Che tipo di attacco di virus è questo? E cosa faccio adesso?

Naviga le tue risposte
-3

Ho appena ereditato un'installazione di wordpress in esecuzione da un'altra agenzia e il tema (ventesimo) che stanno utilizzando per il mio client è stato danneggiato. Questo è ciò che la maggior parte dei file php del tema appare all'inizio del file:

Che tipo di attacco è questo? Come lo identifico? E quali passi dovrei fare ora?

    
posta Amit Erandole 21.01.2014 - 14:42
fonte

2 risposte

1

È un codice offuscato. Qualcuno ha avuto accesso al server e ha inserito del codice nella parte superiore, che hanno codificato come stringhe unicode e trucchi PHP ecc.

Per quanto riguarda il da farsi, devi assicurarti tutto il buco in cui l'attaccante è entrato, cambiare tutte le password ecc. e quindi puoi adottare uno dei due approcci:

  • Rimuovi con cura qualsiasi codice dannoso dal tuo tema, e Wordpress installa nel suo complesso - Questo è un approccio difficile, perché richiede di individuare ogni ultimo bit del codice e rimuoverlo in modo sicuro senza infrangere il tuo installare. Ha bisogno di esperienza e capacità tecniche significative.

  • Ricostruisci da zero. Questo è di solito un buon approccio con Wordpress perché i temi devono essere sottoposti a backup dallo sviluppo originale e una nuova installazione è abbastanza semplice da installare e importare i dati, quindi devi solo fare attenzione ai dati che importi.

Il punto principale però è che qualcuno è entrato nel tuo sito in qualche modo, e potrebbe essere attraverso un carico di diversi vettori di attacco. Almeno dovresti:

  • Cambia tutte le password per gli account
  • Controlla i registri di SSH, FTP e tutti gli altri servizi che consentono l'accesso al tuo sistema, alla ricerca di attività sospette che potrebbero portare a come l'autore dell'attacco ha ottenuto
  • Verifica la configurazione di tutti i Daemon e server e assicurati che tutto sia aggiornato, inclusa la distribuzione stessa
  • Considerare ulteriori precauzioni di sicurezza come l'autenticazione a 2 fattori, la modifica delle porte predefinite, l'uso di firewall software e cose come DenyHosts.

Una volta fatto tutto, tieni d'occhio il sistema e esegui regolarmente il backup, ma non eliminare i vecchi backup per un po 'di tempo (niente di peggio che eseguire il backup con attenzione, ottenere hacker e scoprire che gli unici backup rimanenti sono anche comprimati ).

Gli aggressori spesso prendono di mira i sistemi in cui si sono imbattuti prima, quindi il monitoraggio è un aspetto chiave della tua strategia da ora in poi.

    
risposta data 22.01.2014 - 18:45
fonte
0

Potresti rompere la crittografia, perché la chiave è vicino al cryptotext all'interno del codice dannoso.

Potresti decifrare l'intera iniezione php dannosa per capire di cosa si tratta esattamente.

Nel testo in chiaro troverai l'attaccante o il reindirizzamento su cloackers maliziosi.

Se non sai come paste.bin qui .

    
risposta data 26.01.2014 - 23:23
fonte

Leggi altre domande sui tag

Sono coperto con GPL Se voglio condividere il codice open source del progetto sviluppato nella mia azienda? [chiuso] Riservatezza crittografia RSA [chiuso]