Malware vs. wp-cron

Zvolené téma obsahuje celkem 3 odpovědi. Do diskuze (2 účastníci) se naposledy zapojil uživatel  admin a poslední změna je stará 4 roky, 10 měsíců.

Aktuálně jsou na stránce zobrazeny 4 příspěvky - 1. až 4. (z celkem 4)
  • Autor
    Příspěvky
  • #21597

    sazovsky
    Participant
    Web

    Co mám dělat?
    Webhosting mi napsal:

    podařilo se nám získat vyjádření od CSIRT ohledně Vašeho účtu.
    Nelíbí je jim, že soubor wp-cron.php je přístupný z internetu. Přeposílám celé vyjádření:

    This WordPress installation has a serious security problem you should be aware of. Please have a look:
    http://www.cms-security.org/wp-cron-php-stop-running-frequently/
    To solve the problem we suggest the following:

    – Disable wp-cron.php in wp-config.php like metioned in the article above.
    – Disallow access to the file (e.g. via htaccess) from the internet
    – Throw a proper error page (403) if someone from the internet access the file.

    ########################################################################
    # begin logs

    IP: 178.238.37.168
    URL: http://infoglass.cz/wp-
    cron.php?doing_wp_cron=1419475200.8737270832061767578125
    Tested on: 2014-12-25 10:23:29 +0100
    Result: CYSC.MALWARE.URL.GEN

    # end logs
    ########################################################################

    ######################################################################
    > # begin logs
    >
    > IP: 178.238.37.168
    > URL: http://www.statiknasklo.cz/wp-
    > cron.php?doing_wp_cron=1419479831.1182699203491210937500
    > Tested on: 2014-12-25 07:30:07 +0100
    > Result: CYSC.MALWARE.URL.GEN
    >
    > # end logs
    >
    ####################################################################

    #21601

    admin
    Keymaster
    Web

    Zajímavé… Takže CSIRT nějak automaticky testuje weby a sleduje výsledky volání souboru wp-cron.php? Cron ve WordPressu není sice zcela ideální, ale zatím jsem s ním neměl žádné zásadní problémy (zejména pokud nemáte nějakou obrovskou návštěvnost). Cron procesy jsou volané klasickým requestem, takže to asi testovat mohou, ale moc nerozumím tomu výsledku “CYSC.MALWARE.URL.GEN”. To má být nějaký konkrétní malware nebo jen fakt, že je cron vůbec povolen? Moc se mi nechce věřit tomu, že když bude někdo používat cron ve WordPressu (defaultně všichni), tak bude jeho web označen jako nebezpečný…

    Dlouhá čísla v testovaných URL adresách se podle mě odvíjí podle zvoleného typu. Nepoužíváte v souboru wp-config.php následující zápis?

    define( 'ALTERNATE_WP_CRON', true );

    Objevují se podobné informace často i v access logu na hostingu?

    #21606

    sazovsky
    Participant
    Web

    Nakonec jsem zjistil, že jsem měl mraky cron úloh a nejvíce jich dělal plugin Avatar. Restartoval jsem cron úlohy podle návodu zde: http://wordpress.bigdrobek.com/2013/03/09/debug-a-reset-cronu-ve-wordpressu/

    Co způsobí zakázání cron úloh pomocí editace wp-config.php?

    define('DISABLE_WP_CRON', true);

    #21609

    admin
    Keymaster
    Web

    Zakázáním cronu může dojít k tomu, že nebudou některé funkce nadále fungovat (např. automatická publikace naplánovaných příspěvků, atd). Přehled ohrožených funkcí zjistíte např. pomocí pluginu WP Crontrol. Tam také uvidíte, zda se tam nenačítá často něco podezřelého…

    Co to bylo konkrétně za plugin pro avatary, který způsoboval problémy?

Aktuálně jsou na stránce zobrazeny 4 příspěvky - 1. až 4. (z celkem 4)

Pokud chcete odpovědět na toto téma, musíte se nejdříve přihlásit.