Ho trovato su internet problemi simili e ho confrontato il codice. Questo è diverso.
Recentemente ho scoperto che il CentOS
LAMP
webserver che utilizziamo per lo sviluppo nel nostro ufficio è stato infettato da un pezzo di PHP
codice iniettato all'inizio di tutti i nostri file .php
.
Sto mettendo il codice su Gist/Github
, perché è lungo, ma lo sto descrivendo e cosa ho fatto qui sotto.
Sto cercando di offuscare il codice sorgente per capire il danno e vedere cosa fa effettivamente lo script dannoso. Sono stato in grado di decodificare un testo con escape HEX, ma c'è una parte che è più complicata.
Ho rinominato tutte le variabili e c'è una stringa codificata in una variabile chiamata $foo
, che è decodificata da una funzione chiamata mistery_f
, con una matrice ausiliaria che contiene una lunga lista di numeri (variabile $bar_arr
) .
Poi c'è anche una porzione di testo in una stringa, contenente due commenti "strani" offuscati, un eval()
, un str_replace
e una chiamata alla funzione mistery_f()
.
Ma non ottengo l'ultima parte, mi sembra che questa stringa non venga mai valutata per eseguire il codice, e nell'ultima parte ci sono forse alcune variabili spazzatura che eseguono alcuni aritmetici e vengono quindi ignorate.
Forse manca del codice e non è stato iniettato.
Molti dei nostri siti web utilizzano WordPress
, che potrebbe essere parte del problema.
Forse qualcosa relativo ad un testo pubblicato e salvato nel database MySQL
, in un campo che non era abbastanza grande e una parte troncata del codice dannoso?
Proverò a vedere e ottenere alcuni registri, se ce ne sono ancora, per vedere come il server è stato sfruttato / penetrato.
Non sto chiedendo perché è un test di produzione. Fortunatamente ciò influenzerebbe solo (probabilmente) i browser, ma non possiamo rendere i siti di anteprima del client su questo server.
Temo che potrebbe essere una parte che non ho notato, e forse un overflow del buffer, o qualcosa che potrebbe danneggiare il resto del server.
Inoltre sto cercando di capire perché sono stato infettato e come proteggere i dati del nostro sito Web in fase di sviluppo.
Qualsiasi aiuto è benvenuto. Grazie