Door SecOff: Hoi,
Ik gebruik een wordpress multisite omgeving (Geen reacties WP is bagger, moet je ook niet doen, etc aub) en zie heel veel geautomatiseerde aanvallen langskomen op alle aangemaakte subdomeinen. (site.domain.nl, site2.domein.nl etc.etc.)
Hier wellicht iemand die weet hoe je zonder in te loggen in de back-end een lijst met geregistreerde subsites kunt achterhalen, en hopelijk dus hoe dit te voorkomen?
Er zijn veel (semi-)publieke DNS servers die data van DNS lookups verzamelen. Deze data wordt vervolgens gebruikt om per IP of domein te bepalen welke subdomeinen of hostnamen voorkomen. Dergelijke databases zijn soms publiek, soms is toegang aanvraagbaar. Mensen die een bepaalde "geheime" hostnaam gebruiken doen er goed aan te kijken naar welke DNS servers ze hun requests sturen. Gebruik geen publieke name servers op de server en op clients.
Daarnaast het al genoemde AFXR die openstaat voor onbevoegden, waarmee de hele zone is op te halen. Dit moet beperkt worden tot vertrouwde name servers. Controleer alle name servers voor het domein. Staat er misschien ergens een zone file online?
dig ANY. De DNS server voor het domein kan bekende domeinen uit de cache halen.
Een open root directory op een web server kan ook leiden tot disclosure. Dat was het geval bij Xs4all.
Verder kan een DNS server of interface of control panel (etc.) zijn gehackt.
Vergeet niet te kijken naar testservers. Die worden vaak niet onderhouden.
De plugin update check van WordPress is oppervlakkig, daar moet je niet op vertrouwen. Als je backup plugins gebruikt, check dan ook of de backup bestanden niet publiekelijk toegankelijk zijn. Verwijder uitgeschakelde plugins en ruim ook achtergebleven bestanden op.
Je kan de web server logs nalopen op toegang tot (bestaande) WordPress bestanden om zo te bepalen of en hoe er een inbraak is geweest. Als je een file monitoring systeem (IDS) hebt, controleer die logs dan ook.