Estoy ejecutando un sitio web de wordpress y, de repente, el uso de la CPU se ha incrementado al 100%. Cuando intenté profundizar, encontré un binario en la carpeta php / tmp que se estaba ejecutando con el archivo de configuración-
{
"algo": "cryptonight",
"av": 0,
"background": true,
"donate-level": 1,
"log-file": "/dev/null",
"threads": "1",
"pools": [
{
"url": "xmr.crypto-pool.fr:80/xmr",
"user": "xyz",
},
],
}
Me parece que el servidor está involucrado en la extracción de monedas monero. Como la ubicación de la carpeta está en el directorio tmp, supongo que los archivos se enviaron allí explotando algún tipo de vulnerabilidad insecure file upload
, pero no puedo entender cómo el atacante hizo que el sistema ejecutara el binario. Como puedo ver el proceso en htop, no creo que el atacante haya obtenido acceso de root al sistema en ningún momento, o podría haber instalado algún kit de root para ocultar el proceso.
El proceso se está ejecutando bajo el usuario daemon y PPid 1 y se reinicia después de algún tiempo si intento matarlo. No puedo ver ningún archivo de inicio relacionado con este binario.
Quiero saber exactamente cómo el atacante logró iniciarlo como demonio y cómo se está controlando, pero estoy atrapado aquí. Cualquier consejo para un análisis más detallado será muy útil.
EDITAR:
La versión de php es - 7.0.6
Mi wordpress se está ejecutando con una imagen certificada bitnami aws. El proceso maestro de php se ejecuta como root y los hijos se ejecutan como daemon. Cuando revisé el archivo php.ini, no hay nada bajo la configuración de disable_function
. Supongo que esta es una mala práctica ya que alguien puede explotar funciones como exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source
.
No estoy seguro de editar la configuración, ya que nunca he trabajado con wordpress o php, y no estoy seguro de si esto romperá la wordpress.
Incluso si migro mi wordpress a una nueva instancia, ¿cómo puedo asegurarme de que no volverá a suceder?