ANTICHAT

ANTICHAT (https://forum.antichat.io/index.php)
-   Мировые новости. Обсуждения. (https://forum.antichat.io/forumdisplay.php?f=23)
-   -   Уязвимость во всех версиях WordPress (https://forum.antichat.io/showthread.php?t=1946867)

DegtWz 06.02.2018 11:51

Уязвимость во всех версиях WordPress
В платформе WordPress CMS была обнаружена простая, но очень серьезная уязвимость, связанная с атаками типа «отказ в обслуживании» (DoS) на уровне приложений, которая позволяет любому пользователю приводить в нерабочее состояние большинство веб-сайтов WordPress даже с помощью одной машины. Происходит это без необходимости задействовать огромное количество компьютеров для переполнения полосы пропускания, как это требуют DDoS-атаки, но с достижением того же результата.
Поскольку WordPress Foundation отказали в исправлении проблемы, уязвимость (CVE-2018-6389) остается без патча и затрагивает почти все версии WordPress, выпущенные за последние девять лет, включая последнюю стабильную (WordPress версия 4.9.2).

Подробнее тут, ниже про нее вкратце.

Barak Tawily, израильский исследователь в области безопасности, обнаружил уязвимость, суть которой заключается в том, что «load-scripts.php», встроенный скрипт в WordPress CMS, обрабатывает и пользовательские запросы.
По задумке разработчиков, файл load-scripts.php предназначен только для администраторов и создан, чтобы помочь сайту повысить производительность и загрузить страницу быстрее, объединив (на сервере) несколько файлов JavaScript в один запрос.
Однако, чтобы «load-scripts.php» работал на странице входа администратора (wp-login.php) до входа в систему, разработчики WordPress не предусматривают механизма аутентификации, в результате чего функция доступна для всех.
В зависимости от плагинов и модулей, которые вы установили, файл load-scripts.php выборочно вызывает необходимые файлы JavaScript, передавая их имена в параметр «load», разделяемые запятой. При загрузке веб-сайта «load-scripts.php» пытается найти каждое имя JavaScript-файла, указанное в URL-адресе, добавить его содержимое в один файл и затем отправить в браузер пользователя. По словам исследователя, можно заставить load-scripts.php вызывать все возможные файлы JavaScript (всего 181 скрипт) за один проход, передавая их имена в указанном выше URL-адресе. Это сделает работу целевого сайта немного медленнее, потребовав высоких затрат со стороны процессора и памяти сервера.

Хотя одного запроса было бы недостаточно, чтобы «положить» весь сайт для всех посетителей, Tawily использовал сценарии на python для создания proof-of-concept (PoC). Созданный им doser.py делает большое количество одновременных запросов на один и тот же URL в попытке использовать как можно больше ресурсов CPU сервера и свести к минимуму доступные для других пользователей ресурсы.
Hacker News проверила подлинность DoS-эксплойта, успешно «положив» один из демо-сайтов WordPress, работающих на VPS среднего размера.

Зная, что уязвимости DoS выходят за рамки bug bounty program для WordPress, Tawily ответственно сообщил об этой DoS-уязвимости команде WordPress через платформу HackerOne.
Однако компания отказалась признать эту проблему, заявив, что такая ошибка находится вне контроля WordPress и «должна смягчаться на уровне сервера или на сетевом уровне, а не на уровне приложения».
Уязвимость кажется серьезной, потому что около 29% сайтов в Интернете используют WordPress. Это делает миллионы сайтов уязвимыми для хакеров и потенциально недоступными для своих пользователей.

Для сайтов, которые не могут позволить себе услуги, предлагающие защиту от атак на уровне приложения, исследователь предоставил WordPress forked version, которая содержит патч этой уязвимости. Тем не менее, следует учитывать риски установки модифицированной CMS, даже если вы считаете источник надежным. Помимо этого, исследователь также выпустил простой bash-сценарий, который исправляет проблему в уже установленном WordPress.

WordPress forked version
bash-сценарий

vitrolov 06.02.2018 12:06

Прикольно получается, когда сайты, которые делают супер-программисты ломают так же просто как и сайты от школьнегов. Смысл тогда изучать высокие материи, ООП, и так далее, если твой сайт на джумла или вордпрес как хата без дверей - заходи и выноси.
При чем большинство дыр нелепые ошибки, которые находят внимательные исследователи чужого кода. А сколько еще уязвимостей ждет еще своего звездного часа.

Цуиьфыеук 06.02.2018 12:44

А без скрипта не получится закрыть по инструкции типа: "найдите строку с кодом ... и замените на ..."?

BigJeff 07.02.2018 08:52

Цитата:


vitrolov написал(а):

Прикольно получается, когда сайты, которые делают супер-программисты ломают так же просто как и сайты от школьнегов. Смысл тогда изучать высокие материи, ООП, и так далее, если твой сайт на джумла или вордпрес как хата без дверей - заходи и выноси.
При чем большинство дыр нелепые ошибки, которые находят внимательные исследователи чужого кода. А сколько еще уязвимостей ждет еще своего звездного часа.


Ничего совершенного нет, нужно соблюдать определённые правила безопасность. Ограничения на выполнения скриптов в определённых директориях, доступ в админку и всё в таком духе.

prolamer 07.02.2018 12:28

круто, спасибо за долю!

есть ли способ сканирования сайта wordpress для всех известных уязвимостей?

(извините, я не русский, я использую google translate, извините за свои орфографические ошибки)

Ract 07.02.2018 16:20

в 4.9.4 не нашел в фиксах. Планируют исправлять то?

BigJeff 08.02.2018 09:20

Цитата:


prolamer написал(а):

круто, спасибо за долю!

есть ли способ сканирования сайта wordpress для всех известных уязвимостей?

(извините, я не русский, я использую google translate, извините за свои орфографические ошибки)


Да есть такие плагины AI-Bolit это сканер сайта на уезвимости

Цуиьфыеук 08.02.2018 09:27

Цитата:


BigJeff написал(а):

плагины AI-Bolit это сканер сайта на уезвимости


Сканер не ищет уязвимости, а только вирусы, трояны и подозрительный код

manzilla 08.02.2018 10:43

Цитата:


BigJeff написал(а):

Да есть такие плагины AI-Bolit это сканер сайта на уезвимости


ну и как этот сканер победит эту уязвимость?

Код:


Код:

https://roem.ru/wp-admin/load-scripts.php?c=0&load%5B%5D=hoverIntent,common,admin-bar,underscore,shortcode,backbone,wp-util,wp-backbone,media-models,wp-plupload,jquery-ui-core,jquery-ui&load%5B%5D=-widget,jquery-ui-mouse,jquery-ui-sortable,mediaelement,wp-mediaelement,media-views,media-editor,media-audiovideo,mce-view,imgar&load%5B%5D=easelect,image-edit,media-grid,media,svg-painter,heartbeat,wp-auth-check&ver=4.3.1

Simiys 08.02.2018 10:54

1. На Хакер.ру статье уже дня 4, я бы не называл это уязвимостью, уж больно много гемора. Но конкурента уложить может.
2. Опять же, тот парень, который нашел дыру, выложил ее исправление. См 1 пункт, там все есть)
3. Если у Вас не построен многомиллионный бизнес на сайте - шансов, что кто то будет заморачиваться что бы уронить Ваш сайт - 0. Рекомендую не тратить время.

zzallexx 08.02.2018 22:12

Цитата:


Цуиьфыеук написал(а):

А без скрипта не получится закрыть по инструкции типа: "найдите строку с кодом ... и замените на ..."?


можно и ручками

https://github.com/JulienGadanho/cve-2018-6389-php-patcher

если посмотреть внутрь увидим

1. wp-login.php добавляем в начало после шапки

PHP:


Код:

define
(
'CONCATENATE_SCRIPTS'
,
false
)
;

2. wp-admin/load-styles.php заменяем

PHP:


Код:

require
(
ABSPATH
.
WPINC
.
'/script-loader.php'
)
;

на

PHP:


Код:

require
(
ABSPATH
.
'wp-admin/admin.php'
)
;

3. wp-admin/load-scripts.php заменяем

PHP:


Код:

require
(
ABSPATH
.
WPINC
.
'/script-loader.php'
)
;

на

PHP:


Код:

require
(
ABSPATH
.
'wp-admin/admin.php'
)
;

4. wp-admin/includes/noop.php
заменяем содержимое на

PHP:


Код:

<?php
/**
* Noop functions for load-scripts.php and load-styles.php.
*
* @package WordPress
* @subpackage Administration
* @since 4.4.0
*/
function get_file( $path ) {
    if ( function_exists( 'realpath' ) ) {
        $path = realpath( $path );
    }
    if ( ! $path || ! @is_file( $path ) ) {
        return '';
    }
    return @file_get_contents( $path );
}

все

2009bes 09.02.2018 11:23

Цитата:


Simiys написал(а):

Если у Вас не построен многомиллионный бизнес на сайте - шансов, что кто то будет заморачиваться что бы уронить Ваш сайт - 0. Рекомендую не тратить время.


сразу видно умного человека.

Но будь у меня такой бизнес я бы делал на своей CMS,это точно )))

Понятно что вордпрес постоянно зламывают. Установив 6 плагинов я посмотрел исходный код и ужаснулся - больше половины инфы про плагины открыто. Не удивительно что данная CMS в виду своей популярности лакомый кусочек для взлома

manzilla 09.02.2018 12:25

Цитата:


2009bes написал(а):

больше половины инфы про плагины открыто


В смысле открыто, они все из бесплатного общедоступного репозитория, на счет взламывают, сходите к жумле или модиксу, особенно ево, который так любят в регионах, хотя его года 3 назад как бросили поддерживать.

2009bes 09.02.2018 13:45

Цитата:


manzilla написал(а):

В смысле открыто, они все из бесплатного общедоступного репозитория,


я про исходный кон сайта, на который я установил 5-6 плагинов. Открываем исходный и вуаля- ифа про плагины.

DegtWz 09.02.2018 14:09

Цитата:


2009bes написал(а):

я про исходный кон сайта, на который я установил 5-6 плагинов. Открываем исходный и вуаля- ифа про плагины.


а тебе не кто не говорил, что эту инфу про плагины надо закрывать + изменить версию WP с 4.9** на 3.8 или другую версию. это надо делать с самого начала и каждый раз после обновления WP

Simiys 09.02.2018 17:49

Цитата:


DegtWz написал(а):

а тебе не кто не говорил, что эту инфу про плагины надо закрывать + изменить версию WP с 4.9** на 3.8 или другую версию. это надо делать с самого начала и каждый раз после обновления WP


А ещё шапочку из фальги одеть на голову. Поможет. Вы реально думаете сканят только по версии?

2009bes 09.02.2018 20:17

Цитата:


DegtWz написал(а):

что эту инфу про плагины надо закрывать + изменить версию WP с 4.9** на 3.8 или другую версию. это надо делать с самого начала и каждый раз после обновления WP


первый раз такое слышу. Вы о чём ?

DegtWz 09.02.2018 20:47

Цитата:


Simiys написал(а):

А ещё шапочку из фальги одеть на голову. Поможет. Вы реально думаете сканят только по версии?


для не опытных да. пока они поймут что не та версия

Simiys 09.02.2018 23:39

Цитата:


DegtWz написал(а):

для не опытных да. пока они поймут что не та версия


Главная защита от вирусов - это обновление + резервное копирование.
Wordfence Security поставьте.

DegtWz 10.02.2018 00:50

Цитата:


Simiys написал(а):

Главная защита от вирусов - это обновление + резервное копирование.
Wordfence Security поставьте.

согласен. но не все обновляют и не все умеют. что делают хакеры (сливают зараженные темы и плагины) + начинают мониторить какая версия (у каждой версии есть дыры) + стандартный подбор паролей (если не ограничить по IP и количеству попыток) и т.д..
на все эти манипуляции уходит время + нервы

RealKludge 10.02.2018 21:56

Цитата:


zzallexx написал(а):

можно и ручками


Я просто снес load-scripts.php, да и всё. На работу сайта он не влияет.

Simiys 11.02.2018 03:11

Ну есть ещё вариант защитить сайт для региона, блокировка ip по geo ip, Тупо заблочить все кроме России, как минимум Китай, всякие Руанды, Сомали.

BigJeff 11.02.2018 07:37

Можно делать через плагин All In One WP Security
Там много всяких настроек. Плагин специальный именно закрывает дыры по безопасности на wordpress

RealKludge 11.02.2018 10:17

Цитата:


BigJeff написал(а):

Можно делать через плагин All In One WP Security
Там много всяких настроек. Плагин специальный именно закрывает дыры по безопасности на wordpress


Ты проверял, этот плагин закрывает данную дыру?

BigJeff 11.02.2018 15:59

Цитата:


RealKludge написал(а):

Ты проверял, этот плагин закрывает данную дыру?


Я как должен проверить задосить свой сайт или как? Его можно и не устанавливать, если умеешь всё что он делает сделать руками.

Sorcus 11.02.2018 19:58

Цитата:


Simiys написал(а):

Ну есть ещё вариант защитить сайт для региона, блокировка ip по geo ip, Тупо заблочить все кроме России, как минимум Китай, всякие Руанды, Сомали.


Еб**ть без смазки таких как ты надо, негодяй

RealKludge 11.02.2018 21:09

Цитата:


BigJeff написал(а):

Я как должен проверить задосить свой сайт или как? Его можно и не устанавливать, если умеешь всё что он делает сделать руками.


А зачем тогда совет даёшь, если не уверен, что он подействует?

Simiys 11.02.2018 21:24

Цитата:


RealKludge написал(а):

Ты проверял, этот плагин закрывает данную дыру?


Нет, не закрывает. И плагин так себе, часто портит работу самого сайта, слишком уж много функций.

Цитата:


Sorcus написал(а):

Еб**ть без смазки таких как ты надо, негодяй

За что это? Если сайт для одного города и не работает в мире, зачем ему нужны посетители из Китая?

Sorcus 11.02.2018 22:29

Цитата:


Simiys написал(а):

Нет, не закрывает. И плагин так себе, часто портит работу самого сайта, слишком уж много функций.

За что это? Если сайт для одного города и не работает в мире, зачем ему нужны посетители из Китая?


За то, что пользователи могут сидеть через VPN, либо находиться в другой стране по работе.
Об этом ты не думал?

Simiys 11.02.2018 23:16

Цитата:


Sorcus написал(а):

За то, что пользователи могут сидеть через VPN, либо находиться в другой стране по работе.
Об этом ты не думал?

А зачем Вы сидите через VPN?) Опять же, это очень радикальная мера, но очень эффективная) Для сайта маленького города!
Опять же Вы часто бываете в Китае? Или юзаете VPN Китая? - а взломов от них идёт чуть ли не 70%

Sorcus 11.02.2018 23:30

No comments. Гнилые отмазки.

manzilla 12.02.2018 09:09

Цитата:


Simiys написал(а):

За что это? Если сайт для одного города и не работает в мире, зачем ему нужны посетители из Китая?


Оу господи, про оперу турбо слышали? Сжимает трафик через свои сервера, про работу интернета мобильных операторов, мой мтс определяется то саратов, то нижний новгород, сказать как далеко я от обоих городов... ограничить по регионам...

BigJeff 12.02.2018 09:43

Цитата:


RealKludge написал(а):

А зачем тогда совет даёшь, если не уверен, что он подействует?


Плагин создан именно для закрытие дыр по безопасности в wordpress. Вот что выдаёт выдача самого wordpress

RealKludge 12.02.2018 15:49

Цитата:


BigJeff написал(а):

Плагин создан именно для закрытие дыр по безопасности в wordpress. Вот что выдаёт выдача самого wordpress

Не имеет значения, для чего этот плагин, если он не закрывает конкретную дыру.

Simiys 14.02.2018 00:48

Цитата:


manzilla написал(а):

Оу господи, про оперу турбо слышали? Сжимает трафик через свои сервера, про работу интернета мобильных операторов, мой мтс определяется то саратов, то нижний новгород, сказать как далеко я от обоих городов... ограничить по регионам...


Вы читали, что я написал? 1. Если маленькая контора и какая то CMR то почему бы не ограничить её? 2. Если сайт Российский - то почему не забанить страны в зоне риска типа Китая? Часто у Вас IP Китайские?

Sorcus 14.02.2018 01:26

Цитата:


Simiys написал(а):

Вы читали, что я написал? 1. Если маленькая контора и какая то CMR то почему бы не ограничить её? 2. Если сайт Российский - то почему не забанить страны в зоне риска типа Китая? Часто у Вас IP Китайские?


Просто кто-то не осилил {ip,nf}tables в линухе, да?
Там прекрасно ограничивается доступ к ip-адресам в случае резкого скачка трафика с определенного ip.
Но блокировать доступ к сайту (мы не рассматриваем местечковые сервисы, которые доступны только внутри компаний) - неуважение к пользователям.

Simiys 14.02.2018 02:05

Цитата:


Sorcus написал(а):

Просто кто-то не осилил {ip,nf}tables в линухе, да?
Там прекрасно ограничивается доступ к ip-адресам в случае резкого скачка трафика с определенного ip.
Но блокировать доступ к сайту (мы не рассматриваем местечковые сервисы, которые доступны только внутри компаний) - неуважение к пользователям.


А по Вашему у всех владельцев по серваку? И они его сами настраивают? Большинство юзают обычный выделенный хостинг

manzilla 14.02.2018 09:00

Цитата:


Simiys написал(а):

Часто у Вас IP Китайские?


UC браузер, для телефончиков, китайский браузер если что использует айпишники из поднебесной, ограничение по ip это прямо скажу решение для криворуких

cnw96426 22.02.2018 11:57

Может кто знает какие плагины для сканирования сайта wordpress на предмет уязвимостей?

DegtWz 28.02.2018 17:53

Цитата:


Kamekadza написал(а):

WP никогда не любил, он сильно нагружает сервер


что используешь?


Время: 12:58