Wordpress - atak SQL?


(NieznanyZnany) #1

Dostałem dziś e-maila:

WordPress Firewall has detected and blocked a potential attack!
Web Page: MOJANAZWA.pl/wp-admin/admin-post.php
Warning: URL may contain dangerous content!
Offending IP: IP PANA Z FRANCJI [ Get IP location ]
Offending Parameter: action = wp_async_wp_generate_attachment_metadata

This may be a “WordPress-Specific SQL Injection Attack.”

Czy mam się czego obawiać ?
Co ten ktoś chciał zrobić ?


WordPress a e-mail - atak SQL?
(Domker) #2

https://codex.wordpress.org/Function_Reference/wp_generate_attachment_metadata
Chciał pewnie pobrać bazę danych wykorzystując lukę.

W każdym razie informacje o podobnej luce znalazłem z 2015 roku, więc już dawno załatana.
Zazwyczaj automaty szukają podatnych wersji Wordpressa na daną lukę (na cel pal) lub nie aktualizowanych dawno.
Obawiać raczej się nie masz czego.
W każdym razie Wordpress nie jest najbezpieczniejszym CMS’em.


(NieznanyZnany) #3

Tutaj coś było - skasowałem bo było nie na temat.

Wracając do tematu, kolejny alert taki sam dostałem. Znów w czasie pisania wpisu/bloga/notki w wordpressie. Zastanawiam się czy to nie jest fałszywy alarm i jakaś wtyczka zapisuje dane, czy coś… tak tylko siebie tłumacze, macie jakiś pomysł ? Czy zbieg okoliczności i ktoś faktycznie próbuje dostać się do mojej pustej i nieciekawej bazy danych ?

Pisałem IP w adres przeglądarki (http://ip-lookup.net/?ip=87.98.235.184) i widzę że to jest stary adres do “Logowanie do interfejsu Webmail” na serwerze OVH. Pytanie dlaczego dostaję ten alert skoro to jest mój serwer.

Gdyby to była osoba prywatna to rozumiem, ale w tym przypadku nie wiem co o tym myśleć, czy blokować, czy dodać do białej listy ?


(Domker) #4

Może też być wina jakiejś wtyczki.
Najlepiej wyłączyć wtyczki i sprawdzić, czy dalej takie coś będzie się pojawiać.


(NieznanyZnany) #5

Będę musiał zobaczyć która wtyczka jest odpowiedzialna za zabawę w stary link ovh.


(NieznanyZnany) #6

Dostałem e-maila
Nadawca: sales@yoorhosting.com
Tytuł: Please make sure your website loads as fast as possible
Kieruje linkami do strony: yoorshop.fr
e-mail dostałem na e-mail mojej strony kontakt@mojastrona.pl

Chwilę później dostałem komunikat o próbie ataku. IP z “ataku” 91.134.248.235 (niestety nie wiem jakie były wcześniejsze, skasowałem omyłkowo listę).

W sieci reputacja tego IP głownie zła.

Host of this IP: gwc.cluster023.hosting.ovh.net
Organization: OVH SAS
ISP/Hosting: OVH SAS

I teraz… czy to jest atak czy normalne zachowanie OVH ? Na wszelki wypadek na razie zablokowałem ten IP w .htaccess

Co dalej robić ? @Domker i @Fizyda zaznaczam Was bo by się znacie na webmasterce…