¿Qué tipo de ataque de virus es este? Y que hago ahora

Navega tus respuestas
-3

Acabo de heredar una instalación de wordpress en ejecución de otra agencia y el tema (veinteeleven) que están usando para mi cliente está dañado. Así es como se ve la mayoría de los archivos php del tema al principio del archivo:

¿Qué tipo de ataque es este? ¿Cómo lo identifico? ¿Y qué pasos debo tomar ahora?

    
pregunta Amit Erandole 21.01.2014 - 14:42
fuente

2 respuestas

1

Es un código confuso. Alguien ha obtenido acceso al servidor y ha insertado algún código en la parte superior, que ha codificado como cadenas Unicode y trucos de PHP, etc.

En cuanto a lo que debe hacer, debe asegurar el agujero por el que haya entrado el atacante, cambiar todas las contraseñas, etc., y luego puede tomar uno de estos dos métodos:

  • Elimine cuidadosamente todos y cada uno de los códigos maliciosos de su tema, y la instalación de Wordpress como un todo - Este es un enfoque difícil, ya que requiere que detecte hasta el último bit del código y lo elimine de manera segura sin romper su instalar. Necesita experiencia significativa y habilidad técnica.

  • Reconstruir desde cero. Por lo general, este es un buen enfoque con Wordpress porque se debe hacer una copia de seguridad de los temas desde el desarrollo original, y una instalación nueva es bastante fácil de instalar e importar datos, y luego solo debe tener cuidado con los datos que importa.

Sin embargo, el punto principal es que alguien ingresó a tu sitio de alguna manera, y podría ser a través de una carga de diferentes vectores de ataque. Por lo menos deberías:

  • Cambiar todas las contraseñas de las cuentas
  • Revise los registros de SSH, FTP y todos los demás servicios que permiten un inicio de sesión en su sistema, en busca de actividades sospechosas que puedan llevarlo a conocer cómo entró el atacante
  • Revise la configuración de todos los demonios y servidores, y asegúrese de que todo esté actualizado, incluyendo la propia distribución
  • Considere precauciones de seguridad adicionales como la autenticación de 2 factores, el cambio de puertos predeterminados, el uso de firewalls de software y cosas como DenyHosts.

Una vez hecho todo esto, vigile el sistema y realice copias de seguridad con regularidad, pero no elimine las copias de seguridad antiguas por un tiempo (nada peor que hacer una copia de seguridad con cuidado, hackearse y descubrir que sus únicas copias de seguridad restantes también están comprimidas) ).

Los atacantes a menudo se dirigirán a los sistemas en los que se han instalado antes, por lo que el monitoreo es un aspecto clave de su estrategia a partir de ahora.

    
respondido por el Owen 22.01.2014 - 18:45
fuente
0

Podría descifrar el cifrado, porque la clave está cerca del criptotexto dentro del código malicioso.

Podrías descifrar toda la inyección maliciosa de php para entender qué es exactamente.

En el texto sin formato encontrará a su atacante o redirección en cloackers maliciosos.

Si no sabe cómo paste.bin aquí .

    
respondido por el Anomalous Awe 26.01.2014 - 23:23
fuente

Lea otras preguntas en las etiquetas

Wordpress - divulgación de credenciales de administrador de texto simple ¿Las VPN para iPhones son vulnerables a la piratería?