SEM, SEO knowledge in Thailand

Wordpress 2.1.2 Vulnerabilities.

Posted on April 10th, 2007 in Case study, Wordpress

อ่าครับ งานนี้ด่วนมากมายสำหรับท่านที่ใช้ [tag]wordpress[/tag] เวอร์ชั่น 2.1.2 ครับ เลยต้องมาอัพก่อนเลย ไม่รู้เป็นเวรเป็นกรรมรึเปล่าที่ผมเอง ก็กลับมาก้าวเข้าสู่ด้านมืด (นิดนึงมั้ง) โดยหารูรั่วของเว็บที่ทำงาน อยู่ ครับ เข้าไปที่เว็บ sem.or.th แทบบ้าตาย ขึ้นมาว่าโดน hack ซะอย่างงั้น ซึ่งทันทีที่เช็ค คิดว่าไม่น่าจะมาจากปัญหาของช่องโหว่ที่ server ครับ เนื่องจาก forum.sem.or.th ยังคงปรกติ อยู่สุขสบายเหมือนไม่มีอะไรเกิดขึ้น เป็นปรกติมากๆ ครับ ดังนั้นสรุปประเด็นก่อนเลยว่า

1. ไม่ใช่เข้าได้ที่ server
2. รูรั่วไม่น่าจะเกิดขึ้นที่ forum แน่นอน ไม่งั้น forum ต้องโดนไปก่อน หรือโดนด้วย

จึงเข้าไปหาข้อมูลทันทีครับ เพราะเนื่องจาก wordpress 2.1.2 ครับ นั่นคือตัวของระบบ xmlrpc นั่นล่ะครับ

ไอ้ระบบนี้ปรกติใช้เวลาที่เรามีการ update เนื้อหา เจ้า xmlrpc ตัวนี้จะทำการ ping ไปยัง server ต่างๆที่เรา add ไว้ครับ แต่ปัญหาก็เกิดขึ้นจากการทำการ ส่งคำสั่ง sql injection กลับมายัง [tag]xmlrpc[/tag] ตัวนี้ครับ (Wordpress 2.1.2 xmlrpc Multiple [tag]Vulnerabilities[/tag]) ทำให้มันประมวลผลเป็นอีกแบบนึงครับ โดยมันจะทำตามลำดับคือ

1. ทำการสร้าง username ใหม่
2. ปรับระดับของ user คนใหม่นี้ให้อยู่ใน administrator

ผลคือ user ใหม่นี้สามารถทำทุกอย่างที่ admin ทำได้ครับ นั่นคือ ลบแก้ไขเนื้อหา หรือแม้แต่แก้หน้าแรกครับ

วิธีการแก้ไขปัญหาเบื้องต้นคือ

1. ทำการ update เป็นเวอร์ชั่น 2.1.3 ครับ
2. ป้องกันการถูกแก้หน้าแรก แก้ theme และไฟล์ต่างๆ ด้วยการ chmod folder ต่างๆ ให้เป็น 644 ไว้ก่อนครับ

ส่วนอื่นๆ เพิ่มเติมจะนำมา update ให้ทราบกันต่อไปครับว่าจะทำอย่างไร

สำหรับเว็บที่โดน hack ไปแล้วนั้น ให้ทำการเช็ค username ที่มีครับ ค้นหาและลบ account ที่มีปัญหาออกไป จากนั้นให้ทำ clean install wordpress ใหม่ทั้งหมดครับ หรือใช้การลบ ไฟล์บน server แล้ว install ใหม่ครับ ตอนนี้ผมกำลังทดลองว่า จะลบออกทิ้งหมดแล้ว updateหรือใช้ ข้อมูลจาก db เดิมในเวอร์ชั่นใหม่เลยได้หรือไม่ อยู่ ถ้าได้ไม่ได้ยังไง จะมา update ให้อีกครั้งครับ