WordPress 安全漏洞(二)

前几天刚吐槽阿里云盾,今天一大早就到收到了阿里云盾的 “高危漏洞通知”。

阿里云盾"高危漏洞通知"

于是登录阿里云看了一下,果然有一条漏洞提示,而且提供了两种解决方案:

1. 【一键修复】(漏洞补丁),收费服务,需要购买云盾·安骑士,100 RMB 起。

2. 【自己动手修】。

对于我这种动手能力强(穷)的人来说,当然选择第二种解决方案了。

于是网上搜索了一下,找到了下面一种临时解决方案:

打开 wp-includes/media.php , 定位到 2898 行, 或者查找 wp_image_editors。

# vi wp-includes/media.php

2898G or /wp_image_editors

我们看到,WordPress优先选择 WP_Image_Editor_Imagick 来处理图片。

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD' ) );

现在我们把顺序对调一下。

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_GD', 'WP_Image_Editor_Imagick' ) );

再去阿里云后台验证一下,在服务器安全(安骑士)的补丁管理选项下面点击重新验证,就能看到已经修复了。

改完之后才发现,我根本没装 ImageMagick,所以根本不存在漏洞啊!!!

参考:

安全预警:ImageMagick图象处理软件存在远程代码执行(CVE-2016-3714)

http://www.freebuf.com/vuls/103504.html

742 total views, no views today

WordPress 安全漏洞(一)

最近只要打开博客,就能看到 nginx 502 错误提示。于是尝试着寻找原因:

1. 既然能看到 nginx 502 的错误提示,说明 nginx 还是正常的工作的。

我们来验证一下,查看 nginx 的状态。

# service nginx status

nginx 报告它正在正常工作中。

* nginx is running

抱着怀疑的精神,我们来重启一下 nginx。

# service nginx restart

再打开博客看一下,还是熟悉的 502 页面,nginx 果然是无辜的。

2. 既然 nginx 没有问题,那么我们再来检查一下 php5-fpm 的状态。

# service php5-fpm status

php5-fpm 报告它也在正常工作中。

php5-fpm start/running, process 2424

继续抱着怀疑的精神,我们来重启一下 php5-fpm。

# service php5-fpm restart

再打开博客一看,好了!看来果然是 php5-fpm 出问题了。

3. OK,现在我们已经知道是 php5-fpm 的问题了,那么问题底出在哪里呢?

于是我仔细的检查了一遍 ph5-fpm 的配置文件,然而并没有发现任何问题。

# cat /etc/php5/fpm/php-fpm.conf

然后又看了一下 php5-fpm 的日志文件,还是没有发现任何问题。

# tail -100 /var/log/php5-fpm.log

再次抱着怀疑的精神,我们来查一下 nginx 的日志文件。

# cat /var/log/nginx/access.log | grep 502

不看不知道,一看吓一跳。居然有几个 IP 在一直不停的访问 xmlrpc.php。

185.103.252.170 - - [04/May/2016:12:35:19 +0800] "POST /xmlrpc.php HTTP/1.0" 502 583 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"

在网上搜索一下,发现原来是有人在尝试暴力破解,直接删除了 xmlrpc.php 文件,让他感受无尽的 404 去吧。

参考:

XML-RPC放大攻击:针对WordPress的“暴力美学”

http://www.freebuf.com/vuls/81331.html


最后吐槽一下阿里云的云盾,根本没有检测出针对 xmlrpc.php 的攻击。

而且即使是已经检测到的攻击,我也从来没有收到过任何告警邮件或者短信。

512 total views, 1 views today