Tegnapelőtt délután erős támadás indult a szerverünk ellen, a naplózás szerint az All-In-One-SEO-Pack nevű bővítményen keresztül, de összefüggésben volt a WordPress Pingback/Trackback funkciójával is, amely telepítéskor automatikusan bekapcsolt és engedélyezett állapotban van. A szerverre nem jutott be a támadás, viszont a WordPress oldalak működésében kb 20 perces kiesés volt tapasztalható. Egy példa a naplóból:

Jun 3 17:34:49 atma suhosin[61460]: ALERT - script tried to increase memory_limit to 268435456 bytes which is above the allowed value (attacker '180.180.54.98', file '/srv/pagonymedia/xxxxxx.hu/httpdocs/wp-content/ plugins/all-in-one-seo-pack/all_in_one_seo_pack.php', line 115)

Elkezdtük az All-In-One-SEO-Pack letörlését az érintett tárhelyekről, illetve erre kértük a tárhelytulajdonosokat is. Késő éjjelre a problémát sikerült elhárítani. A tegnapi napon folytatódott a támadások naplózása, illetve a következtetések levonása és a szükséges intézkedések meghatározása.

 

Sajnos az All-In-One-SEO-Pack használata továbbra sem biztonságos, ezért egyelőre kénytelenek vagyunk tiltani a szervereinken. A bővítmény fejlesztőit értesítettük az incidensről. Amint hír érkezik frissítéséről, engedélyezni fogjuk a használatát. Adatot nem veszít senki, aki eddig használta az All-In-One-SEO-Pack-ot, az újratelepítés után a beállítási ismét elérhetőek lesznek, az alapbeállításokat ugyanis az adatbázis _options táblája, az egyes bejegyzésekre vonatkozó beállításokat pedig a _postmeta tábla tartalmazza.

hirdetés
Online WordPress Tanfolyam - Hamarosan nyitunk!

Természetesen akinek nem nálunk van a tárhelye, és a tárhelyszolgáltatója nem tiltotta le a bővítményt, az – saját felelősségére – továbbra is használhatja az All-In-One-SEO-Pack-ot, de az biztos, hogy én megvárnám a frissítést, vagy másik bővítményt használnék.

A következő bejegyzésemben, amely holnap jelenik meg, a legújabb tapasztalataink fényében írok újra a WordPress rendszerrel kapcsolatos biztonsági kérdésekről, lehetőségekről, megoldásokról.