اتک از سایت های هک شده وردپرسی

چند روز پیش از حدود 70 سایت وردپرسی که لیست آنها را در ادامه گذاشتم حمله dDos داشتیم .
این سایت ها قطعا هک شده اند و به شکل رباط به فرمان هکر برای اتک به بقیه سایت ها استفاده میشود .
کاربران وردپرس پیگر قضیه باشند احتمالا باگ جدید کشف شده و عمومی منتشر نشده .
لیست اتکر ها :

کد:

---

http://www.joeydevilla.com
http://www.nettendenser.dk
http://www.ecorazzi.com
http://www.woothemes.com
http://fosfor.com
http://www.celtics247.com
http://honestreporting.com
http://forexmailservice.com
http://ts3cine.com
http://sweetgrassthemovie.com
http://republicofbacon.com
http://www.bowlluckystrike.com
http://www.templateaccess.com/wpdemos/wp7
http://liveoakmedia.net
http://amazonpilgrim.com
http://coolvibe.com
http://mygreenside.org
http://cgabriel.com
http://bluesrockreview.com
http://dossierjournal.com/blog
http://eablog.us
http://www.solarpanels-prices.co.uk
http://www.artshamsky.com
http://www.memphismeansmusic.com
http://www.hakkiceylan.com
http://manara1ram.blog.com
http://www.mikolka.info
http://blogs.democratandchronicle.com/political
http://cmp.hku.hk
http://www.totalpackers.com
http://desmoines2012.140conf.com
http://www.softiran.net/index.php
http://www.outsidethebeltway.com
http://all4mychild.com/blog
http://bur-han.ca
http://www.startablog101.com
http://nodepositblog.com
http://guerrerogallery.com
http://www.na1st.org
http://therrysays.com
http://foodalogue.com
http://www.aloevera-scout.de
http://aventure-personnelle.net
http://www.archer-group.com
http://thesocialbusinessbook.com
http://www.mantelmasterpieces.com
http://www.slcsem.org
http://www.etargeting.com
http://imatters.net
http://anewmarketingcommentator.com
http://commiegirlcollective.com
http://liveloveandrun.com
http://healthyincandyland.com
http://dreamteamro.net
http://www.hellogames.org
http://gmapalumni.org/chapomatic
http://timetosinghello.com
http://rachelrambach.com
http://www.mysweetandsaucy.com
http://www.solvencyiiwire.com
http://flyaecfi.com
http://dessertbuzz.com
http://xentek.net
http://www.cmybacon.com
http://www.kuroyumes-developmentzone.com
http://hipinvestor.com
http://www.host-tracker.com/
http://generallythinking.com
http://www.viper007bond.com
http://www.icreatemagazine.com
http://alexdc.org
http://emilysterne.com
http://mccplanners.com
http://www.marjmerges.com
http://leadershipformation.com
http://villajoyosa.tv
http://investingpledge.com
http://iheartjennysart.com
http://www.thewannabeathlete.com

---

بله, این مربوط به باگ xml rpc وردپرس می بادشد.

نقل قول:

---

نوشته اصلی توسط yastheme

بله, این مربوط به باگ xml rpc وردپرس می بادشد.

---

جزئیات بیشتری دارید؟

نقل قول:

---

نوشته اصلی توسط us12

چند روز پیش از حدود 70 سایت وردپرسی که لیست آنها را در ادامه گذاشتم حمله dDos داشتیم .
این سایت ها قطعا هک شده اند و به شکل رباط به فرمان هکر برای اتک به بقیه سایت ها استفاده میشود .
کاربران وردپرس پیگر قضیه باشند احتمالا باگ جدید کشف شده و عمومی منتشر نشده .
لیست اتکر ها :

کد:

---

http://www.joeydevilla.com
http://www.nettendenser.dk
http://www.ecorazzi.com
http://www.woothemes.com
http://fosfor.com
http://www.celtics247.com
http://honestreporting.com
http://forexmailservice.com
http://ts3cine.com
http://sweetgrassthemovie.com
http://republicofbacon.com
http://www.bowlluckystrike.com
http://www.templateaccess.com/wpdemos/wp7
http://liveoakmedia.net
http://amazonpilgrim.com
http://coolvibe.com
http://mygreenside.org
http://cgabriel.com
http://bluesrockreview.com
http://dossierjournal.com/blog
http://eablog.us
http://www.solarpanels-prices.co.uk
http://www.artshamsky.com
http://www.memphismeansmusic.com
http://www.hakkiceylan.com
http://manara1ram.blog.com
http://www.mikolka.info
http://blogs.democratandchronicle.com/political
http://cmp.hku.hk
http://www.totalpackers.com
http://desmoines2012.140conf.com
http://www.softiran.net/index.php
http://www.outsidethebeltway.com
http://all4mychild.com/blog
http://bur-han.ca
http://www.startablog101.com
http://nodepositblog.com
http://guerrerogallery.com
http://www.na1st.org
http://therrysays.com
http://foodalogue.com
http://www.aloevera-scout.de
http://aventure-personnelle.net
http://www.archer-group.com
http://thesocialbusinessbook.com
http://www.mantelmasterpieces.com
http://www.slcsem.org
http://www.etargeting.com
http://imatters.net
http://anewmarketingcommentator.com
http://commiegirlcollective.com
http://liveloveandrun.com
http://healthyincandyland.com
http://dreamteamro.net
http://www.hellogames.org
http://gmapalumni.org/chapomatic
http://timetosinghello.com
http://rachelrambach.com
http://www.mysweetandsaucy.com
http://www.solvencyiiwire.com
http://flyaecfi.com
http://dessertbuzz.com
http://xentek.net
http://www.cmybacon.com
http://www.kuroyumes-developmentzone.com
http://hipinvestor.com
http://www.host-tracker.com/
http://generallythinking.com
http://www.viper007bond.com
http://www.icreatemagazine.com
http://alexdc.org
http://emilysterne.com
http://mccplanners.com
http://www.marjmerges.com
http://leadershipformation.com
http://villajoyosa.tv
http://investingpledge.com
http://iheartjennysart.com
http://www.thewannabeathlete.com

---

---

با سلام

شما افزونه امنیتی وردپرس را نصب کنید

از اون افزونه می توانید استفاده کنید و مشکل را برطرف کنید

موفق باشید

نقل قول:

---

نوشته اصلی توسط Yas-Host

جزئیات بیشتری دارید؟

---

بله, ما چند روز پیش یکی از مشتریهامون دچار این حمله شده بود,

بررسی کردیم و مثل این دوستمون متعجب شده بودیم!! بعد از بررسی دقیق تر مشاهده شدیم متاسفانه یک باگ بسیار ساده! که برای Ping back گرفتن در وردپرس استفاده شده بود این اجازه رو میده که به وب سایت هدف درخواست ارسال کنه!
احتمالا هکر یه مجموعه بزرگی از این سایت ها رو پیدا کرده( که البته نباید کار سختی باشه)!!
توی گوگل عبارت
WordPress XML-RPC Pingback DDoS Attack جستجو کنید تا به نتایج بیشتری برسید.

نقل قول:

---

نوشته اصلی توسط yastheme

بله, ما چند روز پیش یکی از مشتریهامون دچار این حمله شده بود,

بررسی کردیم و مثل این دوستمون متعجب شده بودیم!! بعد از بررسی دقیق تر مشاهده شدیم متاسفانه یک باگ بسیار ساده! که برای Ping back گرفتن در وردپرس استفاده شده بود این اجازه رو میده که به وب سایت هدف درخواست ارسال کنه!
احتمالا هکر یه مجموعه بزرگی از این سایت ها رو پیدا کرده( که البته نباید کار سختی باشه)!!
توی گوگل عبارت
WordPress XML-RPC Pingback DDoS Attack جستجو کنید تا به نتایج بیشتری برسید.

---

با سلام و احترام

افزونه را نصب کنید در قسمت WordPress XML-RPC تنظیمات را انجام دهید
مشکل برطرف می شود
برای یکی از مشتریان همین کار را انجام دادیم، رفع شد

موفق باشید

نقل قول:

---

نوشته اصلی توسط smh2000

با سلام و احترام

افزونه را نصب کنید در قسمت WordPress XML-RPC تنظیمات را انجام دهید
مشکل برطرف می شود
برای یکی از مشتریان همین کار را انجام دادیم، رفع شد

موفق باشید

---

ببخشید , دچار سو تفاهم شدید! از سایتشون اتک نمیشه! به سایتشون اتک میشه! واقعا فکر می کنید با یه افزونه میشه جلوی اتک گرفت؟

نقل قول:

---

نوشته اصلی توسط smh2000

با سلام

شما افزونه امنیتی وردپرس را نصب کنید

از اون افزونه می توانید استفاده کنید و مشکل را برطرف کنید

موفق باشید

---

نقل قول:

---

نوشته اصلی توسط smh2000

با سلام و احترام

افزونه را نصب کنید در قسمت WordPress XML-RPC تنظیمات را انجام دهید
مشکل برطرف می شود
برای یکی از مشتریان همین کار را انجام دادیم، رفع شد

موفق باشید

---

بله همانطور که دوستمون گفتم شما قضیه را اشتباه برداشت کردید . ما از وردپرس استفاده نمیکنیم و از هاست ما هم کسی اتک نشده ، بلکه به ما حمله شده بود . حمله کوچکی هم نبود و در ثانیه حدود 1000 رکویست فرستاده میشود .
برای جلوگیری از حملات ddos که حتی ریکوئیست به آپاچی هم نمیرسه و فقط شبکه را مشغول میکنه نمیشه از اسکریپت های برنامه نویسی کمکی جست !

دیر این تاپیک رو دیدم
ابتدا حتما از آخرین ورژن وردپرس استفاده کنید
این لینک ها خالی از لطف نیستند
https://fooplugins.com/prevent-wordpress-pingback-ddos/
https://isc.sans.edu/forums/diary/Wo...Attacks/17801/
https://blog.sucuri.net/2014/03/more...ce-attack.html

نقل قول:

---

نوشته اصلی توسط yastheme

بله, ما چند روز پیش یکی از مشتریهامون دچار این حمله شده بود,

بررسی کردیم و مثل این دوستمون متعجب شده بودیم!! بعد از بررسی دقیق تر مشاهده شدیم متاسفانه یک باگ بسیار ساده! که برای Ping back گرفتن در وردپرس استفاده شده بود این اجازه رو میده که به وب سایت هدف درخواست ارسال کنه!
احتمالا هکر یه مجموعه بزرگی از این سایت ها رو پیدا کرده( که البته نباید کار سختی باشه)!!
توی گوگل عبارت
WordPress XML-RPC Pingback DDoS Attack جستجو کنید تا به نتایج بیشتری برسید.

---

باسلام
راه حل برای رفع ارایه میدهید؟
یا لینک درصورت امکان.
باتشکر

نقل قول:

---

نوشته اصلی توسط jahromweb

باسلام
راه حل برای رفع ارایه میدهید؟
یا لینک درصورت امکان.
باتشکر

---

راه حل این متود بسیار ساده است :)

http://www.ddos-guard.ir/%D8%A7%D9%8...7%D9%88%D9%84/

نقل قول:

---

نوشته اصلی توسط yastheme

راه حل این متود بسیار ساده است :)

http://www.ddos-guard.ir/%D8%A7%D9%8...7%D9%88%D9%84/

---

باتشکر
برای جلوگیری از این که این حملات توسط سایت های روی سرور ایجاد نشود چه راه حلی است؟

Test Yourself

You can test to see if your site was used in the WordPress Pingback Botnet by using Sucuri’s WordPress DDoS scanner. This is what I got back:
https://fooplugins.com/wp-content/up...ts-700x667.jpg
Protect Yourself

Sucuri posted a code snippet which will get you out of the woods:
add_filter( ‘xmlrpc_methods’, function( $methods ) { unset( $methods['pingback.ping'] ); return $methods; } );

1 2 3 4

add_filter( ‘xmlrpc_methods’, function( $methods ) { unset( $methods['pingback.ping'] ); return $methods; } );

And then Jeff, over at the Tavern, cleaned it up a bit to make it work with more versions of PHP.
But I was still not happy.
This bit of code is too important to be part of your functions.php file! When you change themes at some point in the future, you can unknowingly open yourself up to become part of the next WordPress Pingback DDoS Botnet.
So I created a simple little plugin with this same code and posted the code on GitHub. It is also available on the WordPress.org plugin repo : Remove XMLRPC Pingback Ping.
Download the zip of the plugin now and activate it.
Test Yourself Again!

If you are paranoid like me, I wanted to make absolutely sure that even after I activated my Remove XMLRPC Pingback plugin, that I was protected. So after a little digging, I managed to figure out how to test my site.
Follow these steps and replace http://YOUR-SITE-URL.com with the URL of your site:

1. Install the Chrome extension PostMan
   
2. As your request URL, enter http://YOUR-SITE-URL.com/xmlrpc.php
   
3. Make sure you are doing a POST
   
4. Set your request body to be RAW with the following content:
   <methodCall>
   <methodName>pingback.ping</methodName>
   <params>
   <param><value><string>http://YOUR-SITE-URL.com</string></value></param>
   <param><value><string>http://YOUR-SITE-URL.com/hello-world/</string></value></param>
   </params>
   </methodCall>
   
5. Make sure the second param is a valid blog post URL that exists in your WordPress site
   
6. Send the request!

If you get back a response saying the pingback from http://YOUR-SITE-URL.com to http://YOUR-SITE-URL.com/hello-world/ was registered, then your site is wide open. Here is a screenshot from POSTMAN:
https://fooplugins.com/wp-content/up...ed-700x487.png
After activating this plugin, sending through the same request as above should result in an error response from the website server error. requested method pingback.ping does not exist., as seen in this screenshot:

https://fooplugins.com/wp-content/up...ed-700x591.png

نسخه 4 به بعد وردپرس این باگ رو ندارن؛
وردپرس ها را به روز کنید

- - - Updated - - -

البته یه مورد هم در خصوص روش بستن رکوئست هایی که User agent خالی دارن بگم؛تمامی مرورگر ها و اکثر بات ها از گوگل گرفته تا حتی اسپیمر ها برای خودشون Use agent دارن؛ اما سایت e Namad نداره :)
برای همین آی پی ای نماد رو تو وایت لیست بزارید تا کاربرانتون برای تاییدنماد به مشکل برنخورند؛
حد اقل یه User agent خشک و خالی براش انتخاب می کردند.

نقل قول:

---

نوشته اصلی توسط yastheme

نسخه 4 به بعد وردپرس این باگ رو ندارن؛
وردپرس ها را به روز کنید

- - - updated - - -

البته یه مورد هم در خصوص روش بستن رکوئست هایی که user agent خالی دارن بگم؛تمامی مرورگر ها و اکثر بات ها از گوگل گرفته تا حتی اسپیمر ها برای خودشون use agent دارن؛ اما سایت e namad نداره :)
برای همین آی پی ای نماد رو تو وایت لیست بزارید تا کاربرانتون برای تاییدنماد به مشکل برنخورند؛
حد اقل یه user agent خشک و خالی براش انتخاب می کردند.

---

برای جلوگیری از ***** شدن اینجوری زدن :d

کاری به این موضوع ندارم اما این اسکریپت وردپرس که این همه معروف و پذیرنده داره جهانی هست و این ها و خارجی هست و خیلی خوب هست چرا هر ورژن یا نسخه میده باگ توش کشف میشه و داره چقدر بی امنیت هست این بائید هست از اینچور اسکریپت ها که 1 روز ندیدم تو سایت های امنیتی باگ جدید کشف نکنن همش تو سایت های امنیتی میبینم باگ وردپرس 4 باگ وردپرس 4.1 باگ وردپرس 4.2 نمیدونم 4.4 نمیدونم 3 فلان جریانش چیه این اسکریپت خوب جهانی فوق معروف و کار امد اصلا امنیت اوکی نیست هر چی جلو میره باگ جدید میاد واسش با تشکر

نقل قول:

---

نوشته اصلی توسط مینا-صیفی

کاری به این موضوع ندارم اما این اسکریپت وردپرس که این همه معروف و پذیرنده داره جهانی هست و این ها و خارجی هست و خیلی خوب هست چرا هر ورژن یا نسخه میده باگ توش کشف میشه و داره چقدر بی امنیت هست این بائید هست از اینچور اسکریپت ها که 1 روز ندیدم تو سایت های امنیتی باگ جدید کشف نکنن همش تو سایت های امنیتی میبینم باگ وردپرس 4 باگ وردپرس 4.1 باگ وردپرس 4.2 نمیدونم 4.4 نمیدونم 3 فلان جریانش چیه این اسکریپت خوب جهانی فوق معروف و کار امد اصلا امنیت اوکی نیست هر چی جلو میره باگ جدید میاد واسش با تشکر

---

دیگه شما زیاد جوش نزن :d ♥

نقل قول:

---

نوشته اصلی توسط مینا-صیفی

کاری به این موضوع ندارم اما این اسکریپت وردپرس که این همه معروف و پذیرنده داره جهانی هست و این ها و خارجی هست و خیلی خوب هست چرا هر ورژن یا نسخه میده باگ توش کشف میشه و داره چقدر بی امنیت هست این بائید هست از اینچور اسکریپت ها که 1 روز ندیدم تو سایت های امنیتی باگ جدید کشف نکنن همش تو سایت های امنیتی میبینم باگ وردپرس 4 باگ وردپرس 4.1 باگ وردپرس 4.2 نمیدونم 4.4 نمیدونم 3 فلان جریانش چیه این اسکریپت خوب جهانی فوق معروف و کار امد اصلا امنیت اوکی نیست هر چی جلو میره باگ جدید میاد واسش با تشکر

---

برای اینکه اسکریپت رایگان و معروفی است افراد بیشماری آنرا نصب کرده اند و برای هکر ارزش داره ماه ها وقت بگذاره و باگ پیدا کنه ، با پیدا کردن یک باگ انبوهی سایت مشابه را میتونه هک کنه .

توجه داشته باشید امنیت 100 درصدی فقط وقتی تمام کامیپوتر ها خاموش و تکه تکه شده باشند وجود داره !

نقل قول:

---

نوشته اصلی توسط us12

برای اینکه اسکریپت رایگان و معروفی است افراد بیشماری آنرا نصب کرده اند و برای هکر ارزش داره ماه ها وقت بگذاره و باگ پیدا کنه ، با پیدا کردن یک باگ انبوهی سایت مشابه را میتونه هک کنه .

توجه داشته باشید امنیت 100 درصدی فقط وقتی تمام کامیپوتر ها خاموش و تکه تکه شده باشند وجود داره !

---

اسکریپت های دیگه هم رایگان هست مثله این نیست هر روز باگ داشته باشه و تعداد هک شده هاش روز به روز رو به افزایش هست و میدونم وقتی یک راهی پیدا میکنی میتوانید با همان توسط bing که هکرا استفاده و سرچ میکنند 10000 ران سایت را با همان شل یا راه قربانی میکنند .

- - - Updated - - -

نقل قول:

---

نوشته اصلی توسط SamaN DL

دیگه شما زیاد جوش نزن :d ♥

---

جوش نیست وقتی برنامه نویس های این اسکریپت خلاصه حرفه ای هستند اما یک ادم 15 یا 18ساله میاد از توش xss در میاره خیلی هست که چطور برنامه نویس اسکریپت با اون حرفه ای بودنش و غیره وقتی ورژن جدید میده تو همون اخه ؟ .... من فکر میکنم این مدیر این اسکریپ چیزی از امنیت نمیدونه میاد 100000 نفر که هک شدند بعد گزارش میدند بعد اقا هم ورزن جدید میده دوباره باگ حالا sql پس فردا CSRF پس فردا remoter نمیدونم uploader و غیره هر نوع باگی هر نوع نفوذی در دنیا روی همین اسکریپت شده بس کنه بابا .

به نظرم وردپرس امنیت مطلوبی داره نسبت به امکانات اسکریپتش
امکانات و ابزار و راحتی بیشتر = افزایش مشکلات امنیتی

50 درصد امنیت اسکریپت هست 50 دانش و تجربه وبمستر هست
هستند سایت هایی که قدیمی هستند و با وجود صد ها بار حملات هک در روز هک هم نشدند.