Jak uzyskać więcej informacji o użytkowniku wordpressa?

komentarz 14 marca 2024 przez BlackCat_ Początkujący (310 p.)

widzę, że ss jednak jest mało czytelny więc wrzucam w formie pisanej: $P$BWcxs.PG3MvZh3Z11wCFyL0AJAHwKz/

komentarz 14 marca 2024 przez adrian17 Mentor (354,880 p.)

To jest po prostu zhashowane hasło.

komentarz 14 marca 2024 przez BlackCat_ Początkujący (310 p.)

A czy jest jakakolwiek możliwość sprawdzenia komu się nudzi i podłącza się pod stronę jako drugi użytkownik?
Powiedzmy, że współpracowałam z jedną firmą programistyczną, przy zmianach jakie robili na całym sklepie, ale jak przyszło do podłączenia newslettera okazało się, że wrzucili mi trojana do JS przypadkiem przy pracy.. dodatkowo była druga zainfekowana wtyczka live speed cache, której ja nie wgrywałam i pojawiła się w tym czasie co i newsletter był podłączany. Po tej sytuacji nie chcąc wziąć odpowiedzialności za to co się stało poprosiłam kogoś innego o usunięcie wirusa. Przy usuwaniu wirus skakał sobie i zarażał kolejne wtyczki więc ostatecznie została przywrócona jakaś kopia sprzed prac danej firmy i wszystko działało, zero jakiś błędów, dziwnych rzeczy, komunikatów z noda. Strona działa kilka dni, a dziś na nowo pojawia się komunikat na google, że jest niebezpieczna, wtyczka Live speed cache,która była usunięta jest na nowo wgrana i co najlepsze zamiast 1 użytkownika na wordpresie są 2 osoby.. tzn. były, bo ta osoba już wyleciała. Czy jest jakakolwiek możliwość sprawdzenia kto sobie taką świetną zabawę znalazł czy raczej to jak walka z wiatrakami?

3

komentarz 15 marca 2024 przez szpon12 Obywatel (1,260 p.)

okazało się, że wrzucili mi trojana do JS przypadkiem przy pracy

W jaki sposób wrzucili ci trojana do JS? Zasysałaś pliki z jakiś lewych stron na proda, nastąpiło włamanie do firmowej sieci i figurowałaś jako MITM czy co, bo nie łapie.

Czy jest jakakolwiek możliwość sprawdzenia kto sobie taką świetną zabawę znalazł

Sprawdzenie takich rzeczy w czasie przeszłym jest możliwe jedynie z logów - usługodawcy, serwera, interpretera bądź samego Wordpressa. I tak najpewniej poznasz jedynie IP/UA jak to szło przez HTTP które będzie wskazywać na jakiś automat z Chin czy Rosji który korzysta z jakiegoś przestarzałego CVE.

Jak wiadomo Wordpress do najbezpieczniejszych rozwiązań nie należy, Zawsze można zaktualizować Wordpressa oraz wszystkie jego elementy ale bez automatycznego/ręcznego przeanalizowania kodu oraz znalezienia luk dalej będzie można atakować framework, interpreter czy serwer. Apropo rozpoznania/zaniechania akcji domniemanego atakującego można:

Ograniczyć dostęp do systemu zarządzania frameworkiem / serwerem.
Wyszukać błędy w oprogramowaniu które pozwalają atakującemu na eskalację uprawnień / uzyskanie dostępu do niepożądanych danych ( gdyż napisałeś że przywróciłeś poprzednią wersję oprogramowania a sytuacja dalej ma miejsce).
Przeanalizować ostatnie znane luki w używanych wtyczkach oraz je zaktualizować/usunąć/naprawić.
Zacząć korzystać z systemu logów oraz je analizować.
Zmienić hasła do serwera / CMS'a frameworka.
Wymagać wzmożonej autentykacji przy wykonywaniu założonych akcji
Fingerprintować użytkowników.
Rozstawić honeypoty. ( Można również w jakimś miejscu zamieścić spreparowany plik oraz sprawdzić kto go wykonał. np. za pomocą https://canarytokens.org/)
Użyć defensywno-ofensywnego oprogramowania w honeypotach / podczas przesyłania danych autoryzujących które zaatakuje/rozpozna środowisko logującego się.

To tylko tak na szybko co mi przyszło do głowy, jak wiadomo czasem problem nie jest aż tak złożony jak o nim myślimy i trzeba zrobić naprawde niewiele żeby wszystko zaczęło dobrze funkcjonować.

Po tej sytuacji nie chcąc wziąć odpowiedzialności za to co się stało poprosiłam kogoś innego o usunięcie wirusa.

Tak się najczęściej kończy zatrudnianie ludzi po butkampach do stawiania jakiś rzeczy, firmy muszą płacić grube pieniądze za błędy niekompetentnych osób.

komentarz 15 marca 2024 przez BlackCat_ Początkujący (310 p.)

Tak się najczęściej kończy zatrudnianie ludzi po butkampach do stawiania jakiś rzeczy, firmy muszą płacić grube pieniądze za błędy niekompetentnych osób.

Od października pracowałam nad sklepem i wszystko cały czas było dobrze, zero problemów, wszystko działało bez zarzutu.. przyszedł czas, że części poprawek nie byłam w stanie zrobić więc zleciłam je firmie zewnętrznej, to nie był ktoś po bootcampach, nie był też tani, powiedziałabym, że nawet nie jako mała firma, a mająca pod sobą kilkanaście osób i chwaląca się, że wordpress to ich konik.

W jaki sposób wrzucili ci trojana do JS? Zasysałaś pliki z jakiś lewych stron na proda, nastąpiło włamanie do firmowej sieci i figurowałaś jako MITM czy co, bo nie łapie.

Jak robili tam zmiany mniej wymagające czyli np. gdzieś cena pojawiała się jako ZŁ, a potrzebowałam ustawić zł to współpraca była dobra, ale jak zaczęło się dłubanie przy newsletterze to wtedy wskoczyła ta wtyczka o której wyżej mówiłam, coś tam było dogrywane do newslettera i to także było zarażone. Nie jestem programistą więc ciężko jest mi napisać konkrety, ale osoba która pomagała mi po 1 takim ataku sklep ogarnąć powiedziała, że wszystko zaczęło się od 2 zainfekowanych rzeczy newslettera + live speed cache. Ja obu nie dotykałam, bo nie potrafiłam podpiąć newslettera stąd wrzuciłam go w poprawki, a wtyczki live speed cache nie instalowałam. Jak śledziłam zmiany to widziałam, że ona się pojawiła jakoś niedawno przed pracą nad newsletterem, ale nie wchodziłam w to po co było to instalowane tylko wg ustaleń czekałam na koniec prac. Nie mam pojęcia w jaki sposób ktoś wgrał te zainfekowane pliki, ale tak jak od października nie miałam żadnych problemów ze sklepem, tak akurat przy podłączaniu tego elementu wyszło, że od tego infekcja się zaczęła.

Dziękuję, że podpowiedziałeś co jeszcze można zrobić, podrzucę to do programisty, który teraz mi pomaga i będziemy działać w tym temacie dalej :)