[Wordpress] Hckrs blijven site aanvalen ondaks renamen files - Internet en hosting

woensdag 27 augustus 2014 20:51

Acties:

0 Henk 'm!

...---...---...---

Topicstarter

Wat ik nu heb... (naast de topic regel, maar ja, ruimte te kort voor benodigd aantal letters..)

Ik update altijd gelijk mijn wordpress site EN wat er aanhangt. En als ik het wel heb, update wordpress zichzelf de laatste 2 x zElf! (?)

Nu kreeg ik ineens een waterval van foutieve logins
(per mail, en een blacklist wordt gevuld plus blokkeren voor 24 uur de login)
welke ik gelukkig al na 2 minuten bij toeval ontdekte wegens mijn mailwasher.

Dus gelijk via cpanel diverse files gerenamed

Maar niks hoor wp-admin.php , wp-login.php, renamen van index.php (dan zag je de menu structuur en filenames, foutje van webhoster?)
het mag niet baten, nog steeds komen er sporadisch nu 2 x foutieve logins binnen, gelukkig wel met naam admin en die klopt alvast niet sinds minuut 1 van in de lucht zijn ooit.

Anderen hier ook ineens last van?

Ik bedoel, laatste wordpress versie, anti fout login en ip filters die blacklists checken... gerenamede files, index.php verstopt en vervangen voor een tekst...

en dan toch kunnen ze inlogpogingen doen, weird toch!?

[ Voor 6% gewijzigd door notsonewbie op 27-08-2014 20:57 ]

http://tweakers.net/gallery/45440/sys | Als het in de manual staat is dat fout.... (Creative ZEN scherm perikelen)

donderdag 28 augustus 2014 00:17

Acties:

0 Henk 'm!

TECHcrime

WordPress wordt geregeld heel veel aangevallen. Je bent echt niet de enige. Je ziet het nu omdat je er een detectie voor hebt.

Als je geen gebruik maakt van de wp-login.php, behalve voor je administratieve gebruiker, dan kan je eens overwegen om een htpasswd ervoor te hangen. Zo moet je een extra wachtwoord invoeren voordat je uberhaupt bij de wp-login kunt komen. Hier zal je ongetwijfeld een heleboel mee tegenhouden. Kijk hiervoor eens op http://codex.wordpress.or...word_Protect_wp-login.php

donderdag 28 augustus 2014 00:42

Acties:

0 Henk 'm!

Bender

Wordpress zelf is het niet probleem zelden, dus de maatregelen die je neemt zijn veelal nutteloos.
9 van de 10x zit het in de plugins en templates die je gebruikt, welke vrijwel altijd bereikbaar blijven zolang ze op je webhosting staan.

donderdag 28 augustus 2014 21:09

Acties:

0 Henk 'm!

Verwijderd

Ik ben erg blij met BruteProtect. Er zijn meer van dit soort oplossingen, maar persoonlijk vind ik dit de beste.

Misschien is het ook iets voor jou?

http://wordpress.org/plugins/bruteprotect/

https://bruteprotect.com/

maandag 1 september 2014 23:35

Acties:

0 Henk 'm!

notsonewbie

...---...---...---

Topicstarter

Het bleek een file die (provider heeft een exploit scan en nog e.e.a. gedaan) er al sinds 2013 staat te zijn.
Als die datum van dat file niet zo gezet is...

Iets van cmdrcp.php , toen ik die delete was het gelijk afgelopen.

http://tweakers.net/gallery/45440/sys | Als het in de manual staat is dat fout.... (Creative ZEN scherm perikelen)

dinsdag 2 september 2014 07:31

Acties:

0 Henk 'm!

magneet

Magnetic enhanced

Bij Deziweb waar ik zit kregen alle klanten een mail om een .htaccess te maken voor de admin omgeving van de wordpress installaties met daarin alleen de ip's waravandaan je zelf connect.

You have the right to remain silent
everything you say will be misquoted
and used against you in a court of law

dinsdag 2 september 2014 11:49

Acties:

0 Henk 'm!

P_Tingen

omdat het KAN

Ik gebruik de Limit Login Attempts plugin en die heeft 3800 blokkades gedaan waarvan nu nog 2 actief.

Ik heb de plugin wel wat stricter ingesteld dan de standaarden:
- Max 3 pogingen om in te loggen
- Daarna een uur geblokkeerd
- Bij 2 blokkades binnen 24 uur 4 dagen geblokkeerd

Het gaat bij mij ook met vlagen.

... en gaat over tot de orde van de dag

dinsdag 2 september 2014 23:46

Acties:

0 Henk 'm!

Thapous

Nee toch niet.

Ik werk bij een hostingbedrijf (10 k+ websites) en zie de afgelopen dagen meer brute force attacks op wordpress websites dan normaal. Het is dus inderdaad wel iets wat erg is gestegen de afgelopen dagen.

In de meeste gevallen blijft het toch een kwestie van een plug-in of .htaccess installeren om dit tegen te gaan helaas.

//Thapous

dinsdag 2 september 2014 23:51

Acties:

0 Henk 'm!

johnkeates

Hij had cmdrcp.php staan, dat is een remote command processor... heeft geen zin om je wordpress installatie aan te passen als je gewoon een draaiende backdoor op je webserver hebt staan.

dinsdag 2 september 2014 23:55

Acties:

0 Henk 'm!

iApp

Say cheese

Ik kan wp-renamer van harte aanbevelen. Zo kunnen hackers niet naar /wp-admin/ om een login-poging uit te voeren. Verzin in plaats daarvan een naam, bijvoorbeeld je sitenaam + jaartal + login, zodat je een eigen login url hebt.

An  a day keeps the doctor away.

woensdag 3 september 2014 15:48

Acties:

0 Henk 'm!

notsonewbie

...---...---...---

Topicstarter

magneet schreef op dinsdag 02 september 2014 @ 07:31:
Bij Deziweb waar ik zit kregen alle klanten een mail om een .htaccess te maken voor de admin omgeving van de wordpress installaties met daarin alleen de ip's waravandaan je zelf connect.

Die had ik.
Toen namen we hier zo een )*&!#98!@&#$ UPC horizon box.... EN ik deed mee aan het testpanel.
Sindsdien 4 x ineens een ander 'vast' ip nummer voor mij....

Het was dus gewoon een los file, een 2e 'login.php'. Hoe die er kwam, de webhoster kan het ook niet gokken.
Die gebruikte paar plugins die ik heb vertoonden geen rariteiten en de meeste gebruikt hijzelf ook.

Dus de rename optie voor wp-login.php (ik heb ook zoiets, een redirect url zeg maar) dat werkt normaal wel, maar ja als ze een aparte los van WP ontwikkelde remotelogin file kunnen 'planten', tja... die moet je dan met veel mazzel vinden.
Die gevonden, weg er mee, en het was acuut over en kwam niet meer terug.

Iedereen bedankt voor de input. Weer wat geleerd.

http://tweakers.net/gallery/45440/sys | Als het in de manual staat is dat fout.... (Creative ZEN scherm perikelen)

woensdag 3 september 2014 18:25

Acties:

0 Henk 'm!

magneet

Magnetic enhanced

Die xmlrpc.php is overigens een bestand van Wordpress zelf! (hij stond bij mij ook dus ben ff gaan zoeken)

http://codex.wordpress.org/XML-RPC_Support

Hij staat ook in de zip file als je wordpress los download.

[ Voor 17% gewijzigd door magneet op 03-09-2014 18:31 ]

You have the right to remain silent
everything you say will be misquoted
and used against you in a court of law

woensdag 3 september 2014 20:17

Acties:

0 Henk 'm!

johnkeates

Hij heeft xmlrpc.php nergens genoemd? Wat heeft dat er mee te maken.

woensdag 3 september 2014 22:05

Acties:

0 Henk 'm!

magneet

Magnetic enhanced

ow verrek, verkeerd gelezen idd, excuus

You have the right to remain silent
everything you say will be misquoted
and used against you in a court of law

zondag 7 september 2014 22:17

Acties:

0 Henk 'm!

notsonewbie

...---...---...---

Topicstarter

magneet schreef op woensdag 03 september 2014 @ 22:05:
ow verrek, verkeerd gelezen idd, excuus

Nou, of wel, ik citeer mijzelf : "Iets van cmdrcp.php , toen ik die delete was het gelijk afgelopen."
Het zou dus kunnen.

En die in wordpress zit, die is ook direct te benaderen met naam en password van de wp-login.php?

Wat is dan het verschil? (beide is gewoon webbased via bijv. een tablet je WP site managen zie ik zo voor mij...)

http://tweakers.net/gallery/45440/sys | Als het in de manual staat is dat fout.... (Creative ZEN scherm perikelen)