Wlwmanifest.xml?


#1

Ma azt láttam, hogy emberek ? vagy inkább robotok nem létező alkönyvtárakban a wp-includes/wlwmanifest.xml file-t keresték. Ilyet még sosem tapasztaltam.

Az a kérdésem, hogy tudnak-e bármi kárt okozni és mit lehet tenni ellenük?

K%C3%A9pkiv%C3%A1g%C3%A1s


#2

Ne foglalkozz vele, semmi galibát nem okoz, ha jól tudom.


#3

Az ügyfelek forgalmának elemzéséből hetente fejlesztek egy tűzfalat, egy tűzfalatot :fire:

A károkozás a következő lépésekben történhet meg

  1. ez egy statikus XML fájl, ami a WordPress core része
  2. ha HTTP/200-as választ kapnak (vagy lehet csak a tartalmát ellenőrzik) akkor azonosították a WordPress-t
  3. ebből arra tudnak következtetni hogy a domain-eden van egy WordPress telepítés van, és hogy milyen alkönyvtárba van telepítve a WordPress core
  4. utána veszik a sérülékenység listájukat, és próbálnak behatolni
  5. azután pedig a jön a japán napszemüveg reklám és más haszonszerzés anélkül, hogy fizetnének a tárhelyedért vagy a felelősséget vállalnák a további forgalmazásukért

Ezt egy 5000 forintos otthoni internet kapcsolatról tízezres volumenben lehet csinálni.
Egyszer láttam egy pár mp-es videót, amiben száz WordPress honlapot találtak meg egy szkripttel.


#4

Rögvest sejtettem, hogy valami nagy szemétkedésre is jó. Mindig ideges leszek, ha nem létező alkönyvtárakat keresnek …

És mit tudok ellene tenni? Nekem nem üzleti weboldalam van, csak egy sima személyes blog.


#5

Ugye az az alapja a dolognak, hogy a WordPress mögötti cég arra szeretné rávenni az embereket, hogy szakértő nélkül üzemeltessenek WordPress-t.

Nekem csak igen sok lépésben sikerül meggátolni a betörést.
Itt próbálom összefoglalni, https://github.com/szepeviktor/debian-server-tools/blob/master/webserver/WordPress-security.md
de a rengeteg fajta monitorozás, ami tlkp. összeköt engem minden üzemeltetett honlappal, az nem pótolható mással, pl. a reggeli naplókivonat olvasás.
Szerencsére minden ismeretem és szoftverem nyilvános a GitHub-on, már “csak” néhány ezer óra munka szükséges, mire valaki felszívja az ismereteket.
Sajnos nincs Internet Rendőrség, így az Internet egy vad hely marad.


#6

Az iThemes Security és a WordFence bővítmények segíthetek.


#7

köszönöm szépen


#8

Eszembe jutottál, amikor láttam én is ilyet naplóelemzés közben. Az mondta “neki” a tűzfalam, hogy “Break-in attempt detected: bad_request_uri_blacklist”

Illetve bajban vagyok: az iThemes Security (elődjének) fejlesztésében rész vettem, ergo ismerem a kódját, de mégsem nyilatkozok róla.