Servidor de Wordpress comprometido

0

Estoy ejecutando un sitio web de wordpress y, de repente, el uso de la CPU se ha incrementado al 100%. Cuando intenté profundizar, encontré un binario en la carpeta php / tmp que se estaba ejecutando con el archivo de configuración-

{
    "algo": "cryptonight",
    "av": 0,
    "background": true,
    "donate-level": 1,
    "log-file": "/dev/null",
    "threads": "1",
    "pools": [
        {
            "url": "xmr.crypto-pool.fr:80/xmr",
            "user": "xyz",
        },
    ],
}

Me parece que el servidor está involucrado en la extracción de monedas monero. Como la ubicación de la carpeta está en el directorio tmp, supongo que los archivos se enviaron allí explotando algún tipo de vulnerabilidad insecure file upload , pero no puedo entender cómo el atacante hizo que el sistema ejecutara el binario. Como puedo ver el proceso en htop, no creo que el atacante haya obtenido acceso de root al sistema en ningún momento, o podría haber instalado algún kit de root para ocultar el proceso.
El proceso se está ejecutando bajo el usuario daemon y PPid 1 y se reinicia después de algún tiempo si intento matarlo. No puedo ver ningún archivo de inicio relacionado con este binario.

Quiero saber exactamente cómo el atacante logró iniciarlo como demonio y cómo se está controlando, pero estoy atrapado aquí. Cualquier consejo para un análisis más detallado será muy útil.

EDITAR: La versión de php es - 7.0.6 Mi wordpress se está ejecutando con una imagen certificada bitnami aws. El proceso maestro de php se ejecuta como root y los hijos se ejecutan como daemon. Cuando revisé el archivo php.ini, no hay nada bajo la configuración de disable_function . Supongo que esta es una mala práctica ya que alguien puede explotar funciones como exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source .
No estoy seguro de editar la configuración, ya que nunca he trabajado con wordpress o php, y no estoy seguro de si esto romperá la wordpress.
Incluso si migro mi wordpress a una nueva instancia, ¿cómo puedo asegurarme de que no volverá a suceder?

    
pregunta krrish 30.04.2018 - 16:07
fuente

1 respuesta

1

Esto es solo una respuesta parcial, así que espero que alguien venga con más detalles, pero quería darte algo para comenzar.

enlace

Los hacks de WordPress son un dolor. Por lo general, evitábamos Wordpress por completo, pero si tuviéramos un cliente que realmente quisiera ejecutar un sitio de WordPress, los pondríamos en su propio servidor solo por esta razón. ¿Cómo entraron? Eso puede ser muy difícil de determinar. Los archivos de registro y un montón de excavaciones serán tu amigo. El software principal de wordpress es generalmente bastante seguro en estos días, siempre y cuando su instalación de wordpress esté actualizada. Sin embargo, debe auditar sus módulos de terceros con un peine de dientes finos extremadamente . Cuando algunos de nuestros sitios alojados en wordpress se vieron comprometidos en el pasado, casi siempre se debió a debilidades de seguridad en módulos de terceros que alguien instaló. Compruebe las advertencias de seguridad relacionadas con los módulos de terceros que haya instalado, especialmente los más populares.

Parece que lo atrapaste justo después de que sucedió. Eso es bueno porque significará que tienes mucho menos registros para revisar. Revisa en detalle hasta que encuentres algo sospechoso. Es difícil ser mucho más específico que eso. Una vez que descubras cómo entraron, ¡Apaga la órbita! , restaura desde una configuración que se sabe que está bien, y parche el problema que los dejó entrar en primer lugar.

    
respondido por el Conor Mancone 30.04.2018 - 17:07
fuente

Lea otras preguntas en las etiquetas