WordPress 3.3.1 Yükleyenler İçeri!

Eskiye dönmek gibi bir mantık nasıl bir mantıktır :) Zaten eski sürümdeki güvenlik açıkları ve bug'lar giderilmiyor mu yeni sürümde :)

Wordpress forumunda olsun, resmi blogunda olsun bir açıklama göremedim. Ayrıca o kadar büyük bir risk ortamı bulunsa Wordpress mutlaka bir açıklama yapar ve güvenlik önlemleri tavsiye ederdi.

Yine de ne olur ne olmaz, yedeğimi aldım. Nacizane tavsiyem de, eski sürüme düşürmek yerine yeni sürümde kalmanız; gerekli önlemleri alıp saçma sapan eklentiler yüklemediyseniz sağ salim atlatırsınız böyle bir problemi :)

acaba /wp-content/themes/default/404.php default temadan nasıl gidiliyor confige :confused:

Bu arada yazınızı yeni gördümde 3.3 kararlı sürümse neden 3.3.1 çıktı demişsiniz acaba 3.4 e geçiş için olabilir mi ne dersiniz? :confused:

3.3.1, 3.3.2 gibi sürümler zaten bir öncekine göre daha kararlı sürümlerdir hocam. Eksikleri, güvenlik açıklarını, crash hatalarını ve bugları gidermek için çıkan ara sürümlerdir. Kararlı olmayan sürümler BETA sürüm ya da RC sürüm adlarıyla yayınlanırlar. adamlar 3-5 tane bug kapatmak için versiyonu 3.3'ten 3.4 yaparlarsa iki seneye kalmaz v10'u yayınlarlar :)

Kimse çıkıp 3.3.0 versiyonu 3.3.1'den daha kararlıdır demesin bu webmaster forumunda :)

3.3 den 3.4'e geçmenin mantığı yeni kodlama diline uyarlamalar örneğin html5 mysql yeni sürüm orachle ve ekstra özellikler getirmektir ;)

eğer 1.0 görüyorsanız o 0.x in kararlı sürümüzüdür eğer 1.2 görüyorsanız yakında 2 sürümüne geçilecek ve bunun için çalışmalar başladı demektir.

olay da step yani merdiven sıralaması var hocam dikkat ettiyseniz.exploite bakarsanız sonraki step de 404..

404.php ye buradan index atmaya çalışıyor exploit..Yani

3.) Get PHP Code Execution
Malicious user edits 404.php via Themes Editor as follows:
phpinfo();
?>
Note #1: Any php file in the theme could be used.
Note #2: Depending settings, PHP may be used to execute system commands
on webserver.
Malicious user performs get request of modified page to execute code.
Request
-------
GET /wp-content/themes/default/404.php HTTP/1.1
Host: A.B.C.D
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:8.0.1) Gecko/20100101 Firefox/8.0.1
4.) Get Persistent Cross Site Scripting
Malicious User Injects Malicious Javascript into their own MySQL database instance
MySQL Query
-----------
update wp_comments SET
comment_content='<script>alert('123')</script>' where comment_content='Hi,
this is a comment.
To delete \ a comment, just log in and view the
post's comments. There you will have the option to edit or delete
them.';
Non-malicious User Visits Wordpress installation and has Javascript executed on their browser
Request


Burada eklenen kod sisteminde 3.adımda 404.php diyorsunuz ya orada kullandığınız sunucunun php bilgilerini alıyor..Bir çeşit temanıza normal bilgi ekliyorsunuz gibi düşünün..Exploit oraya php info kodu ekletiyor sadece.Orada bir açık olduğu söz konusu değil..

Maksadı şu olsa gerek herhangi bir konu eklenmediğinden direk olarak siteadi.com/sadadadada gibisinden birşey girdiğinde direk 404.php çıkacağından php bilgilerini almak..

Php bilgilerini aldıktan sonra comment veritabanını güncelleyip XSS işlemini sonlandırıyor :)

---

Bu işlem için 1. ve 2. seviyeleri geçmesi gerekiyor..Bunları geçmesi içinde ilk yazımda bahsettiğim konudaki linke bakarsan orada da açıklama yapılmıştı bir önceki mesajımda da söyledim..

Eğer wordpress i sunucuya atıp kurmadıysanız ve karşınızda "Wordpress bağlantı kurulamadı" hatası çıkarsa o zaman çalışır bu exploit..

Buda nedir boş bırakılan,kullanılmayan wordpress sitelerine index atmak içindir..O da bir çok sub domainlerimizde attığımız ama sonradan vazgeçtiğimiz wordpressleri hacklemeye yarar :) Zone kayıtlarındaki sitelere bakarsan genelde aktif olmayan,terkedilmiş wordpress bloglarıdır..

Exploit açıklamasını okursan anlarsın belki;

The WordPress 'setup-config.php' installation page allows users to install
WordPress in local or remote MySQL databases. This typically requires a user
to have valid MySQL credentials to complete. However, a malicious user can
host their own MySQL database server and can successfully complete the
WordPress installation without having valid credentials on the target system.
After the successful installation of WordPress, a malicious user can inject
malicious PHP code via the WordPress Themes editor. In addition, with control
of the database store, malicious Javascript can be injected into the content
of WordPress yielding persistent Cross Site Scripting.

Bu durum 3.3.1 gibi ara sürümlerin kararsız olduğunu göstermez ama.

1.2 sürümü dediğin gibi 2.0'a giden yolda bir sürümdür, kararlı bir sürümdür. Ama 1.2.1 gibi bir sürüm de ara sürümdür, hataların ve açıkların giderildiği sürümdür.

Her sürümde açık vardır, hep de olacaktır.. Açık olduğunda 'Sürüm düşürün hemen' demek, 'daha kararsız sürüme geçin, başka açıklarınız da olsun, oh ne ala!' demektir :)

Madem öyle çok iyi bana şunu açıklayın nasıl oluyorda 3.3.1 çıktıktan sonra yeni sürüm siteler hacklink yiyor ve bir sürü kod ekleniyor içlerine söyleyin ?

Hepsi rastlantı mı ?

Ayrıca bana verilen öneriyi şimdi göz önüne aldım da haklılar galiba bu konuya daha fazla cevap yazmam gereksiz isteyen istediğini yapsın sonuçta bir insan bir olayı yaşamadan ders çıkaramaz...

Sürüm ile hiç alakası yok arkadaş. Timthumb dosyası ile ilgili bir sorun var. Bu dosya üzerinden siteye erişilebilmekte. Son zamanlarda böyle bir sorunla karşılaştım. Ama sürüm ile alakalı değil.

Ek Olarak: Sürüm ile hiç alakası yok arkadaş. Timthumb dosyası ile ilgili bir sorun var. Bu dosya üzerinden siteye erişilebilmekte. Son zamanlarda böyle bir sorunla karşılaştım. Ama sürüm ile alakalı değil.

O dediğiniz tema açığı rfi ile shell sitenize çekiliyor...

3.3.1 ile ilgili birşey olduğunu zannetmiyorum..Hacklinkle ilgili olarak genellikle XSS ile yayılan şeyler değildir..Sonuçta artık XSS olayı bitti gibi..Bitmese bile erken farkedilip kapatılan bir sistem..

Yani tipik hackerların ilk kullandığı basit algoritmalardır bunlar..Bunları da bugün yüzlerce profesyonel hacker'ı bünyesinde barındıran;

http://www.us-cert.gov/
http://nvd.nist.gov/home.cfm

gibi Devlet platformaları tarafından her saat deneniyor ve kontrol ediliyor..Sonuçta wordpress blogunu kullanan binlerce önemli derecede siteler mevcut..En basitinden bu kadar basit bir XSS açığından CNN in alt bölümlerinden birisi hacklense Tüm Hack dünyası güler :)

Ayrıca eğer dediğiniz gibi bu kadar basit bir açıktan siteler hackleniyorsa burada bünyesinde binlerce profesyonel bilgisayar mühendisi yetiştiren üniversitelerinden tut, exploit paylaşan siteler bile wordpress alt yapısı kullanıyor..Onlar neden hacklink yemiyor?

Hacklink yenilen sitelerin sebebi server ve kullanıcı açığıdır..Yani tutup indirdiğiniz bir dosyayı eğer malware programlarıyla taramazsanız ve ftp gibi programlarınıza bulaşırsa bunlarda hacklink yapar.Zaten hacklink olayının tamamına yakını ftp gibi virüslerden kaynaklanır..

Genelde böyle olaylar hep wordpress'e ihale edilse de dediğim gibi hacklense o kadar popüler wordpress blogu varken normal siteler hacklenmezdi.

Ayrıca tutar bilmediğiniz seodur,şudur budur eklentisini kurarsan,bilmediğin ve içini araştırmadığın wordpress temalarını kullanırsan,ucuz diye gidip uyduruk hosting firmalarından host alırsan normaldir hacklink..

Olayı wordpress'in üzerinden alsak iyi olur artık dimi :)

Bak basit bir xss açığı;

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0287

Amerika Siber Güvenlik teşkilatı bunu direk bulup insanları bilgilendirmiş..

Sen şimdi diyorsun ya 3.3 kullanın diye..Bak işte 3.3 de bu açığı bulduklarından dolayı 3.3.1 çıktı..