WordPress Hacked - Encontró un "class-wp-style-table.php" sospechoso [cerrado]

Navega tus respuestas
1

Recientemente he pirateado todas mis cuentas de WordPress en mi servidor. Los únicos archivos sospechosos que encontré se enumeran a continuación. Estos fueron los únicos archivos editados en los últimos 5 días (3 de junio, para ser específicos).

Se han encontrado archivos sospechosos:

  • /host.txt : este archivo solo tenía el nombre de dominio Wordpress instalado en el texto (por ejemplo, example.com )

  • /wp-admin/includes/class-wp-style-table.php : este es uno desagradable. Vea una muestra del código en este pastebin .

¿Cómo puedo detectar de dónde provienen estos archivos para evitar que se regeneren? Busqué en Google y hay 0 hits para este nombre de archivo. ¿Es este un nuevo ataque WP?

UPDATE Encontré una réplica exacta del archivo malicioso en una instalación de Joomla llamada "mod_googleapi.php". Creo que esta es la fuente de mi incumplimiento. Es una instalación fechada de Joomla que debe tener algunas extensiones / complementos con fugas.

    
pregunta theLucre 08.06.2013 - 00:56
fuente

1 respuesta

7

Su servidor se infectó con un troyano de puerta trasera PHP con estos nombres: 

a-squared: Backdoor.PHP.Shell!IK
AVAST!: VBS:Malware-gen
AVG: PHP/BackDoor
BitDefender: Trojan.Php.Backdoor.APF
ClamAV: PHP.Shell-38
Dr.Web: PHP.Shell.26
F-Secure: Trojan.Php.Backdoor.APF [Aquarius]
GData: Trojan.Php.Backdoor.APF [Engine:A]
Ikarus: Backdoor.PHP.Shell
Kaspersky: Backdoor.PHP.PhpShell.dd
Microsoft: Backdoor:PHP/Shell.G
NOD32: PHP/WebShell.NAH trojan
nProtect: Trojan.Php.Backdoor.APF

Actualmente, lo detecta aproximadamente el 38% de los escáneres AV que VirSCAN.org rastrea . La forma de probar su AV para este exploit es simplemente abriendo this pastebin e intentando descargarlo como un archivo. Su AV debe detectarlo, notificarle el malware bajo uno de esos nombres arriba y denegar la descarga. Si no se detecta, simplemente elimine el archivo descargado. Su sistema no se infectará, a menos que lo ejecute a través de un intérprete de PHP en su servidor web.

He estado leyendo el código del exploit y, francamente, es algo bastante aterrador y uno de los shells más completos que he visto en mi vida. Aquí hay algunas cosas que puede hacer:

  • Read , Edit , Overwrite en cualquier archivo al que tenga acceso el proceso de aplicación web en el que se ejecuta.
  • Extract from , Compress to Archivos ZIP y TAR (se pueden inyectar en archivos existentes)
  • Acceso Brute-force FTP, MySQL, PostgreSQL mediante la propia CPU del servidor web
  • Scripted interface para un fácil control remoto de C & C shell
  • POST requests for everything para ocultarse de WAF más simple y evitar la detección por las reglas del servidor web
  • Complete Database Control , incluidos los métodos abreviados de SQL para las inyecciones más comunes
  • Automated password and shadow file extraction para extracción / descifrado de contraseñas sin conexión
  • File System Access Control incluyendo la reescritura de permisos de acceso en archivos, directorios
  • Enable / Disable reporting services para evitar la detección a través de archivos de registro
  • Self-Destruction Mechanism para realizar la limpieza después de instalar otras puertas traseras
  • Password and cookie token protected para evitar una inspección sencilla de sus funciones en el espacio aislado (aunque el esquema de protección es bastante débil, vea mi comentario a la pregunta)
  • e.t.c.

Presume todos tus datos, sistema de archivos, sistema operativo, todo lo infectado y otras puertas traseras instaladas en ellos. Presume todas las contraseñas robadas, las contraseñas y los archivos ocultos empaquetados y descargados. ¡Esto no es una broma!

A veces, todo lo que puedes hacer es ...

Es la única forma de estar seguro.

Entonces, ¿qué puedes hacer? Como sugiere la imagen, quítala desde la órbita. Comience desde una pizarra limpia y restaure desde una buena copia de seguridad fuera de línea, antes de que se produzca esta vulnerabilidad:

  • Formatee la unidad y reinstale el sistema operativo, cualquier otro software que necesite, manténgalos actualizados
  • Suponga que todos sus archivos de instalación están infectados / desactualizados y descargue las últimas versiones
  • Reconsidere los paquetes de software que realmente necesita y cómo podría reforzar el acceso remoto
  • Si aún no lo tiene, instale un certificado SSL en su servidor web, use protocolos de acceso cifrado en todo
  • Vuelva a evaluar las reglas del firewall, rechace el tráfico en todos los puertos que no va a usar, entrante y saliente
  • Instale un buen software antivirus y actualice sus definiciones de virus con regularidad tanto en su servidor como en todos los clientes desde los que tendrá acceso a su servidor, habilite el análisis heurístico, realice un análisis completo del sistema con regularidad
  • Nunca acceda a su servidor web de forma remota desde una ubicación no confiable y / o una conexión no segura como puntos de acceso público para fines de administración
  • Acceso seguro a sus carpetas de software / panel de CMS / software, archivos, URL, proteja todo con contraseña
  • Asume todas las contraseñas robadas, incluidas las contraseñas de cualquier usuario de tus servicios en línea
  • Restaure desde una copia de seguridad sin conexión desde antes de la fecha de la infección
  • Inspeccione todos los archivos de copia de seguridad y de la base de datos restaurados para detectar inyecciones, troyanos, puertas traseras, ...
  • Escriba el código de soporte en sus servicios en línea para exigir un cambio de contraseña para todos sus usuarios y denegar el acceso antes de que lo hagan
  • Notifique a todos sus usuarios que sus contraseñas podrían haber sido comprometidas y que deberían cambiar sus contraseñas para cualquier otro servicio de terceros para el que puedan usarlas también.
  • Ejecute cada dominio en su servidor desde una máquina virtual separada y asigne como privilegios limitantes a sus procesos, ya que puede vivir, bloquear archivos y permisos de acceso a bases de datos
  • Contrate a un consultor de seguridad de TI para evaluar la vulnerabilidad de su servidor y los servicios que está ejecutando, actúe de acuerdo con las recomendaciones del consultor
  • Supongamos que he olvidado incluir algo en esta lista, y encuentre más información y recomendaciones para un escenario similar en este y otros sitios web en los que confía

¡La mejor de las suertes!

    
respondido por el TildalWave 08.06.2013 - 05:06
fuente

Lea otras preguntas en las etiquetas

pregunta sobre enraizamiento SSH Acceso usando claves privadas