Il sito WordPress è stato infettato da malware, impossibile trovare il dropper [duplicato]

1

Sono in una situazione un po 'noiosa. Ho ereditato le responsabilità di un multiservizio di WordPress, una volta gestito da altri appaltatori e quel sito è stato infettato da malware in grado di eliminare virus.

Sono comunque in una scatola nera. Il sito è ospitato da un altro appaltatore e non posso accedere al loro server.

Mi hanno fornito un dump DB, una copia dell'intera installazione di WordPress e una copia del virus in quarantena e l'ho scannerizzata personalmente. Quando l'ho scansionato, avast e AVG hanno trovato 3 BackDoor.shell con i nomi oggetto di "revslider \ love.php" "revslider \ arhy.php" e "revslider \ xxx.php"

Il fatto è che il plugin revslider non è installato. Ho cercato l'intera installazione di WordPress per "revslider" "revolution slider" e "revolution" e non ho trovato nulla da nessuna parte (stavo cercando anche nei temi).

Perché avast e AVG mi dicono entrambi che il revslider ha qualcosa a che fare con esso se non è installato?

Che altro posso cercare?

Note - Devo notare che questo sito è in una VM su un host condiviso.

Inoltre, ho letto il link e ho cercato i soliti sospetti:

  • "eval (base64_decode (... .."
  • "edoced_46esab ..."
  • "getMama ..."
  • "115,99,114,105,112,116 ...."
  • “document.write (‘

ma non ha trovato molto. Ho trovato qualcosa xyz-popup in questo plugin premium, ma quando ho scaricato una nuova copia era lì. (Mi sto liberando comunque di quel plugin)

Sto anche ricostruendo il server con nuove copie di plugin e temi mentre indago su questo.

    
posta rugbert 18.12.2015 - 23:20
fonte

1 risposta

1

Se capisco cosa intendi per nome oggetto, la maggior parte degli AV utilizza un nome oggetto che si riferisce a una "classe" di virus. Potrebbe non essere che l'attacco sia specificamente in revslider dato che non è stato installato, ma forse è stato trovato usando la stessa euristica usata per trovare il virus revslider.

Vorrei iniziare confrontando il codice sorgente del sito con copie pulite di wordpress e di eventuali plugin installati. Quello sarebbe il modo più rapido per annusare qualsiasi codice modificato. Se non funziona, controlla i dati del database.

Wordpress memorizza i post e le pagine nel database. Questi sono designati per contenere arbitrario html / javascript. Se un utente malintenzionato entra nel sistema, potrebbe avere pagine alterate nel DB per includere script dannosi.

    
risposta data 19.12.2015 - 00:02
fonte

Leggi altre domande sui tag