Tengo un servidor dedicado que ejecuta WordPress y recientemente he notado que ha sido pirateado y PHPShell se ha cargado un controlador de servidor web remoto. ¡Esto ha permitido al pirata informático ver y editar archivos, incluida mi base de datos!
Desde entonces he eliminado la carpeta PHPShell. Cambió todas las contraseñas posibles (base de datos, cuentas de usuario, FTP, desactiva SSH, etc.) y ¡recientemente ha vuelto a acceder!
Sin embargo, creo que originalmente pudo cargar esto a través del complemento Akismet después de revisar mis registros:
xx.xxx.208.130 - - [05 / Feb / 2014: 02: 18: 29 -0600] "GET /phpshell-2.4/ HTTP / 1.0 "403 1431" - "" Mozilla / 5.0 (Windows NT 6.1; WOW64) AppleWebKit / 537.36 (KHTML, como Gecko) Chrome / 32.0.1700.107 Safari / 537.36 "
xx.xxx.208.130 - - [05 / Feb / 2014: 02: 17: 47 -0600] "POST /wp/wp-content/plugins/akismet/.!31.php HTTP / 1.0 "200 17503 " enlace " "Mozilla / 5.0 (Windows NT 6.1; WOW64) AppleWebKit / 537.36 (KHTML, como Gecko) Chrome / 32.0.1700.107 Safari / 537.36 ".! 31.php
Saliendo de los detalles anteriores, parece que pudo cargar este PHPShell a través del complemento Akismet. Me puse en contacto con sus desarrolladores y me informaron que /akismet/.!31.php
no formaba parte de su paquete original y que el pirata informático podría haber creado esto como un señuelo. Antes de que eliminara el complemento de Akismet y fuera a https://example.com/wp/wp-content/plugins/akismet/.!31.php
, podías cargar y ejecutar archivos en el servidor, a través de mi firewall.
TENGO que sacar a este hacker de mi servidor. He ejecutado escáneres timthumb y no encontró nada. ¿Dónde más empiezo?