Gestisco un sito web di wordpress e all'improvviso l'utilizzo della CPU è aumentato al 100%. Quando ho provato a scavare, ho trovato un binario nella cartella php / tmp che era in esecuzione con il file di configurazione -
{
"algo": "cryptonight",
"av": 0,
"background": true,
"donate-level": 1,
"log-file": "/dev/null",
"threads": "1",
"pools": [
{
"url": "xmr.crypto-pool.fr:80/xmr",
"user": "xyz",
},
],
}
Mi sembra che il server sia coinvolto nell'estrazione di monete monero. Siccome il percorso della cartella è nella directory tmp, immagino che i file siano stati spediti lì sfruttando un po 'di vulnerabilità di tipo insecure file upload , ma non riesco a capire come l'hacker abbia fatto il sistema per eseguire il binario. Visto che riesco a vedere il processo in htop, non penso che l'hacker abbia avuto accesso al sistema in qualsiasi momento, o potrebbe aver installato alcuni root kit per nascondere il processo.
Il processo viene eseguito da utente demone e PPid 1 e si riavvia da solo dopo un po 'se provo ad eliminarlo. Non riesco a vedere alcun file di init relativo a questo file binario.
Voglio capire esattamente come l'hacker è riuscito ad avviarlo come demone e come viene controllato, ma sono bloccato qui. Qualsiasi suggerimento per ulteriori analisi sarà molto utile.
EDIT:
La versione di Php è - 7.0.6
Il mio wordpress è in esecuzione con l'immagine bitmap certificata da aws. Il processo master di PHP è in esecuzione come root e i bambini sono in esecuzione come daemon. Come ho controllato il file php.ini, non c'è nulla sotto disable_function configuration. Immagino sia una cattiva pratica in quanto qualcuno può sfruttare funzioni come exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source .
Non sono sicuro di modificare la configurazione in quanto non ho mai lavorato con wordpress o php e non sono sicuro che ciò interromperà lo stesso wordpress.
Anche se eseguo la migrazione del mio wordpress in una nuova istanza, come posso assicurarmi che non si verifichi più?