Due mesi fa uno dei nostri siti Wordpress era infestato in tutto e per tutto. Questo è stato allo stesso tempo in cui ho iniziato a lavorare in questa azienda. La nostra piattaforma principale è Plone, ma credo che abbiano fatto alcuni progetti al volo usando Wordpress in passato. Quei siti sono stati trascurati e il peso della manutenzione è caduto su di me - non mi dispiace però, è la posizione di entrata e imparo molto su base giornaliera. Ho scansionato il sito utilizzando WordFence, scritto alcuni script di pulizia, cambiato tutte le password, eliminato l'utente amministratore forzato (sì, è arrivato così lontano), perlustrato attraverso DB, rafforzato la sicurezza della directory di caricamento ... Durante la pulizia del sito google taggato il sito per contenuti dannosi (brutto grande avvertimento rosso). Dopo la pulizia completa, ho inviato la richiesta di scansione e il flag di avviso è stato rimosso. La fonte di infestazione era un plug-in falso (non ho idea di chi o perché lo abbia installato), aghi per dire che è stato eliminato con il resto del codice infestato.
Da allora il business è stato normale come consentito da Wordpress. Stiamo ancora avendo molti tentativi di forza bruta; Posso immaginare che il dominio sia stato aggiunto ad alcuni "black-hat registry", ma va bene, dal momento che le password sono potenti e ho impostato il limite di tentativi più il conseguente divieto IP.
Bene, oggi ho ricevuto un avviso da WordFence sul file infestato. La mia pressione sanguigna si alzò come un palloncino riempito di elio. Dopo le indagini ho scoperto che si trattava di un singolo file:
wp-content / cache / meta / wp-cache-d5959f8ceb4b5dc5c5a03125b3d61348.php
E nient'altro è stato influenzato, sembrerebbe. Ma non posso esserne sicuro finché non saprò cosa sta cercando di ottenere questo file. Qualcuno potrebbe dare un'occhiata e magari fornire un link alle risorse che descrivono come è possibile per chiunque caricare questo pezzo di ... codice indesiderato. Ho di nuovo a che fare con il plugin falso? Ho pulito tutto e sigillato la backdoor: (
Ho cambiato dominio su www.somedomain.com.
Ci scusiamo per la lunga introduzione, volevo solo chiarire la mia posizione e respingere le ipotesi su eventuali motivi alternativi - visto che capita a qualcun altro che fa una domanda simile senza alcuna informazione di base.