Wordpress 2.1.2 xmlrpc Multiple Vulnerabilities

เริ่มโดย mormmam, 10 เมษายน 2007, 17:17:07

หัวข้อก่อนหน้า - หัวข้อถัดไป

0 สมาชิก และ 1 ผู้มาเยือน กำลังดูหัวข้อนี้

พิมพ์
ลง หน้า1
การกระทำของผู้ใช้

mormmam

10 เมษายน 2007, 17:17:07
อ่าครับ เนื่องจากเมื่อเช้า sem.or.th โดน hack ไปนะครับ ผมเองก็เป็นคน setระบบให้กับที่นั่นครับ ซึ่งลองเช็คๆ ระบบทั้งหมดแล้วพบปัญหาครับ เป็นรูรั่วของ wordpress 2.1.2 และต่ำกว่าครับ

ช่องโหว่ดังกล่าวในตัว wordpress 2.1.2 ครับ นั่นคือตัวของระบบ xmlrpc ปรกติระบบนี้จะใช้ในการ pinging ข้อมูลไปยัง ping server ในระบบครับ แต่มันถูกย้อนเกล็ด ยัด sql injection กลับมาครับ ผลคือ

1. ทำการสร้าง username ใหม่
2. ปรับระดับของ user คนใหม่นี้ให้อยู่ใน administrator

ผลคือ user ใหม่นี้สามารถทำทุกอย่างที่ admin ทำได้ครับ นั่นคือ ลบแก้ไขเนื้อหา หรือแม้แต่แก้หน้าแรกครับ

วิธีการแก้ไขปัญหาเบื้องต้นคือ

1. ทำการ update เป็นเวอร์ชั่น 2.1.3  ครับ
2. ป้องกันการถูกแก้หน้าแรก แก้ theme และไฟล์ต่างๆ ด้วยการ chmod folder ต่างๆ ให้เป็น 644 ไว้ก่อนครับ

ส่วนวิธีการแก้ไขหลังจาก โดนไปแล้ว กำลังไล่เช็คกันอยู่ครับ เพราะว่า ส่วนตัวแล้วกำลังคิดอยู่สองตัวครับ คือ เวอร์ชั่นก่อนหน้านี้คือ 2.1.1 มีรูรั่วตรงระบบ theme (โดน hacker ฝังมา) แล้วผมได้ทำการ upgrade จาก 2.1.1 => 2.1.2 โดยไม่ได้ทำการ clean install ใหม่ (ปรกติผมไม่ค่อยทำ clean install เสียด้วย) ดังนั้นจึงเป็นไปได้เช่นกันว่า อาจจะเกิดจากรูรั่วเวอร์ชั่นก่อนหน้านี้  

ถ้ายังไง จะอัพเดทข้อมูลอีกทีนะครับ
The quick brown fox jumps over the lazy dog.
*Link Removed*

e-business

#1
10 เมษายน 2007, 17:34:45
ขอบคุณครับ ที่มาช่วย update
คูปอง Facebook (มูลค่า $50) เพียงใบละ 259-299 บาท

ColdMoney

#2
10 เมษายน 2007, 17:40:25
ขอบคุณมากครับ ความรู้ๆ  :lol:  :lol:
[direct=https://www.jumnong.com]รับจำนอง[/direct] [direct=https://burapasup.com]รับซื้อบ้าน[/direct] [direct=https://kadsan.com]สินค้าราคาถูก[/direct] [direct=https://checkcheap.com]เปรียบเทียบราคา[/direct]

Ctrl-Alt-Del

#3
10 เมษายน 2007, 20:09:35
ขอบคุณสำหรับข้อมูลครับ  :D
...

pete

#4
10 เมษายน 2007, 22:52:37
ขอบคุณมากๆนะคับ

จะรีบ updateคร้าบ

mormmam

#5
10 เมษายน 2007, 23:36:37
แวะมาอัพเดท อีกรอบครับ

สรุปแล้วครับว่า รั่วจาก code ของตัว xmlrpc จริงๆครับ ปล่อยให้ sql injection ได้ครับ

ซึ่งผลกระทบเกิดกับเวอร์ชั่นที่ต่ำกว่า 2.1.3 และ 2.0.10 (ตัวหลังนี้ยังไม่มีรายงานครับเหมือนกันครับ)

สำหรับท่านที่ยังไม่โดนแก้หน้าแรก แต่ขอให้เช็คนิดนึงนะครับ

1. มี user ที่อยู่ในกลุ่ม admin เพิ่ม หรือเปลี่ยนแปลง หรือไม่
2. เช็คโค้ดที่สำคัญๆ ให้ดีครับ โดยเฉพาะท่านที่ใช้ plugin อย่าง adsense delux อาจจะโดนแก้ไข pub-id ได้ครับ

วิธีการป้องกันในตอนนี้
1. update wordpress เป็นเวอร์ชั่นใหม่ คือ 2.1.3 หรือ 2.0.10 ครับ
2. ให้แก้ property ของ folder หลักๆ ให้เป็น 755 แทนที่จะเป็น 777 นะครับ (ยกเว้น folder สำหรับ upload ภาพไม่งั้นจะ อัพภาพหรือไฟล์ไม่ได้)

วิธีการ update ให้ upload สคริปต์เก่า เช่นเวอร์ชั่น 2.1.2 ได้เลยครับ เท่าที่ผมลองมาทั้งหมด สี่ห้าเว็บ ไม่พบปัญหาแต่อย่างใด ทั้งหมดไม่ได้ทำการ deactive plugin เสียด้วยครับ (แต่ไม่แนะนำครับให้ deactive plugin ก่อนนะครับ)
The quick brown fox jumps over the lazy dog.
*Link Removed*
พิมพ์
ขึ้น หน้า1
การกระทำของผู้ใช้