas com ele.

Link to comment
Share on other sites

12 minutes ago, adamkain said:

É, aqui começou a partir das 6h tbm...
Mas pelo que vi, não foi somente no wp-login.php, o index.php tbm estava sendo alvo

Desativei o cachewall e ativei o engintron e parece que está segurando conforme solução postada.

Colega, vou dizer... no início deste ataque, coisa de 30 dias atrás, esta botnet fazia bruteforce no WORDPRESS + FTP + CPANEL.

Quando o ataque iniciava em um site, a botnet simultaneamente tentava login no FTP e no CPANEL.  A carga explodia.

Depois de 5 ou 6 dias o desocupado mudou a tática, desistiu do FTP+CPANEL, provavelmente porque o firewall bloqueia após X tentativas, e focou somente no WORDPRESS.

O que me impressiona é como o cara tem inteligência para fazer isso, tem tempo livre - porque não faz algo produtivo? Porque não cria algo para ele?  Mesmo que seja um script-kid (bem provável), o cara tem algum neurônio funcionando, podia trabalhar e ganhar algum dinheiro sem encher o saco dos outros.  O pior é que o ataque dele é meio inútil, aqui eu uso mod_security que está bloqueando todos os hits dele, ou seja a botnet dele não consegue acesso ao wp-login.php.   O cara tá lá perdendo tempo.

Enfim, vamos ver até onde ele vai.

Link to comment
Share on other sites

  • Administration
2 minutos atrás, Thiago Santos disse:

Como uma opção gratuita para o WordPress: https://br.wordpress.org/plugins/hide-my-wp/, no meu WP uso ele e nada foi alterado por aqui. O problema é nos clientes que só instalam e deixam tudo padrão, o correto é entrar em cada WP e alterar o login, isso já deveria ser padrão do WP, quando vc instala ele, já altera as URL's padrões, caso contrário é fácil ter problemas com ele.

Deveria ser como o PrestaShop que ao finalizar a instalação gera uma URL aleatória.
Algo que o @adamkain disse de fato ocorre, ao barrar wp-login ele vai para o index mantendo a carga elevada do mesmo jeito.

O negócio é esperar e torcer pela morte do autor do ataque.

Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um".

Link to comment
Share on other sites

2 minutos atrás, owsbr disse:

Deveria ser como o PrestaShop que ao finalizar a instalação gera uma URL aleatória.
Algo que o @adamkain disse de fato ocorre, ao barrar wp-login ele vai para o index mantendo a carga elevada do mesmo jeito.

O negócio é esperar e torcer pela morte do autor do ataque.

Eu notei que nos sites com CloudFlare ativado, essa sobrecarga não acontece, com sucuri deve resolver também.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.

×
×
  • Create New...

Important Information

Do you agree with our terms?