Support » Kokeneille käyttäjille » Installatron ja deleteme, 503 (Service is not available)

  • Resolved jeresumell1

    (@jeresumell1)


    Olen nyt viidettä vuotta ylläpitämässä kotisivuani WordPress-pohjalla kotimaisen verkkoisännän palvelimella. Tänään ensimmäistä kertaa tuli eteen tilanne, kun sivut olivat alhaalla. Liikennemääräkään ollut niin iso, että kyseessä ei ollut perinteinen palvelunestohyökkäys. Logi-tiedostoista selvisi tämä, joka lienee syynä WordPress:iin kohdistuneesta toiminnasta, joka aiheutti ”503 – Service Unavailable” -herjan selaimessa.

    ??.???.???.?? – – [21/Dec/2019:06:49:19 +0200] ”POST /deleteme.chawodew.php?n=1&m=4 HTTP/1.0” 200 2419 ”-” ”Installatron Plugin/9.1.49”
    ??.???.???.?? – – [21/Dec/2019:06:49:20 +0200] ”POST /deleteme.wpnxiw.php HTTP/1.0” 503 – ”-” ”Mozilla/5.0 (Windows NT 6.1; WOW64; rv:17.0) Gecko/20100101 Firefox/17.0”
    ??.???.???.?? – – [21/Dec/2019:06:49:23 +0200] ”POST /deleteme.wpnxiw.php HTTP/1.0” 503 – ”-” ”Mozilla/5.0 (Windows NT 6.1; WOW64; rv:17.0) Gecko/20100101 Firefox/17.0”
    ??.???.???.?? – – [21/Dec/2019:06:49:25 +0200] ”POST /deleteme.wpnxiw.php HTTP/1.0” 503 – ”-” ”Mozilla/5.0 (Windows NT 6.1; WOW64; rv:17.0) Gecko/20100101 Firefox/17.0”
    ??.???.???.?? – – [21/Dec/2019:06:49:25 +0200] ”POST /deleteme.wpgzvr.php HTTP/1.0” 503 – ”-” ”Mozilla/5.0 (Windows NT 6.1; WOW64; rv:17.0) Gecko/20100101 Firefox/17.0”
    ??.???.???.?? – – [21/Dec/2019:06:49:27 +0200] ”POST /deleteme.wpgzvr.php HTTP/1.0” 503 – ”-” ”Mozilla/5.0 (Windows NT 6.1; WOW64; rv:17.0) Gecko/20100101 Firefox/17.0”
    ??.???.???.?? – – [21/Dec/2019:06:49:30 +0200] ”POST /deleteme.wpgzvr.php HTTP/1.0” 503 – ”-” ”Mozilla/5.0 (Windows NT 6.1; WOW64; rv:17.0) Gecko/20100101 Firefox/17.0”
    ??.???.???.?? – – [21/Dec/2019:06:49:30 +0200] ”POST /deleteme.wpe6gj.php HTTP/1.0” 503 – ”-” ”Mozilla/5.0 (Windows NT 6.1; WOW64; rv:17.0) Gecko/20100101 Firefox/17.0”
    ??.???.???.?? – – [21/Dec/2019:06:49:32 +0200] ”POST /deleteme.wpe6gj.php HTTP/1.0” 503 – ”-” ”Mozilla/5.0 (Windows NT 6.1; WOW64; rv:17.0) Gecko/20100101 Firefox/17.0”
    ??.???.???.?? – – [21/Dec/2019:06:49:34 +0200] ”POST /deleteme.wpe6gj.php HTTP/1.0” 503 – ”-” ”Mozilla/5.0 (Windows NT 6.1; WOW64; rv:17.0) Gecko/20100101 Firefox/17.0”
    ??.???.???.?? – – [21/Dec/2019:06:49:35 +0200] ”POST /deleteme.wprn1g.php HTTP/1.0” 503 – ”-” ”Mozilla/5.0 (Windows NT 6.1; WOW64; rv:17.0) Gecko/20100101 Firefox/17.0”
    ??.???.???.?? – – [21/Dec/2019:06:49:37 +0200] ”POST /deleteme.wprn1g.php HTTP/1.0” 503 – ”-” ”Mozilla/5.0 (Windows NT 6.1; WOW64; rv:17.0) Gecko/20100101 Firefox/17.0”
    ??.???.???.?? – – [21/Dec/2019:06:49:39 +0200] ”POST /deleteme.wprn1g.php HTTP/1.0” 503 – ”-” ”Mozilla/5.0 (Windows NT 6.1; WOW64; rv:17.0) Gecko/20100101 Firefox/17.0”

    En ole itse käyttänyt tuota ”Installatron” -pluginia, mutta tuossa näyttäisi kohdistuneen palvelimelle POST -metodilla pyyntöjä, joka kohdistuu kenties metodiin ”deleteme.” ja sitten pisteen jälkeen on joitain WordPress-tiedostoja. Onko tuo Installatron ohjelma kenties sellainen, että pimeän puolen tyypit voivat terrorisoida WordPress-sivustoa sillä ikään kuin ”remote connection” -periaatteella, eli etähallita.

    Toinen, mikä kävi mielessä, että joku on ohjelmoinut PHP:llä staattisen metodin ”deleteme”, ja sitten kohdistanut sen WordPress-tiedostoihini. Ainakin Javassa tuo pistenotaatio toimii staattisten metodien kutsuna tuolla pistenotaatiolla.

    Missä muussa saattaisi olla vikaa?

Esillä 2 vastausta, 1 - 2 (kaikkiaan 2)
  • Moderator Mikko Saari

    (@msaari)

    Installatronissa on ollut joskus jokunen heikkous, eli olisiko tuossa sitten kyse niiden hyödyntämisen yrittämisestä. Tuossa ei ole mitään erityisempää pistenotaatiota, nuo ovat ihan suoraan tiedostonnimiä mitä tuossa kokeillaan, löytyykö tiedostoa vai ei.

    Noiden ei pitäisi kuitenkaan olla mitään vaarallista, vain ärsyttävää, eli veikkaan, että noissa ei ole kaatumisen syy. Kun palvelinkin kerran on vastannut 503:aa, mitään ei ole voinut tapahtua.

    Joo, itsekin päädyin siihen, että joku red-hat-botti oli hyödyntänyt Installatronin jotain aukkoa, ja siitä syystä tuo tuli tuo 503 -virhekoodi.

    Sain palautettua vanhan sisältödatani, ja teemasta minulla olikin jo varmuuskopio, joten nyt vältyn ainakin tuolta samalta sabotointi-yritykseltä, että Installatronia hyödynnettäisiin, kun asensin WordPressin manuaalisesti verkkoisäntäni palvelimelle.

    Nyt on vain ongelmana, että JSON Restista herjaa, sivut/artikkelit on kyllä ohjauspaneelissa näykvissä, mutta sitten tulee ”404-virhekoodi”, kun yrittää esikatsella tai yleisön näkökulmasta katsoa sivua selaimessa.

Esillä 2 vastausta, 1 - 2 (kaikkiaan 2)
  • You must be logged in to reply to this topic.