Sto ispezionando un sito web Wordpress per un client e ho trovato che alcuni backdoor erano presenti nella cartella webroot.
Ora devo capire come ha fatto l'autore dell'attacco a riesaminare il codice sorgente che il client mi ha fornito.
Quali sono i modi con cui un utente malintenzionato può caricare una backdoor? Su quale parte del codice dovrei concentrarmi?
Non considerare questo come un insulto, ma il fatto che non sai da dove iniziare è un ostacolo. Considera quanto segue: Controlla il codice in modo frammentario solo per scoprire qualcuno in ssh'd e inserisci la backdoor nella cartella webroot. Allora cosa? Hai perso tempo.
La soluzione migliore è cercare di determinare quando ciò è avvenuto tramite l'analisi del registro, che probabilmente rivelerà quale plug-in o vulnerabilità di wordpress è stata sfruttata. Per fare questo, vorrei rilasciare un ls -ltha sul file stesso per ottenere un timestamp (sperando che qualcuno non lo abbia modificato). Una volta ottenuto il timestamp, passerei quindi attraverso i log degli accessi e degli errori del server web per quel periodo di tempo, analizzerei il nome dell'applicazione e così via.
La mia impressione mi dice che qualcuno ha sfruttato un plugin vulnerabile, o una versione di wordpress, nel qual caso il tempo speso sprecato per analizzare il codice sarebbe stato usato in modo più produttivo sugli aggiornamenti e per rendere sicuro il sistema.
Per quanto riguarda il modo in cui la backdoor potrebbe essere stata caricata, questa è ampia. Fino a quando non decidi se è stato caricato o meno PERCHÉ di wordpress stai giocando a indovinare. Come fai a sapere che qualcuno non ha forzato il server (ssh) e poi lo ha caricato? ... Analizzare prima i file di registro per il server.
Leggi altre domande sui tag wordpress