Podivný wordpress error v logu Nette webu

ForestCZE

Ahoj, rád bych se s Vámi poradil o tom, co se stalo. Dnes jsem v logu objevil toto:

[2020–09–21 04–43–57] PHP Notice: Undefined variable: menuItems in /var/www/filipnemeccz/temp/cache/latte/Presenters-templates-@layout.latte--5502f4e34e.php:71 @ http://filipnemec.cz/…min-post.php?…
[2020–09–21 04–43–57] PHP Warning: Invalid argument supplied for foreach() in /var/www/filipnemeccz/temp/cache/latte/Presenters-templates-@layout.latte--5502f4e34e.php:71 @ http://filipnemec.cz/…min-post.php?…
[2020–09–21 09–37–07] PHP Notice: Undefined variable: menuItems in /var/www/filipnemeccz/temp/cache/latte/Presenters-templates-@layout.latte--5502f4e34e.php:71 @ http://filipnemec.cz/chat.txt
[2020–09–21 09–37–07] PHP Warning: Invalid argument supplied for foreach() in /var/www/filipnemeccz/temp/cache/latte/Presenters-templates-@layout.latte--5502f4e34e.php:71 @ http://filipnemec.cz/chat.txt

To si jako někdo myslel, že web běží přes WP a zkoušel se dostat do administrace? Nebo ten chat.txt? Absolutně nechápu…

Editoval ForestCZE (21. 9. 2020 12:27)

David Matějka

to je bezny, to zkouseji boti ruzny znamy url

Felix

To se deje velmi casto, ze roboti zkousi vsechny zname/nezname kombinace. Nemuselo by to byt ani cilene. Vsiml jsem si, ze ti web bezi na http, tam by si to zaslouzilo nejakou peci.

ForestCZE

Felix napsal(a):

To se deje velmi casto, ze roboti zkousi vsechny zname/nezname kombinace. Nemuselo by to byt ani cilene. Vsiml jsem si, ze ti web bezi na http, tam by si to zaslouzilo nejakou peci.

Všiml sis dobře :) Rád bych přešel na https, ale nevím, co to obnáši ani, jak na to.

ForestCZE

David Matějka napsal(a):

to je bezny, to zkouseji boti ruzny znamy url

Tak odkaz chat.txt pochopím, ale ten pokus o stažení configu, který ani neexistuje, mi přijde už trošku moc.

Editoval ForestCZE (21. 9. 2020 12:47)

Pavel Kravčík

Proč moc?

foreach(['wordpress-admin.php', 'chat.txt'] as $file)
{
	curl_download($file);
}

A jsi hacker. :)

romanm

ForestCZE napsal(a):

Felix napsal(a):

To se deje velmi casto, ze roboti zkousi vsechny zname/nezname kombinace. Nemuselo by to byt ani cilene. Vsiml jsem si, ze ti web bezi na http, tam by si to zaslouzilo nejakou peci.

Všiml sis dobře :) Rád bych přešel na https, ale nevím, co to obnáši ani, jak na to.

To je webhosting nebo virtuál u Hukotu? https by dnes mělo být to nejzákladnější a nejjednodušší

ForestCZE

Pavel Kravčík napsal(a):

Proč moc?
foreach(['wordpress-admin.php', 'chat.txt'] as $file)
{
	curl_download($file);
}
A jsi hacker. :)

Jako já tomu rozumím, ale opravdu tohle dělá robot? :D

ForestCZE

romanm napsal(a):

ForestCZE napsal(a):

Felix napsal(a):

To se deje velmi casto, ze roboti zkousi vsechny zname/nezname kombinace. Nemuselo by to byt ani cilene. Vsiml jsem si, ze ti web bezi na http, tam by si to zaslouzilo nejakou peci.

Všiml sis dobře :) Rád bych přešel na https, ale nevím, co to obnáši ani, jak na to.

To je webhosting nebo virtuál u Hukotu? https by dnes mělo být to nejzákladnější a nejjednodušší

@romanm Je to VPS u Hukotu. Proč se ptáš? Víš o nějakém řešení? Díky.

romanm

Jasně :-) A to si spravuješ sám? Tam máš ISPConfig nebo si to konfiguruješ celé ručně? Jinak bych udělal LetsEncrypt certifikát.

ForestCZE

romanm napsal(a):

Jasně :-) A to si spravuješ sám? Tam máš ISPConfig nebo si to konfiguruješ celé ručně? Jinak bych udělal LetsEncrypt certifikát.

Spravuju vše sám přes root uživatele pomocí Putty. Kdybys byl ochotný mi pomoct, budu vděčný.

romanm

Poslal jsem ti zprávu na mail info@fi..

dakur

@ForestCZE To máš tak. Např. http://filipnemec.cz/wp-admin/admin-post.php?alg_wc_pif_download_file=../../../../../wp-config.php vypovídá o tom, že alg_wc_pif bude nějaký plugin do Wordpressu (konkrétně Woocommerce Product Input Fields), který má v některé verzi tu zranitelnost, že neošetřuje cestu – tj. neořezává .. znaky. Bot se tedy pokouší tímto způsobem vytáhnout soubor wp-config.php s nastavením WP v plaintextu, aby se pak připojil do databáze a dělal, co se mu zlíbí.

Jestli ti tam opravdu běží WP nebo ne, to je mu úplně šumák. On takto zkouší tisíce webů za minutu a když mu nějaký odpoví tím, co očekává (tj. že se mu vrátí PHP kód v plaintextu, tj. obsah souboru wp-config.php), tak ten si uloží pro následné nabourání se.

Editoval dakur (22. 9. 2020 13:10)