ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น
« หน้าที่แล้ว ต่อไป »
หน้า: [1]   ลงล่าง
พิมพ์
ผู้เขียน หัวข้อ: Wordpress 2.1.2 xmlrpc Multiple Vulnerabilities  (อ่าน 1822 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
mormmam
Newbie
*

พลังน้ำใจ: 1
ออฟไลน์ ออฟไลน์

กระทู้: 30



ดูรายละเอียด เว็บไซต์
« เมื่อ: 10 เมษายน 2007, 17:17:07 »
อ่าครับ เนื่องจากเมื่อเช้า sem.or.th โดน hack ไปนะครับ ผมเองก็เป็นคน setระบบให้กับที่นั่นครับ ซึ่งลองเช็คๆ ระบบทั้งหมดแล้วพบปัญหาครับ เป็นรูรั่วของ wordpress 2.1.2 และต่ำกว่าครับ

ช่องโหว่ดังกล่าวในตัว wordpress 2.1.2 ครับ นั่นคือตัวของระบบ xmlrpc ปรกติระบบนี้จะใช้ในการ pinging ข้อมูลไปยัง ping server ในระบบครับ แต่มันถูกย้อนเกล็ด ยัด sql injection กลับมาครับ ผลคือ

1. ทำการสร้าง username ใหม่
2. ปรับระดับของ user คนใหม่นี้ให้อยู่ใน administrator

ผลคือ user ใหม่นี้สามารถทำทุกอย่างที่ admin ทำได้ครับ นั่นคือ ลบแก้ไขเนื้อหา หรือแม้แต่แก้หน้าแรกครับ

วิธีการแก้ไขปัญหาเบื้องต้นคือ

1. ทำการ update เป็นเวอร์ชั่น 2.1.3  ครับ
2. ป้องกันการถูกแก้หน้าแรก แก้ theme และไฟล์ต่างๆ ด้วยการ chmod folder ต่างๆ ให้เป็น 644 ไว้ก่อนครับ

ส่วนวิธีการแก้ไขหลังจาก โดนไปแล้ว กำลังไล่เช็คกันอยู่ครับ เพราะว่า ส่วนตัวแล้วกำลังคิดอยู่สองตัวครับ คือ เวอร์ชั่นก่อนหน้านี้คือ 2.1.1 มีรูรั่วตรงระบบ theme (โดน hacker ฝังมา) แล้วผมได้ทำการ upgrade จาก 2.1.1 => 2.1.2 โดยไม่ได้ทำการ clean install ใหม่ (ปรกติผมไม่ค่อยทำ clean install เสียด้วย) ดังนั้นจึงเป็นไปได้เช่นกันว่า อาจจะเกิดจากรูรั่วเวอร์ชั่นก่อนหน้านี้  

ถ้ายังไง จะอัพเดทข้อมูลอีกทีนะครับ
บันทึกการเข้า
The quick brown fox jumps over the lazy dog.
 *Link Removed*
e-business
Verified Seller
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 84
ออฟไลน์ ออฟไลน์

กระทู้: 2,521



ดูรายละเอียด
« ตอบ #1 เมื่อ: 10 เมษายน 2007, 17:34:45 »
ขอบคุณครับ ที่มาช่วย update
บันทึกการเข้า
คูปอง Facebook (มูลค่า $50) เพียงใบละ 259-299 บาท
ColdMoney
เจ้าพ่อบอร์ดเสียว
*

พลังน้ำใจ: 200
ออฟไลน์ ออฟไลน์

กระทู้: 12,622



ดูรายละเอียด เว็บไซต์
« ตอบ #2 เมื่อ: 10 เมษายน 2007, 17:40:25 »
ขอบคุณมากครับ ความรู้ๆ  :lol:  :lol:
บันทึกการเข้า
รับจำนอง รับซื้อบ้าน สินค้าราคาถูก เปรียบเทียบราคา
Ctrl-Alt-Del
สมุนแก๊งเสียว
*

พลังน้ำใจ: 1
ออฟไลน์ ออฟไลน์

กระทู้: 608



ดูรายละเอียด
« ตอบ #3 เมื่อ: 10 เมษายน 2007, 20:09:35 »
ขอบคุณสำหรับข้อมูลครับ  Cheesy
บันทึกการเข้า
...
pete
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 2
ออฟไลน์ ออฟไลน์

กระทู้: 1,030



ดูรายละเอียด
« ตอบ #4 เมื่อ: 10 เมษายน 2007, 22:52:37 »
ขอบคุณมากๆนะคับ

จะรีบ updateคร้าบ
บันทึกการเข้า
img]http://i156.photobucket.com/albums/t38/pete_muic/horror.gif[/img]
ยืมรูปหน่อยนะฟี่

ร่วมเรียนภาษาอังกฤษฟรี

รับแปลบทความ ไทย > อังกฤษ 300 บาท (500-600 คำ) เสร็จใน 24 ชม.
mormmam
Newbie
*

พลังน้ำใจ: 1
ออฟไลน์ ออฟไลน์

กระทู้: 30



ดูรายละเอียด เว็บไซต์
« ตอบ #5 เมื่อ: 10 เมษายน 2007, 23:36:37 »
แวะมาอัพเดท อีกรอบครับ

สรุปแล้วครับว่า รั่วจาก code ของตัว xmlrpc จริงๆครับ ปล่อยให้ sql injection ได้ครับ

ซึ่งผลกระทบเกิดกับเวอร์ชั่นที่ต่ำกว่า 2.1.3 และ 2.0.10 (ตัวหลังนี้ยังไม่มีรายงานครับเหมือนกันครับ)

สำหรับท่านที่ยังไม่โดนแก้หน้าแรก แต่ขอให้เช็คนิดนึงนะครับ

1. มี user ที่อยู่ในกลุ่ม admin เพิ่ม หรือเปลี่ยนแปลง หรือไม่
2. เช็คโค้ดที่สำคัญๆ ให้ดีครับ โดยเฉพาะท่านที่ใช้ plugin อย่าง adsense delux อาจจะโดนแก้ไข pub-id ได้ครับ

วิธีการป้องกันในตอนนี้
1. update wordpress เป็นเวอร์ชั่นใหม่ คือ 2.1.3 หรือ 2.0.10 ครับ
2. ให้แก้ property ของ folder หลักๆ ให้เป็น 755 แทนที่จะเป็น 777 นะครับ (ยกเว้น folder สำหรับ upload ภาพไม่งั้นจะ อัพภาพหรือไฟล์ไม่ได้)

วิธีการ update ให้ upload สคริปต์เก่า เช่นเวอร์ชั่น 2.1.2 ได้เลยครับ เท่าที่ผมลองมาทั้งหมด สี่ห้าเว็บ ไม่พบปัญหาแต่อย่างใด ทั้งหมดไม่ได้ทำการ deactive plugin เสียด้วยครับ (แต่ไม่แนะนำครับให้ deactive plugin ก่อนนะครับ)
บันทึกการเข้า
The quick brown fox jumps over the lazy dog.
 *Link Removed*
pete
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 2
ออฟไลน์ ออฟไลน์

กระทู้: 1,030



ดูรายละเอียด
« ตอบ #6 เมื่อ: 11 เมษายน 2007, 05:16:17 »
ขอบคุณอีกคครั้งคับ
บันทึกการเข้า
img]http://i156.photobucket.com/albums/t38/pete_muic/horror.gif[/img]
ยืมรูปหน่อยนะฟี่

ร่วมเรียนภาษาอังกฤษฟรี

รับแปลบทความ ไทย > อังกฤษ 300 บาท (500-600 คำ) เสร็จใน 24 ชม.
หน้า: [1]   ขึ้นบน
พิมพ์
« หน้าที่แล้ว ต่อไป »
กระโดดไป: