WordPress 2-Step Verification

Sau vụ bị đột nhập vào admin wordpress và bị up shell, mình nghĩ phải có cách nào đó để tăng bảo mật. Thấy google có cái Xác minh 2 bước rất hay, và thế là từ ý tưởng đó xây dựng plugin Xác minh 2 bước cho WordPress(WordPress 2-Step Verification)

Plugin này sử dụng ứng dụng cài trên smart-phone của google luôn :d , ngoài việc dùng ứng dụng thì người dùng có thể dùng email để lấy mã xác minh :-)

Thôi, không vòng vèo nữa, làm vài cái screenshot đã :d

Overview [wordpress 2-step verification]
Trang tổng quan của wordpress 2-step verification
App config [wordpress 2-step verification]
Cấu hình ứng dụng di động cho wordpress 2-step verification
Enter code [wordpress 2-step verification]
Nhập mã xác minh [wordpress 2-step verification]
Các bạn có thể tải plugin này tại http://wordpress.org/extend/plugins/wordpress-2-step-verification

Cài đặt và sử dụng

Cài đặt

  1. Tải về, giải nén rồi upload vào thư mục plugins của wordpress. Hoặc cài đặt trực tiếp từ wordpress admin, search với từ khóa ‘wordpress 2-step verification’
  2. Kích hoạt plugin

Sử dụng

  1. Vào menu Users->2-step verification(nếu bạn là admin) hoặc Profile -> 2-step verification(nếu bạn là user) – Đây chính là trang tổng quan
  2. Từ trang tổng quan chọn Turn on 2 step verification. Rồi làm tiếp theo từng bước trong trang cấu hình này :-)

 

Một con C99 trên blog của mình

Cách đây khoảng 1 tuần, tự nhiên 1 buổi sáng đẹp trời thấy 1 đống email thông báo comment trên blog, toàn email spam. Log vào admin thì không thấy cái plugin akismet đâu, tưởng nó bị lỗi sau lần nâng cấp trước đó, chuyển qua install để cài thì lại thấy “Đã cài đặt:-| lạ quá, mở FTP ra thì thấy vẫn còn thư mục akismet ở đó, quyết định del đi và cài lại… Vô tình phát hiện trong thư mục plugin xuất hiện một thư mục con với cái tên rất lạ “zrooioiutou:-s mở ra thấy có 1 file gsm.php download luôn file đó về xem nó là cái gì, MSE báo đỏ lòm C99. Có vấn đề lớn rồi đây :-? Hack local hay là lộ password, không nghĩ nhiều về việc lộ password lắm, thiên về local hơn vì trên cùng tài khoản hosting này mình còn up khá nhiều thứ linh tinh để test mà quên chưa xóa đi, có thể 1 trong số thứ đó có những cái bảo mật kém hoặc có chứa shell cũng nên :-? Lúc đó đang khá bận nên bỏ qua vụ này :-W

Hôm qua thằng bạn vào kêu cũng bị mất pass khá nhiều site, kêu mình down access log về tra. Thực tình thì cái Direct Admin cũng ko thích dùng lắm, nên chả mò nghịch nhiều => chả biết nó có cho down access log và nếu có thì nằm ở đâu. Lục lọi một hồi cùng tìm được cài access log. Hơi bất ngờ

193.111.9.98 – – [17/Jul/2012:13:23:34 +0700] “POST /blog/wp-login.php HTTP/1.1” 302 1245 “http://as247.vui360.com/blog/wp-login.php” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:23:35 +0700] “GET /blog/wp-admin/ HTTP/1.1” 200 15643 “http://as247.vui360.com/blog/wp-admin/” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:23:42 +0700] “GET /blog/wp-admin/plugin-install.php?tab=upload HTTP/1.1” 200 7738 “http://as247.vui360.com/blog/wp-admin/plugin-install.php?tab=upload” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:23:54 +0700] “GET /blog/wp-content/plugins/zrooioiutou/gsm.php HTTP/1.1” 404 10420 “http://as247.vui360.com/blog/wp-content/plugins/zrooioiutou/gsm.php” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:23:56 +0700] “GET /blog/wp-admin/plugin-editor.php HTTP/1.1” 200 10195 “http://as247.vui360.com/blog/wp-admin/plugin-editor.php” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:24:02 +0700] “GET /blog/wp-admin/plugin-editor.php HTTP/1.1” 200 10195 “http://as247.vui360.com/blog/wp-admin/plugin-editor.php” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:23:44 +0700] “POST /blog/wp-admin/update.php?action=upload-plugin HTTP/1.1” 200 7571 “http://as247.vui360.com/blog/wp-admin/plugin-install.php?tab=upload” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:24:04 +0700] “GET /blog/wp-admin/plugin-editor.php?file=ajax-login-widget/ajax-login-widget.php   HTTP/1.1” 200 10224 “ajax-login-widget/ajax-login-widget.php” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:24:06 +0700] “GET /blog/wp-admin/plugin-editor.php?file=akismet/akismet.php HTTP/1.1” 200 16034 “akismet/akismet.php” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:24:08 +0700] “POST /blog/wp-admin/plugin-editor.php HTTP/1.1” 302 701 “http://as247.vui360.com/blog/wp-admin/plugin-editor.php” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:24:14 +0700] “GET /blog/wp-admin/plugin-editor.php?file=akismet%2Fakismet.php&liveupdate=1&scrollto=0&networkwide&_wpnonce=c271068043 HTTP/1.1” 302 9325 “http://as247.vui360.com/blog/wp-admin/plugin-editor.php” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:24:16 +0700] “GET /blog/wp-admin/plugin-editor.php?file=akismet%2Fakismet.php&phperror=1&_error_nonce=903fb3da33 HTTP/1.1” 200 59164 “http://as247.vui360.com/blog/wp-admin/plugin-editor.php” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”
193.111.9.98 – – [17/Jul/2012:13:24:20 +0700] “GET /blog/wp-content/plugins/akismet/akismet.php HTTP/1.1” 200 5601 “http://as247.vui360.com/blog/wp-content/plugins/akismet/akismet.php” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1”

Thủ phạm đã login được vào wordpress admin, upload lên plugin zrooioiutou/gsm.php, chỉnh sửa akismet plugin, chỉnh sửa ajax-login-widget plugin :-s

Vấn đề trở nên phức tạp rồi đây, wordpress có lỗi bảo mật hay mình bị lộ password. Trước giờ vẫn rất tin tưởng wordpress, với lại wordpress lỗi thì đã bị phát hiện và khai thác từ lâu rồi :)) . Chỉ còn khả năng máy mình có keylogger, và nếu thế thì thật nguy hiểm, bởi MSE ko phát hiện ra, hôm qua download cả cái Anti-Malware về cũng ko phát hiện ra gì cả :-s

Giá mà log đc thủ phạm POST gì để login vào được thì sẽ sáng tỏ vấn đề ngay :d

© 2010-2013 As247 Blog. All Rights Reserved. 1,230