Служба безопасности «Тинькофф» перестала быстро реагировать на взломы мошенников и принимать меры — Приёмная на vc.ru

Содержание

Как зайти официально

Тут все просто – нужно найти нужную страницу в поиске или в собственном контакт-листе, если вы дружите с рассматриваемым человеком, и перейти туда для просмотра. Это единственный разрешенный путь, демонстрирующий, как зайти в чужой ВК.

В качестве гостя вы увидите только тот контент и информацию, которую открыл для посетителей хозяин страницы. То есть, вряд ли вы сможете посмотреть скрытых друзей, закрытую музыку, тайные фото. Разумеется, вы не прочитаете переписку и никак не сможете повлиять на настройки данного профиля. Как говорится, смотри, но не трогай!

Как зайти в ВК неофициально

Существует два варианта развития событий, по которым вы можете зайти в чужую страницу в Контакте беспалевно.

Если вам известен пароль

Тут зайти будет очень просто:

  • Жмите по малому аватару в правом верхнем углу своего профиля;
  • Нажимайте клавишу ;

Вам будет трудно зайти в чужой аккаунт ВКонтакте незаметно, и самый оптимальный выход в этой ситуации – авторизоваться с родного устройства хозяина страницы. Если это никак невозможно, постарайтесь подобрать для «шпионских игр» удачное время.

Если в этот момент хозяин искомого аккаунта также сидит на сайте со своего устройства, скорее всего он получит предупреждающее сообщение, что на его страницу совершен вход с необычного места. Поэтому постарайтесь вычислить время, в которое ваш пользователь абсолютно точно не в сети.

Кстати. Даже если Вам удастся сделать всё по-тихому, и Вас никто не поймает, то у владельца страницы всегда есть возможность посмотреть гостей.

Если не знаешь пароля

Войти в чужую страницу в Контакте без пароля невозможно, разработчики очень хорошо позаботились о безопасности личных данных своих пользователей. Но не отчаивайтесь, выходы есть, правда они не очень честные, абсолютно незаконные, и далеко не самые простые.

  • Есть еще один ответ на вопрос, как войти на чужую страницу Вконтакте незаметно, и он, скорее всего, не будет бесплатным. Речь идет об обращении к хакерам, которые совершат взлом нужного профиля. Будьте очень осторожны, выбирая специалистов, ведь работу нужно сделать очень тонко и максимально незаметно. Имейте ввиду, это способ абсолютно незаконный.
  • Зайти в чужой профиль ВК с помощью сторонних приложений невозможно – мы честно попытались найти их, но все протестированные утилиты оказались ерундой. Мы даже названия здесь приводить не станем. Запомните, ни один сторонний плагин или расширение не помогут вам зайти в чужой профиль.

Мы обязаны предупредить, обращение к посторонним программам и взломщикам всегда несет угрозу вашей собственной безопасности в сети. Риск, что вы заплатите деньги мошенникам и ничего не получите взамен очень велик. Будьте предусмотрительны!

В заключение, еще раз напомним, что пароли были придуманы не просто так. Каждый человек хочет сохранить свои тайны, а любопытным варварам всегда в итоге откусывали носы. Если вам дорог свой, уймите любопытство и спросите все, что хотите узнать у человека лично.

Are you human?

Прежде чем перейти на страницу, заполните приведенную ниже капчу.

Reload image
Обновить

Ваш город: NL (Нидерланды)

Что можно увидеть из закрытого профиля

После обновления политики конфиденциальности соцсети в 2018 году появилась опция — скрывать страницу от неавторизованных пользователей, не друзей ВКонтакте. Зайдя на закрытый аккаунт, можно посмотреть миниатюру аватара, статус, день рождения, город, место учебы. Видно количество друзей (включительно общее), количество записей на закрытой странице.

Добавиться в друзья

Простой способ посмотреть закрытую страницу — добавить пользователя в друзья ВКонтакте, дождаться одобрения заявки. Ожидание может оказаться долгим, но это легкий способ, при котором права пользователя не нарушаются. Если нужно посмотреть закрытую страницу человека, с которым напряженные отношения — создайте фейковый аккаунт.

Воспользоваться чужой страницей

Чтобы посмотреть закрытую страницу, используйте чужой аккаунт ВКонтакте. Если среди друзей этого человека есть ваш знакомый или друг, попросите переслать интересующие данные, или спросите разрешения посмотреть закрытый профиль с помощью его аккаунта. Действуйте осторожно — выбирайте проверенных, надежных друзей.

Использовать специализированные сервисы

В интернете существует множество сервисов, помогающих посмотреть закрытые аккаунты ВКонтакте.

Программы бесплатны и действуют одинаково — вводится ID пользователя, ресурс начинает обрабатывать запрос. Если информация о закрытой странице найдена — через пару секунд она высвечивается на экране.

Другие способы

Создать клона — неэтичный способ, позволяющий посмотреть скрытую информацию. Найдите человека, который точно есть в друзьях у нужного пользователя ВКонтакте. Создайте его фейк (внимание, это расценивается как кража персональных данных). Добавьте аватар, описание, ФИО, дату рождения, как на главном аккаунте.

Создав страницу, отправьте заявку на дружбу (добавьте сопроводительное сообщение: «привет, моя прошлая страница была взломана, пишу с новой»). Если пользователь поверит, то добавит в друзья ВКонтакте. Так удастся посмотреть закрытую страницу.

Второй способ — обратиться за помощью ко взломщикам. На просторах мировой паутины есть много объявлений от хакеров, предлагающих взлом за символическую оплату.

Как закрыть личную страничку

Ранее администрация разрешала пользователям одним кликом закрыть/открыть профиль. Сейчас такая кнопка отсутствует. Чтобы закрыть профиль, нужно вручную ограничить круг лиц, которым доступны фото, видео, стена, прочее. Это удобная функция — так легко запретить доступ не друзьям только к фото/записям стены/список друзей/другое.

При желании можно скрыть все, разрешив доступ определенным категориям пользователей:

Заработок на странице ВК

Личный профиль ВКонтакте используется для просмотра видео, прослушивания музыки, общения, подписки на интересные сообщества. Но социальная сеть давно перестала быть лишь источником развлечения — площадка активно используется для ведения бизнеса, создания интернет-магазинов. Для рассказа о деятельности профиля используется строчка «Статус». В поле можно вписать главную короткую информацию о блоге. Но что делать, если нужно рассказать подробно о бизнесе?

В короткую строку статуса не поместить много информации. Рекомендуется создать мультиссылку на отдельный сайт/блог/аккаунт, где суть подробно раскрывается. Также в мультиссылку разрешается добавлять ID профилей других социальных сетей/блогов, чтобы подписчики имели полную информацию и могли находить ваши профили Инстаграма, Твитера, Ютуба, Одноклассников, др.

Создание мультиссылки

Чтобы объединить несколько профилей в одну ссылку, воспользуйтесь сервисом Hipolink. net. Хиполинк — это удобный мультимедийный конструктор. С его помощью легко создать с нуля сайт-одностраничник (идеально для небольшого интернет-магазина/сайта компании/предложения услуг), комплексный лендинг (подойдет для продвижения единичного продукта).

На конструкторе просто создавать интернет-магазины (включены готовые шаблоны, удобные инструменты связи с посетителями, открыт доступ к аналитике полезности сайта и информации о покупателях, также включены удобные формы оплаты).

Хиполинк — это комплексный конструктор с простым дизайном и управлением, даже новички легко создают собственные успешные интернет-страницы. Для полного доступа ко всем функциям и услугам нужно зарегистрироваться.

После создания личного кабинета пользование сайтом бесплатно — открываются все шаблоны, темы оформления, появляется доступ к сбору платежей и донатов от пользователей.

Также через конструктор можно увеличивать трафик клиентов в магазин с помощью социальных сетей, оформить страницу мини сайта-визитки, добавлять персональный HTML код и многое другое. Заходите на сайт и нажимайте Попробовать бесплатно».

Сегодня 12. 2021 года в 18:14 поступил звонок от мошенников «Служба безопасности СберБанка» с номера +74959665374.

Мне периодически поступают подобные звонки от «СберБанка». Было свободное время, и я начал диалог с » младшим специалистом». История обычная, попытка перевода на 3000 рублей (остаток по картам меньше 50 рублей, это я знал точно), злоумышленники уже привязали к сберонлайну ещё один номер, который мне не известен, и так далее. Спрашивают остаток который я помню. Говорю что 350 000 там лежит на карте, планирую на выходных покупать авто. Через несколько вопросов, говорит, что есть попытка перевода на 120 000 рублей, и что дело серьезное. Говорит что переводит на «старшего специалиста» и он поможет вернуть деньги и разблокировать карты.

Гудки минуту и берёт старший специалист. После 5 минут разговоров ни о чем, мне внезапно говорят, что я обманываю «сотрудника банка» и 350 000 у меня на свете нет. Я не обратил внимания и говорю что деньги точно есть на карте. Внезапно, мне называют последние цифры всех моих карт, говорят какие виртуальны, а какие нет, указывают что есть «зарплатная» карата и называют точный остаток, до копеек, ХХ рублей и ХХ копеек. После бросают трубку, говоря что меня заблокируют на Государственном уровне за обман сотрудников банка. Ну я посмеялся, но после входа в приложение понял, что мне озвучили точные остатки по всем картам до копеек.

Данная информация ввела меня в недоумение, т. я сам не знал точный остаток по картам. Я позвонил на 900 за комментариями. Первый сотрудник твердил как мантру, что сотрудники банка не передают информацию мошенникам. Идите к оператору, но у меня не подключено смс оповещение. Мой оператор не знает этой информации. Я задавал вопрос раза 3, ответ всегда был один: «Мы не знаем как это возможно, банк не передает информацию о счетах». Я пригрозил освещением данной ситуации, меня перевели на старшего специалиста контактного центра. Опять начались отмазки, что банк не при чем. При этом было ничего не предложено для того чтоб обезопасить аккаунт.

Читать еще:   Как удалить все группы в вк разом - Сайт об интернет сервисах

Я начал требовать проверить кто и когда входил в мой лк, и с каких устройств. Мне сообщили, сторонние устройства не привязаны, а историю входа через браузеры сообщить отказались, т. я звонил с номера, который не привязан к банку. Договорились что я перезвоню с номера который указан контактным и мы все проверим. Но связаться с оператором не получилось т. он был «занят». Новый оператор без согласования заблокировал все карты (за это отдельное спасибо) и через силу составила заявку в службу безопасности 2107120744468600 составляла Светлана 38069, прошу проверить все диалоги с сотрудниками на корректность.

Мне заявляли что мошенник мог «просто угадать» остаток. Вы это серьезно? Или тот что мой телефон взломан, зачем вообще мне тогда звонить? В таком случае они бы молча оформили бы кредит через приложение и перевели себе, зачем это шоу? После диалога с банком и обсуждения ситуации с коллегами, которые были свидетелями всего разговора, было сделано заключение, что изначально мошенники не имели информации по остаткам на моих картам, иначе не стали бы тратить время из-за суммы менее 50 рублей. Информацию они получили в режиме онлайн, когда поняли, что намечается крупная сумма. Кроме как имея аффилированного сотрудника в СберБанке узнать номера карт и остатки технической возможности нет или я ошибаюсь?

Через час на заявку приходит ответ:

Друзья, мы выяснили как такое возможно. Во время общения с младшим сотрудником, старший звонит на номер 900 подставляя на исходящий мой номер. Там робот предлагает продиктовать мне остаток по картам, просит назвать номер, если назвать номер на угад, то робот дружелюбно сообщает что такой карты нет, и называет номера всех действующих карт (Сбер,это реально круто, спасибо). Далее называешь номер любой из карт, и он сообщает тебе остаток. Это просто офигенно. Вопрос про слив данных сотрудником снимается, виноват робот. Новые вопросы к Сберу: почему сотрудники не знают что так можно? Почему вообще так можно? Добавлю в пост.

Ответ от Сбера через 20 часов после 1 обращения:

Взлом WordPress. Защита сайтов на Вордпрессе. Настройка плагина iThemes Security

По статистике 80%  сайтов на WordPress когда-либо ранее были взломаны. Около 30% сайтов на этом движке в данный момент находятся под управлением сторонних лиц. 90% владельцев сайтов не знают о взломе 3 месяца и более.

Чтобы не быть голословными, посмотрите статистику взломанных в настоящее время сайтов наиболее известных хакерских групп.

Группировка NeT. Defacer:

Чтобы не допустить подобных вакханалий, нужно хотя бы кратко знать об основных способах взлома сайтов.

Методы взлома сайтов

Всего существует 2 основных способа скомпрометировать сайт — взлом со стороны хостера и взлом непосредственно самого сайта.

Первый способ был широко распространен ранее. Лет 5-8 назад многие хостеры практически стонали, когда, используя уязвимости хостинга через один аккаунт шаред хостинга  были взломаны все сайты, размещенные на сервере и большинство аккаунтов пользователей хостинга были скомпрометированы.

Сейчас, как правило, у крупных хостеров ломается единичный аккаунт и заражаются сайты размещенные на нем. Доступа к иным аккаунтам у взломщиков нет.

Второй способ взлома — взламывается непосредственно сайт. Здесь взлом можно подразделить на подбор доступа к системе аутентификации (брутфорс) и на взлом сайта, используя его уязвимости.

Как взломать WordPress сайт

Есть статистика, что только треть WordPress сайтов ломается через уязвимости движка, когда пользователи его не обновляют годами. Большинство взломов Вордпресса осуществляется через уязвимости плагинов и тем. Особое опасение вызывают плагины, размещенные в теме — они практически никогда не обновляются и служат прекрасным полигоном для получения доступа к сайту.

Еще одной особенностью, облегчающей взлом Вордпресса является установка «бесплатных» профессиональных тем и плагинов, скачанных в интернете, а не из репозитория самого Вордпресса или продающих сайтов. Некоторая часть из них уже несет в своем составе бэкдоры, либо возможности их установить. Никогда не пользуйтесь бесплатными темами из интернета.

Одним из способов взлома сайта является его «проверка» на известные уязвимости. Существуют библиотеки этих уязвимостей, которые постоянно пополняются. Потом, по этим библиотекам идет проверка сайта.

Здесь хорошо видно как по библиотеке ищутся уязвимые плагины (1), при этом атака идет со множества IP, а время атаки примерно совпадает (2).

Есть более хитрые перцы. Они проверяют сайты не на уязвимости, а на уже установленные бэкдоры и шеллы. Это взломщики — паразиты второй волны.

Здесь как раз хорошо видно как происходит поиск доступов к шелам.

Особо интересен чудак с китая (1), который скачав диск по поиску уязвимостей (а они есть в доступности), не настроив ничего, начал с одного и того же IP пробивать сайт.

Следующим вариантом взлома сайта являются всевозможные SQL инъекции. Часть из них мы будем отсеивать, при настройке плагина, установив запрет на длинные строки.

Информации по взлому именно WordPress очень много в интернете. Есть куча обучающих пособий, сборок дисков с уже установленным и настроенным софтом.

В целом, понаблюдайте за собственным сайтом и вы порадуетесь тому, сколько раз на день его хотят взломать. А наше дело — этому помешать.

Защита Worpress сайта

Мы рассмотрим способы защиты сайта с использованием плагина iThemes Security (ранее известный как Better WP Security). Сразу скажу — он не панацея. Аккурат перед Новым Годом у меня было взломано 3 сайта, где стоял и работал этот плагин. Поэтому необходим комплексный подход к защите.

Если вы уверены, что ваш сайт не взломан, то:

  • Сделайте полный бекап сайта: и базы данных и всех его файлов и сохраните его в надежное место.
  • Обновите пароли у всех администраторов сайта.
  • Удалите лишних пользователей.
  • Обновите движок Вордпресса до актуального.
  • Сократите список активированных плагинов, удалив те, функциями которых вы не пользуетесь.
  • Подберите аналоги к плагинам, которые перестали обновляться и перейдите на них.
  • Удалите «платные» плагины, которые вы не покупали, а скачали с интернета.
  • Физически удалите все неактивированные плагины.
  • Обновите все плагины.
  • Удалите все неиспользуемые темы
  • Перейдите на новую тему, если вы её не покупали, а скачали из интернета, а не из репозитория WordPress.
  • Обновите тему до актуальной.

Далее, устанавливайте плагин iThemes Security и переходите к его настройке.

Настройка плагина iThemes Security

После его установки и активации запускайте модуль «Security Check» и жмите кнопку Secure Site — будет выполнена первоначальная настройка защиты.

Далее, сразу переходим в закладку Advanced. Там пять модулей, нам необходим «Спрятать страницу входа на сайт«.

Здесь включаем галку «Спрятать страницу входа на сайт» и ниже прописываем слуг, для входа на сайт. Например прописав «puzo1234», доступ к админке будем получать по адресу site. ru/puzo1234.

Остальное оставляем по умолчанию. Сохраняем настройки.

Возвращаемся к «рекомендованным» модулям. Запускаем модуль «Основные настройки«.

Здесь включаем флаг «Вносить изменения в файлы» — Allow iThemes Security to write to wp-config. php and. htaccess

Вообще, практически вся работа плагина заключается в поднастройке htaccess. То что раньше делалось руками, собирая информацию по защите Вордпресса на разных форумах, теперь несколько автоматизировано. Очень удобно.

Дальше спускаемся ниже и настраиваем модуль, как указано на рисунке.

Обязательно указываем свой IP адрес в белом списке блокировки, нажав кнопку «Add my current IP to the White List».

Оставляем остальное по умолчанию.

Сохраняем результаты и переходим к следующему модулю «Отслеживание ошибки 404«.

Здесь выставьте значения, как указано на рисунке ниже:

Порог ошибок (1) следует уменьшить, когда вы обнаружите, что ваш сайт пытаются взломать «перебором» уязвимости. Если вы уверены, что на вашем сайте нет 404 ошибок (провели технический аудит), то сразу снижайте порог. Чем меньше это значение, тем безопасней, но и тем больше вероятность забанить пользователя, который по непреднамеренной ошибке зашел куда-то ни туда.

Игнорирование типов файлов — это конечно брешь (2) в защите. Так, например, у меня сидел шелл зловреда в. ico файле.

Однако, если вы не делали шаблон сайта под «ретину», не настроили выдачу изображений удвоенной и утроенной плотности всем этим мобильным пользователям с яблочными телефонами и планшетами, то вы их сразу же всех перебаните (см рисунок ниже).

Далее идем в модуль «Заблокированные пользователи«. Выставляем значения следующим образом:

  • Включаем «Черный список по умолчанию» — т.е. ставим галочку а поле  Включить черный список от сайта HackRepair.com
  • Заполняем бан лист, собранными мною за этот месяц IP

Жмите на кнопку выше, копируйте список IP и вставляйте его в поле «Запретить доступ хостам» модуля.

Далее вы ежедневно смотрите логи плагина и пополняйте список новыми IP, с которых вас пытаются взломать. Тут главное не перестараться и не забанить всех подряд, включая IP поисковых систем.

Отбор кандидатов на блокирование имеет следующую логику:

(1) — обращение к плагину, который у меня не установлен. Это, по всей видимости один из скомпрометированных плагинов, имеющих уязвимость. Поиск ведется перебором.

(2) Реферрер подделан — какой то site

(3) Именно этот IP и добавляем в список блокировки. Нажав на него — можем посмотреть с какого прокси пришел этот запрос. Да, всякие индийские и китайские IP блокируем сразу же, всей подсетью, например прописав 67. 227. * или, что то же-самое, прописав 67. 227. 0/16 — в аннотации CIDR.

Теперь посмотрите на (4). Здесь ищется ads. txt. Как вы знаете, это правила доступа к рекламной сети Google Adsense™‎. Поэтому данный IP мы блокировать не будем.

Переходим к модулю Local Brute Force Protection. Выставьте настройки, согласно следующего скрина:

Читать еще:   Как скрыть подписки на группы во ВКонтакте

Теперь подключим сетевую защиту. Для этого открываем модуль Network Brute Force Protection, получаем API, прописываем и активируем его. Этот метод защиты похож на методику определения спама Akismet — т. если какой то сайт пытались сломать с какого то IP, то он попадает в глобальную базу и если с этого IP попытаются получить доступ к вашему сайту, то он окажется заблокированным.

Переходим к следующему модулю «Тонкая подстройка системы«

Настраиваем модуль, согласно приведенному скрину.

Далее спускаемся чуть ниже и отключаем выполнение PHP в папке Upload. Ибо нечего там выполнять — там должны храниться изображения и/или документы, но никак не исполнимые файлы.

Переходим к последнему значимому блоку — Подстройка WordPress. Здесь включите следующие функции:

  • Ссылка для Windows Live Writer
  • Ссылка EditURI
  • Редактор файлов
  • XML-RPC — поставьте в положение «Отключить XML-RPC»
  • Множественные попытки авторизации запросом XML-RPC — в положение «Блокировать»
  • Сообщения при неудачной попытке входа
  • Отключает дополнительные пользовательские архивы

Остальные модули настраивайте по своему усмотрению.

Взлом сайта на вордпресс | Gadget-apple

По статистике 80% сайтов на WordPress когда-либо ранее были взломаны. Около 30% сайтов на этом движке в данный момент находятся под управлением сторонних лиц. 90% владельцев сайтов не знают о взломе 3 месяца и более.

Данная статья основана на собственном опыте восстановления сайтов после взлома и попыток предотвращения несанкционированного доступа к ним.

Сразу скажу, что я не являюсь экспертом по безопасности, все наработки только личного плана и базируются на перманентной борьбе со зловредами.

Чтобы не быть голословными, посмотрите статистику взломанных в настоящее время сайтов наиболее известных хакерских групп.

Группировка NeT. Defacer:

Чтобы не допустить подобных вакханалий, нужно хотя бы кратко знать об основных способах взлома сайтов.

Методы взлома сайтов

Всего существует 2 основных способа скомпрометировать сайт — взлом со стороны хостера и взлом непосредственно самого сайта.

Первый способ был широко распространен ранее. Лет 5−8 назад многие хостеры практически стонали, когда, используя уязвимости хостинга через один аккаунт шаред хостинга были взломаны все сайты, размещенные на сервере и большинство аккаунтов пользователей хостинга были скомпрометированы.

Сейчас, как правило, у крупных хостеров ломается единичный аккаунт и заражаются сайты размещенные на нем. Доступа к иным аккаунтам у взломщиков нет.

Второй способ взлома — взламывается непосредственно сайт. Здесь взлом можно подразделить на подбор доступа к системе аутентификации (брутфорс) и на взлом сайта, используя его уязвимости.

Как взломать WordPress сайт

Есть статистика, что только треть WordPress сайтов ломается через уязвимости движка, когда пользователи его не обновляют годами. Большинство взломов Вордпресса осуществляется через уязвимости плагинов и тем. Особое опасение вызывают плагины, размещенные в теме — они практически никогда не обновляются и служат прекрасным полигоном для получения доступа к сайту.

Еще одной особенностью, облегчающей взлом Вордпресса является установка «бесплатных» профессиональных тем и плагинов, скачанных в интернете, а не из репозитория самого Вордпресса или продающих сайтов. Некоторая часть из них уже несет в своем составе бэкдоры, либо возможности их установить. Никогда не пользуйтесь бесплатными темами из интернета.

Одним из способов взлома сайта является его «проверка» на известные уязвимости. Существуют библиотеки этих уязвимостей, которые постоянно пополняются. Потом, по этим библиотекам идет проверка сайта.

Здесь хорошо видно как по библиотеке ищутся уязвимые плагины (1), при этом атака идет со множества IP, а время атаки примерно совпадает (2).

Есть более хитрые перцы. Они проверяют сайты не на уязвимости, а на уже установленные бэкдоры и шеллы. Это взломщики — паразиты второй волны.

Здесь как раз хорошо видно как происходит поиск доступов к шелам.

Особо интересен чудак с китая (1), который скачав диск по поиску уязвимостей (а они есть в доступности), не настроив ничего, начал с одного и того же IP пробивать сайт.

Следующим вариантом взлома сайта являются всевозможные SQL инъекции. Часть из них мы будем отсеивать, при настройке плагина, установив запрет на длинные строки.

Информации по взлому именно WordPress очень много в интернете. Есть куча обучающих пособий, сборок дисков с уже установленным и настроенным софтом.

В целом, понаблюдайте за собственным сайтом и вы порадуетесь тому, сколько раз на день его хотят взломать. А наше дело — этому помешать.

Защита Worpress сайта

Мы рассмотрим способы защиты сайта с использованием плагина iThemes Security (ранее известный как Better WP Security). Сразу скажу — он не панацея. Аккурат перед Новым Годом у меня было взломано 3 сайта, где стоял и работал этот плагин. Поэтому необходим комплексный подход к защите.

Если вы уверены, что ваш сайт не взломан, то:

  • Сделайте полный бекап сайта: и базы данных и всех его файлов и сохраните его в надежное место.
  • Обновите пароли у всех администраторов сайта.
  • Удалите лишних пользователей.
  • Обновите движок Вордпресса до актуального.
  • Сократите список активированных плагинов, удалив те, функциями которых вы не пользуетесь.
  • Подберите аналоги к плагинам, которые перестали обновляться и перейдите на них.
  • Удалите «платные» плагины, которые вы не покупали, а скачали с интернета.
  • Физически удалите все неактивированные плагины.
  • Обновите все плагины.
  • Удалите все неиспользуемые темы
  • Перейдите на новую тему, если вы её не покупали, а скачали из интернета, а не из репозитория WordPress.
  • Обновите тему до актуальной.

Далее, устанавливайте плагин iThemes Security и переходите к его настройке.

Настройка плагина iThemes Security

После его установки и активации запускайте модуль « Security Check » и жмите кнопку Secure Site — будет выполнена первоначальная настройка защиты.

Далее, сразу переходим в закладку Advanced. Там пять модулей, нам необходим « Спрятать страницу входа на сайт «.

Здесь включаем галку « Спрятать страницу входа на сайт » и ниже прописываем слуг, для входа на сайт. Например прописав «puzo1234», доступ к админке будем получать по адресу site. ru/puzo1234.

Остальное оставляем по умолчанию. Сохраняем настройки.

Возвращаемся к «рекомендованным» модулям. Запускаем модуль « Основные настройки «.

Здесь включаем флаг « Вносить изменения в файлы » — Allow iThemes Security to write to wp-config. php and. htaccess

Вообще, практически вся работа плагина заключается в поднастройке htaccess. То что раньше делалось руками, собирая информацию по защите Вордпресса на разных форумах, теперь несколько автоматизировано. Очень удобно.

Дальше спускаемся ниже и настраиваем модуль, как указано на рисунке.

Обязательно указываем свой IP адрес в белом списке блокировки, нажав кнопку «Add my current IP to the White List».

Оставляем остальное по умолчанию.

Сохраняем результаты и переходим к следующему модулю « Отслеживание ошибки 404 «.

Здесь выставьте значения, как указано на рисунке ниже:

Порог ошибок (1) следует уменьшить, когда вы обнаружите, что ваш сайт пытаются взломать «перебором» уязвимости. Если вы уверены, что на вашем сайте нет 404 ошибок (провели технический аудит), то сразу снижайте порог. Чем меньше это значение, тем безопасней, но и тем больше вероятность забанить пользователя, который по непреднамеренной ошибке зашел куда-то ни туда.

Игнорирование типов файлов — это конечно брешь (2) в защите. Так, например, у меня сидел шелл зловреда в. ico файле.

Однако, если вы не делали шаблон сайта под «ретину», не настроили выдачу изображений удвоенной и утроенной плотности всем этим мобильным пользователям с яблочными телефонами и планшетами, то вы их сразу же всех перебаните (см рисунок ниже).

Далее идем в модуль « Заблокированные пользователи «. Выставляем значения следующим образом:

  • Включаем «Черный список по умолчанию» — т.е. ставим галочку а поле Включить черный список от сайта HackRepair.com
  • Заполняем бан лист, собранными мною за этот месяц IP

Жмите на кнопку выше, копируйте список IP и вставляйте его в поле « Запретить доступ хостам » модуля.

Далее вы ежедневно смотрите логи плагина и пополняйте список новыми IP, с которых вас пытаются взломать. Тут главное не перестараться и не забанить всех подряд, включая IP поисковых систем.

Отбор кандидатов на блокирование имеет следующую логику:

(1) — обращение к плагину, который у меня не установлен. Это, по всей видимости один из скомпрометированных плагинов, имеющих уязвимость. Поиск ведется перебором.

(2) Реферрер подделан — какой то site

(3) Именно этот IP и добавляем в список блокировки. Нажав на него — можем посмотреть с какого прокси пришел этот запрос. Да, всякие индийские и китайские IP блокируем сразу же, всей подсетью, например прописав 67. 227. * или, что то же-самое, прописав 67. 227. 0/16 — в аннотации CIDR.

Теперь посмотрите на (4). Здесь ищется ads. txt. Как вы знаете, это правила доступа к рекламной сети Google Adsense™‎. Поэтому данный IP мы блокировать не будем.

Переходим к модулю Local Brute Force Protection. Выставьте настройки, согласно следующего скрина:

Теперь подключим сетевую защиту. Для этого открываем модуль Network Brute Force Protection , получаем API, прописываем и активируем его. Этот метод защиты похож на методику определения спама Akismet — т. если какой то сайт пытались сломать с какого то IP, то он попадает в глобальную базу и если с этого IP попытаются получить доступ к вашему сайту, то он окажется заблокированным.

Переходим к следующему модулю « Тонкая подстройка системы «

Настраиваем модуль, согласно приведенному скрину.

Далее спускаемся чуть ниже и отключаем выполнение PHP в папке Upload. Ибо нечего там выполнять — там должны храниться изображения и/или документы, но никак не исполнимые файлы.

Переходим к последнему значимому блоку — Подстройка WordPress. Здесь включите следующие функции:

  • Ссылка для Windows Live Writer
  • Ссылка EditURI
  • Редактор файлов
  • XML-RPC — поставьте в положение «Отключить XML-RPC»
  • Множественные попытки авторизации запросом XML-RPC — в положение «Блокировать»
  • Сообщения при неудачной попытке входа
  • Отключает дополнительные пользовательские архивы
Читать еще:   Как удалить профиль в ВК с телефона через мобильное приложение

Остальные модули настраивайте по своему усмотрению.

Все работы вы выполняете на свой страх и риск. Обязательно делайте бэкапы сайта.

Xakep #246. Учиться, учиться, учиться!

Сисадмин и программист Марк Монтегю (Mark Montague) из Мичиганского университета с 19-летним стажем решения проблем информационной безопасности составил очень толковую презентацию с ясным изложением информации, необходимой для взлома сайта под WordPress. Цель презентации — убедить владельцев обязательно обновляться до последней версии программного обеспечения.

По мнению Монтегю, самый простой способ начать атаку — установить дистрибутив Kali Linux с более 300 хакерскими программами, там есть всё необходимое. Из них злоумышленнику понадобятся только три:

  • WPScan: программа для поиска уязвимостей на сайтах WordPress и брутфорса паролей.
  • Metasploit: фреймворк с простым веб-интерфейсом позволяет начать атаку без особых технических знаний.
  • Weevely: «PHP web shell», который загружается на сайт и работает как бэкдор, потенциально, предоставляя полный контроль над веб-сервером.

Например, так выглядит результат работы WPScan.

Далее в дело вступает Metasploit, где есть все необходимые модули для взлома WordPress. Получив лицензионный код на программу и создав проект, можно атаковать любой IP.

С помощью Metasploit в WordPress создаётся новый аккаунт с правами администратора. Что делать на этом этапе? Можно просто стереть всё содержимое, но в этом мало смысла, потому что сайт восстановят из резервной копии. Скорее всего, злоумышленник предпочтёт установить бэкдор, чтобы расширить свои возможности.

Автор презентации подробно объясняет, как разместить бэкдор в системе и что с ним делать в дальнейшем, а также описывает все необходимые меры безопасности, которые должен предпринять админ.

Говоря об экосистеме WordPress, можно предположить, что у злоумышленников есть список всех IP-адресов и всех сайтов, работающих под WordPress (с указанием версии WordPress и версий всех установленных плагинов), так что в случае обнаружения новой уязвимости очень оперативно начнётся атака по сценарию, описанному в этой презентации. А новые уязвимости для WordPress и плагинов появляются с завидным постоянством.

WordPress — это удобная блог-платформа для публикации статей и управления ими, на которой базируется огромное число различных сайтов. Из-за своей распространенности эта CMS уже давно является лакомым куском для злоумышленников. К сожалению, базовые настройки не обеспечивают достаточного уровня защиты, оставляя многие дефолтные дырки незакрытыми. В этой статье мы пройдем типичным путем «типового» взлома сайта на WordPress, а также покажем как устранить выявленные уязвимости.

На сегодняшний день WordPress среди систем управления контентом популярнее всего. Его доля составляет 60,4% от общего числа сайтов, использующих CMS-движки. Из них, согласно статистике, 67,3% сайтов базируется на последней версии данного программного обеспечения. Между тем за двенадцать лет существования веб-движка в нем было обнаружено 242 уязвимости различного рода (без учета уязвимостей, найденных в сторонних плагинах и темах). А статистика сторонних дополнений выглядит еще печальней. Так, компания Revisium провела анализ 2350 русифицированных шаблонов для WordPress, взятых из различных источников. В результате они выяснили, что более половины (54%) оказались зараженными веб-шеллами, бэкдорами, blackhat seo («спам») ссылками, а также содержали скрипты с критическими уязвимостями. Поэтому устраивайся поудобней, сейчас мы будем разбираться, как провести аудит сайта на WordPress и устранить найденные недостатки. Использовать будем версию 4. 1 (русифицированную).

Первым этапом любого теста обычно бывает сбор информации о цели. И тут очень часто помогает неправильная настройка индексирования сайта, которая позволяет неавторизованным пользователям просматривать содержимое отдельных разделов сайта и, например, получить информацию об установленных плагинах и темах, а также доступ к конфиденциальным данным или резервным копиям баз данных. Чтобы проверить, какие директории видны снаружи, проще всего воспользоваться Гуглом. Достаточно выполнить запрос Google Dorks типа site:example. com intitle:»index of» inurl:/wp-content/. В операторе inurl: можно указать следующие директории:

Еще один важный шаг — идентификация версии CMS. Иначе как подобрать подходящий сплоит? Существует три быстрых способа для определения используемой на сайте версии WordPress:

Хакер #196. Все о Docker

Один из вариантов защиты в данном случае — ограничить доступ к файлам readme. html и ru_RU. po с помощью. htaccess.

Автоматизация процесса тестирования

Исследованием безопасности WordPress занялись не вчера, поэтому существует достаточное количество инструментов, позволяющих автоматизировать рутинные задачи.

  • перечисление установленных плагинов: wpscan —url www.exmple.com —enumerate p ;
  • перечисление установленных тем: wpscan —url www.exmple.com —enumerate t ;
  • перечисление установленного timthumbs: wpscan —url www.example.com —enumerate tt ;
  • определение имени пользователя: wpscan —url www.example.com —enumerate u ;
  • подбор пароля с использованием связки имя пользователя / пароль с числом потоков, равным 50: wpscan —url www.example.com —wordlist wordlist.txt —threads 50 .

Теперь давай соберем информацию об установленных плагинах и темах независимо от того, активированы они или нет. Прежде всего такую информацию можно выудить из исходного кода HTML-страницы, например по JavaScript-ссылкам, из комментариев и ресурсов типа CSS, которые подгружаются на страницу. Это самый простой способ получения информации об установленных компонентах. Например, строчки ниже указывают на используемую тему twentyeleven:

Так как информация о плагинах не всегда отображается в исходном коде HTML-страницы, то обнаружить установленные компоненты можно с помощью утилиты WPScan (см. врезку). Только не забывай, что перебор путей плагинов зафиксируется в логах веб-сервера. Получив данные об установленных компонентах, уже можно приступать к поиску уязвимостей своими силами либо найти общедоступные эксплойты на ресурсах типа rapid7 или exploit-db.

Security-плагины для WordPress

  • Login LockDown — ограничивает количество неудачных попыток авторизации;
  • Revisium WordPress Theme Checker — ищет типичные вредоносные фрагменты в темах WordPress;
  • Sucuri Security — проводит мониторинг и обнаружение вредоносного кода;
  • iThemes Security (бывший Better WP Security) — многофункциональный плагин для защиты WordPress;
  • BackUpWordPress — делает резервное копирование файлов и БД;

НАШ САЙТ РЕКОМЕНДУЕТ:

Рис. Версия WordPress в файле readme. html
Рис. Ошибки при аутентификации пользователя

Массовое заражение сайтов на WordPress

Не прошло трёх месяцев с того, как мы анонсировали услугу «Сайт в безопасности», как мир облетела новость о массовом взломе сайтов.

С начала сентября более двух миллионов сайтов на WordPress были взломаны. Злоумышленники загружают на сайты веб-шеллы, позволяющие им контролировать сайты и использовать их в своих целях. Зачем нужно взламывать сайты мы подробно рассказали в статье «Взлом сайта — вполне себе реальность».

Примечательно, что хакеры после использования уязвимости защищают её при помощи пароля, который не позволяет перехватить управление сайтом коллегами.

Самостоятельно для защиты от хакеров необходимо срочно обновить плагин File Manager до версии 6. 9 и более.

Если ваш сайт уже взломан, также рекомендуем обратиться к специалистам. Мы тоже лечим сайты от вирусов в Калининграде и не только. Самостоятельно можете переустановить WordPress, сменить пароли администраторов и базы данных, восстановить содержание — иногда это помогает. Рекомендуем также установить плагин Wordfence Security — Firewall & Malware Scan, разработчики которого по нашим данным быстрее других среагировали на уязвимость и защитили своих пользователей от взлома.

Взломанные сайты WordPress защищаются злоумышленниками (Мнение специалиста WordFence

Уязвимость нулевого дня была недавно обнаружена в популярном плагине WordPress, и теперь киберпреступники, использующие эту уязвимость, начали защищать взломанные ими сайты от атак других злоумышленников.

Брешь в безопасности была впервые обнаружена охранной фирмой Defiant, которая зафиксировала атаки на более чем 1,7 млн ​​сайтов WordPress, на которых были установлены уязвимые версии плагина File Manager. Однако за последнюю неделю количество атакованных сайтов превысило 2,6 миллиона.

В случае эксплуатации уязвимость позволяет злоумышленникам загружать вредоносные файлы PHP и выполнять произвольный код на сайтах WordPress, которые не обновлены до последней версии File Manager.

Разработчики плагина создали и выпустили патч для уязвимости с выпуском File Manager 6. К сожалению, многие владельцы сайтов еще не обновили плагин до последней версии, что сделало их сайты уязвимыми для атак.

Защита взломанных сайтов WordPress

Согласно новому отчету Defiant, в настоящее время многочисленные киберпреступники нацелены на сайты, на которых установлены уязвимые версии плагина File Manager. Тем не менее, инженер по обеспечению качества Wordfence Рам Галл объяснил, что двое из этих злоумышленников начали защищать взломанные сайты, сказав:

«Мы видели доказательства того, что в этих атаках принимали участие несколько злоумышленников, в том числе незначительные усилия злоумышленника, который ранее отвечал за атаки на миллионы сайтов, но два злоумышленника были наиболее успешными в использовании уязвимых сайтов, и в настоящее время оба злоумышленники защищают паролем уязвимые копии файла connector. minimal. php ».

Один из злоумышленников, известный под ником bajatax, – марокканский злоумышленник, известный тем, что крадет учетные данные пользователей с веб-сайтов электронной коммерции PrestaShop. После взлома сайта WordPress bajatax внедряет вредоносный код, который собирает учетные данные пользователя через Telegram, когда владелец сайта входит в систему, и эти учетные данные затем продаются лицу, предложившему наивысшую цену. Другой злоумышленник внедряет бэкдор, замаскированный под ICO-файл, в случайную папку, а также в корневой веб-сайт сайта, чтобы гарантировать, что они могут продолжить доступ к взломанному сайту.

Defiant заметил, что оба злоумышленника используют пароли для защиты уязвимого файла connector. minimal. php на ранее зараженных сайтах. Галл предоставил дополнительную информацию о том, как эти два злоумышленника защищают взломанные сайты WordPress, сказав:

«Наша команда по очистке сайтов вычистила ряд сайтов, скомпрометированных этой уязвимостью, и во многих случаях присутствуют вредоносные программы от нескольких злоумышленников. Вышеупомянутые злоумышленники добились наибольшего успеха благодаря своим усилиям по блокировке других злоумышленников, и коллективно используют в своих атаках несколько тысяч IP-адресов ».

Владельцы сайтов WordPress, у которых установлен плагин File Manager, должны немедленно обновить его до версии 6. 9, чтобы не стать жертвой любых потенциальных атак, особенно сейчас, когда киберпреступники активизировали свои усилия.

Lopatniki.ru
Добавить комментарий