Come si può aggiungere un file PHP più e più volte al mio sito compromesso?

8

Sono su un piano di hosting condiviso (lo so, lo so) su GoDaddy e tutti i file in esso contenuti sono stati violati. Ci sono più siti nel piano, ognuno di essi ha una cartella. Le cartelle e le sottocartelle di ogni sito sono piene di file compromessi, così come le cartelle sopra public_html.

Ho cancellato tonnellate di file con codice dannoso e sento di aver cancellato tutto tranne che c'è un file xm1rpc.php che compare di nuovo 10 secondi dopo l'eliminazione. .htaccess , configuration.php e index.php , tutti nella radice di uno dei siti, sembrano essere infettati molto velocemente.

Come fanno a farlo? Ho cercato i crons nel pannello di controllo, ho cambiato le password (FTP, admin, ecc.), Cosa dovrei controllare per il prossimo? In modo che tu sappia, i siti sono Joomla e WordPress.

    
posta Victoria Ruiz 03.11.2016 - 20:35
fonte

5 risposte

2

Potresti avere qualche backdoor nel database come inline HTML o Javascript.

Se sei sicuro di aver rimosso tutto dai file, guarda nel database.

Inoltre, assicurati di aggiornare entrambi i CMS alle ultime versioni e disattiva / rimuovi tutti i moduli inutilizzati in entrambi, in modo che non vengano modificati nuovamente allo stesso modo.

Controlla anche i log di accesso e degli errori del server WWW se qualcuno ti sta davvero bombardando.

    
risposta data 03.11.2016 - 21:08
fonte
2

Innanzitutto, controlla i log di accesso dei tuoi siti per dimostrare a te stesso che non ti stai reinvincendo attraverso lo stesso vettore di attacco che ti ha infettato. Se non vedi richieste che arrivano ogni dieci secondi, per ora dovrebbe essere sufficiente.

Hai detto che non ci sono cronjob sospetti. Come hai controllato questo? Sei sicuro che i cronjobs vengano tutti visualizzati nel pannello di controllo che hai menzionato, anche se non sono stati creati attraverso il pannello di controllo?

Se davvero non ci sono processi cron, la prossima probabile causa di reinfezione è un processo malevolo che è ancora in esecuzione sul server e continua a dormire per dieci secondi, quindi verifica l'esistenza dei file e li ricrea se non ci sono più.

Se questo è ciò che sta succedendo, è anche probabile che tu abbia ancora una copia dei file dannosi sul server da qualche parte (o quello, o sono stati scaricati da una fonte remota). Non dimenticare di controllare la directory / tmp per le sottodirectory nascoste. / tmp è un luogo probabile in cui risiede il malware perché è solitamente scrivibile in tutto il mondo.

Alcuni malware utilizzano un trucco preciso sui sistemi unix per nascondere i loro file: il processo in esecuzione apre i file e li scollega, il che li rende invisibili al comando come ls e find, ma poiché sono aperti, sono ancora lì (finché il processo che li tiene aperti termina). La cosa buona è che dal momento che sono aperti, verranno visualizzati sotto / proc.

Devi trovare questo processo e ucciderlo. Non so nulla di GoDaddy, hai accesso alla shell? In tal caso, puoi utilizzare il comando ps per elencare i processi attivi in esecuzione con il tuo nome utente.

Tuttavia, questo è tutto inutile a meno che non si trovi il vettore dell'infezione. Controlla i tuoi log di accesso per URL molto lunghi contenenti stringhe dall'aspetto casuale. Questo è abbastanza facile se sai come usare grep e le espressioni regolari. Se trovi qualcosa che sembra sospetto, google l'URL; questo potrebbe fornire una descrizione del buco di sicurezza che ha reso possibile la violazione iniziale e questo è ciò che è necessario sapere per proteggere il sistema.

    
risposta data 03.11.2016 - 21:37
fonte
2

È piuttosto difficile rispondere solo con le informazioni che fornisci.

Alcuni amici hanno affermato che il tuo problema potrebbe essere una vulnerabilità del database SQL, ma non credo (posso ancora sbagliarmi). Come se fosse così, nessuna ulteriore iniezione di file sarebbe necessaria per accedere al tuo sistema.

È giusto che ci sia una possibilità che qualcuno stia tentando di sfruttare una delle vulnerabilità attuali nella tua pagina per ottenere l'accesso.

Quindi, il massimo che posso dire è:

  • La causa più probabile (credo) è una vulnerabilità RFI (Inclusion File Remote), nelle pagine web dinamiche di PHP è piuttosto comune.
  • Joomla come molti dei motori CMS (come @ user129555 ha detto) sono piuttosto vulnerabili e nuovi bug / vulnerabilità sono trovati così in fretta.
  • Il meglio che puoi fare è:

    1. Controlla i tuoi file web e le autorizzazioni (alcuni CMS richiedono l'eliminazione di alcuni file o la modifica delle autorizzazioni dopo la prima configurazione per motivi di sicurezza).
    2. Verifica la presenza di eventuali vulnerabilità tramite google (o utilizzando pagine o database pubblici come CVE ).
    3. Usa qualsiasi tipo di motore per trovare alcune vulnerabilità (ci sono tonnellate per CMS).
    4. Aggiorna tutto (Joomla) alle ultime versioni, per risolvere gran parte delle vulnerabilità.

Buona fortuna!

    
risposta data 10.11.2016 - 16:08
fonte
1

How can a file be added over and over to my site?

Sfruttare il "difetto di escalation dei privilegi" sul sistema / programmi

Un utente con un account con privilegi limitati può ottenere il privilegio di root sfruttando il difetto di Privilege Escalation, l'utente malintenzionato (con un accesso root) assumerà il controllo completo sul database aggiungendo, eliminando i file ....

Esempio: la nuova vulnerabilità scoperta su LAMP (Linux-Apache-MySQL-PHP) 01.11.2016 CVE-2016-6664 (MySQL e MariaDB)

Description

MySQL-based databases including MySQL, MariaDB and PerconaDB are affected by a privilege escalation vulnerability which can let attackers who have gained access to mysql system user to further escalate their privileges to root user allowing them to fully compromise the system. The vulnerability stems from unsafe file handling of error logs and other files.

    
risposta data 03.11.2016 - 22:13
fonte
1

Il tuo xm1rpc.php proviene da wordpress. Segui questi passaggi, risolverà il tuo problema. Vai dritto al punto e segui i passaggi seguenti per risolverlo. Questo è un tipo di sceneggiatura per bambini, non complicarlo oltrepassando il luogo

  1. Vai a ogni wordpress a cui hai accesso. Scarica questo plug-in in ogni wordpress e utilizzalo per scansionare e rimuovere il malware.
  2. Aggiorna wordpress all'ultima versione per ogni sito.
  3. Cambia password in tutti i siti wordpress, cpanel e whm (se ne hai)

Come funziona? Il tuo /wp-includes/load.php è infetto. Continuerà a creare il file php dannoso che infetterà il tuo .htaccess, .configuration.php e index.php

    
risposta data 15.11.2016 - 15:24
fonte

Leggi altre domande sui tag