Suporte » Ajustando o WordPress » WordPress invadido – usuário alterado “HaCKeD by Mohamed Riahi”

  • Tenho revenda de hospedagem na Locaweb.
    Esta madrugada recebi um e-mail do plugin “wordfence” informando um login “indoxploit” com privilégios de administrador no site “HaCKeD by Mohamed Riahi”. Sendo que esse usuário nunca existiu.
    O nome do meu WP foi alterado. O usuário e senha de administradores foram alterados. O post #1 foi alterado para “HaCKeD by Mohamed Riahi”.
    Fiz uma pesquisa rápida no google e achei VÁRIOS sites com isso no título “HaCKeD by Mohamed Riahi”.
    Para minha surpresa, vários brasileiros no mesmo servidor da Locaweb que eu. Mas também muitos de outros provedores.
    Sabemos que o WP não permite alteração do usuário. Então isso foi alterado pelo banco de dados, certo?
    Pesquisando um pouco, tudo leva a crer que usaram um tal de “WSO 2.5.1 Web Shell”.
    O estranho é que só as instalações de WordPress foram afetadas. Outras plataformas e sites não tiveram qualquer modificação.
    Então fica aqui meu relato para se mais alguém teve o mesmo problema, ou se alguém pode tentar ajudar: o problema está na hospedagem ou no wordpress?
    OBS: WP sempre atualizado, plugins em dia, e uso plugins de segurança. Senhas complexas e escondo usuários.
    Alguém? Obrigado

Visualizando 5 respostas - 1 até 5 (de um total de 5)
  • Veja que há pastas de plugins criados pelo hacker com nome paypale e update-account-notification. Entre no phpmyadmin e troque a senha do administrador removar essas pastas.
    Agora, estou com problema de acessar área administrativa depois de atualizar para versão 4.7.
    Warning: Cannot modify header information – headers already sent by (output started at
    Vou tentar voltar para a versao 4.6

    Criador do tópico lordeleo

    (@lordeleo)

    Tenho 3 sites WP. Os 3 foram afetados.
    No meu principal, não foram injetados arquivos.
    Em apenas um deles, injetaram a pasta “ubh” na pasta de plugins. Já verifiquei e é um webshell.
    Instale o plugin “Wordfence Security” que ele identifica plugins e arquivos modificados, te avisa quando houver algum login com permissão de administrador, e evita ataques bloqueando automaticamente. Foi por causa dele que descobri a invasão.

    Detalhes do plugin webshell:
    Plugin Name: UBH CSU
    Plugin URI: ubhteam.org
    Description: upload shell and manage site or server using console :D, happy hacking 😉 !
    Author: Prappo Prince
    Author URI: prappo-prince.me
    Version: 1.0

    Criador do tópico lordeleo

    (@lordeleo)

    Conversei por mais de 1 hora com um técnico do suporte avançado da Locaweb.
    Ele me falou que a vulnerabilidade está na aplicação, e não no ambiente.
    Tudo leva a crer que o WordPress tem falha, que permite SQL Injection.

    E veja bem, estou sempre usando a ultima versão atualizada. No caso 4.7.
    Neste servidor, realmente só as instalações de wordpress foram afetadas. E foram dezenas.
    Queria informar que isso é muito sério e deve ser reportado ao desenvolvedor, mas não sei como fazer.
    Usuários mais experientes daqui poderiam informar como proceder?

    WordPress 4.7 está com vulnerabilidade de SQL Injection!

    Olá @lordeleo,

    A falha em questão é na REST API do wordpress que foi implementada. Essa api permite que sejam feitas consultas e tarefas nos sites com wordpres, porém, bots podem acessar essas informações também 😀 . Usernames de seu site por exemplo podem facilmente ser descobertos atraves de /wp-json/wp/v2/users , com esse tipo de vulnerabilidade na api é só juntar algumas ferramentas e técnicas para invadir.

    Exemplo: https://wpengine.com/wp-json/wp/v2/users

    Você pode bloquear a rest api temporariamente com esse plugin: https://wordpress.org/plugins/disable-json-api/

    A wordfence já está trabalhando junto com a equipe do wordpress nessa “falha”, pode acompanhar aqui: https://www.wordfence.com/blog/2016/12/wordfence-blocks-username-harvesting-via-new-rest-api-wp-4-7/

    Recomendo que também faça um verificação em seu site com o wpscan (https://wpscan.org/) ele irá lhe informar caso tenha alguma vulnerabilidade em algum plugin ou alguma falha em seu wordpress.

    Até.

    • Esta resposta foi modificada 4 anos, 10 meses atrás por italoxz.
    Criador do tópico lordeleo

    (@lordeleo)

    @italoxz,
    Obrigado pelas informações.
    Esta “falha” em questão não afeta meu site:
    {“code”:”rest_user_cannot_view”,”message”:”Sem permiss\u00e3o para listar usu\u00e1rios.”,”data”:{“status”:401}}
    Já uso “Wordfense” e o “AIO WP Segurança e Plugin de Firewall”, que são bem efetivos no bloqueio de acessos, firewall. Inclusive bloqueio tudo que seja de fora do Brasil.
    Mesmo assim meu WP e dezenas de outros tiveram seus usuários do banco de dados alterados.
    Neste caso, me leva a crer que tenha sido por SQL Injection. Pelo que vi, o “cracker” utilizou um webshell no servidor e comprometeu todas as demais contas do servidor compartilhado.
    Aí chega em um ponto: não dá para usar o WPScan em um servidor compartilhado né?
    Obrigado novamente

Visualizando 5 respostas - 1 até 5 (de um total de 5)
  • O tópico ‘WordPress invadido – usuário alterado “HaCKeD by Mohamed Riahi”’ está fechado para novas respostas.