WordPress Hacked - Trovato un sospetto "class-wp-style-table.php" [chiuso]

Naviga le tue risposte
1

Recentemente ho avuto tutti i miei account WordPress sul mio server violati. Gli unici file sospetti che ho trovato sono elencati di seguito. Questi erano gli unici file modificati negli ultimi 5 giorni (il 3 giugno, per essere precisi).

File sospetti trovati:

  • /host.txt - Questo file aveva solo wordpress installato il nome di dominio nel testo (ad esempio example.com )

  • /wp-admin/includes/class-wp-style-table.php - Questo è un brutto. Guarda l'esempio del codice in questo pastebin .

Come posso rilevare da dove provengono questi file per impedire che vengano rigenerati? Ho cercato su Google e ci sono 0 di risultati per questo nome di file. Si tratta di un nuovo attacco WP?

Aggiorna Ho trovato una replica esatta del file dannoso in un'installazione di Joomla chiamata "mod_googleapi.php". Penso che questa sia la fonte della mia violazione. È un'installazione datata di Joomla che deve avere alcune estensioni / plugin che perdono.

    
posta theLucre 08.06.2013 - 00:56
fonte

1 risposta

7

Il tuo server è stato infettato da un trojan backdoor PHP che utilizza questi nomi: 

a-squared: Backdoor.PHP.Shell!IK
AVAST!: VBS:Malware-gen
AVG: PHP/BackDoor
BitDefender: Trojan.Php.Backdoor.APF
ClamAV: PHP.Shell-38
Dr.Web: PHP.Shell.26
F-Secure: Trojan.Php.Backdoor.APF [Aquarius]
GData: Trojan.Php.Backdoor.APF [Engine:A]
Ikarus: Backdoor.PHP.Shell
Kaspersky: Backdoor.PHP.PhpShell.dd
Microsoft: Backdoor:PHP/Shell.G
NOD32: PHP/WebShell.NAH trojan
nProtect: Trojan.Php.Backdoor.APF

Attualmente viene rilevato da all'incirca il 38% degli scanner AV che VirSCAN.org traccia . Il modo per testare l'AV per questo exploit è semplicemente aprendo questo pastebin e provando a scaricarlo come file. Il tuo AV dovrebbe rilevarlo, notificarti il malware sotto uno di questi nomi dall'alto e negare il download. Se non viene rilevato, elimina semplicemente il file scaricato. Il tuo sistema non sarà infetto, a meno che non lo usi tramite un interprete PHP sul tuo server web.

Ho letto il codice dello sfruttamento e, francamente, è una cosa piuttosto spaventosa e una delle shell più complete che abbia mai visto. Ecco alcune cose che può fare:

  • Read , Edit , Overwrite qualsiasi file al quale verrà eseguito il processo di applicazione Web in cui verrà eseguito.
  • Extract from , Compress to archivi ZIP e TAR (possono iniettarsi negli archivi esistenti)
  • Brute-force FTP, MySQL, PostgreSQL accesso tramite la CPU del server Web
  • Scripted interface per un controllo remoto della shell C & C
  • POST requests for everything per nascondersi dal WAF più semplice ed evitare il rilevamento dalle regole del server web
  • Complete Database Control incluse le stenografie SQL per le iniezioni più comuni
  • Automated password and shadow file extraction per l'estrazione / cracking delle password offline
  • File System Access Control compresi i permessi di riscrittura sui file, le directory
  • Enable / Disable reporting services per evitare il rilevamento tramite i file di registro
  • Self-Destruction Mechanism per eseguire la pulizia dopo l'installazione di altre backdoor
  • Password and cookie token protected per impedire un'ispezione semplice in modalità sandbox delle sue funzioni (anche se lo schema di protezione è piuttosto debole, vedi il mio commento alla domanda)
  • e.t.c.

Presuppone tutti i dati, il file system, il sistema operativo, tutto ciò che è infetto e altri backdoor installati su di essi. Presumere tutte le password rubate, password e file shadow compressi e scaricati. Questo non è uno scherzo!

A volte, tutto ciò che puoi fare è ...

È l'unico modo per esserne sicuri.

Quindi cosa puoi fare? Come suggerisce l'immagine, spostalo dall'orbita. Inizia da una lavagna pulita e ripristina da un backup offline valido, prima che questo exploit si verificasse:

  • Formatta l'unità e reinstalla il sistema operativo, tutti gli altri software necessari, tienili aggiornati
  • Assumi tutti i file di installazione infetti / non aggiornati e scarica le ultime versioni
  • Ripensa quali pacchetti software hai realmente bisogno e come potresti rendere più difficile l'accesso remoto
  • Se non lo hai ancora, installa un certificato SSL sul tuo server web, utilizza protocolli di accesso crittografati su tutto
  • Riesamina le regole del firewall, nega il traffico su tutte le porte che non utilizzerai, in entrata e in uscita
  • Installa un buon software antivirus e aggiorna regolarmente le definizioni dei virus sul tuo server e su tutti i client dai quali accedi al tuo server, attiva la scansione euristica, esegui regolarmente la scansione completa del sistema
  • Non accedere mai al tuo server web da una posizione non sicura e / o una connessione non protetta come i punti di accesso pubblici a fini di amministrazione
  • Accesso sicuro alle cartelle del software CMS / pannello, ai file, agli URL, alla protezione tramite password di tutto
  • Assumi tutte le password rubate, incluse le password di tutti gli utenti dei tuoi servizi online
  • Ripristina da un backup offline precedente alla data dell'infezione
  • Ispeziona tutto ripristinato da file di backup e record di database per iniezioni, trojan, backdoor, ...
  • Scrivi il codice di supporto nei tuoi servizi online per richiedere la modifica della password per tutti i tuoi utenti e negare l'accesso prima che facciano
  • Notifica a tutti i tuoi utenti che le loro password potrebbero essere state compromesse e che dovrebbero cambiare le loro password per qualsiasi altro servizio di terze parti che potrebbero utilizzarle anche per
  • Esegui ogni dominio sul tuo server da una VM separata e assegna come privilegi limitativi ai loro processi come si può convivere, bloccare i file e le autorizzazioni di accesso al database
  • Assumi un consulente di sicurezza IT per valutare la vulnerabilità del tuo server e dei suoi servizi in esecuzione, agire secondo le raccomandazioni del consulente
  • Supponiamo di aver dimenticato di includere qualcosa in questo elenco e di trovare più informazioni e consigli su uno scenario simile su questo e altri siti web di cui ti fidi

Buona fortuna!

    
risposta data 08.06.2013 - 05:06
fonte

Leggi altre domande sui tag

SSH Accesso tramite chiavi private posizionamento del firewall hardware