Skrita spam mail skripta na spletni strani

Pozdravljeni!

Imam težavo na spletni strani. Trenutno je gor nameščen Wordpress in SMF forum. Prejšnji teden se je zgodil napad na wordpress stran. Napadalec je uspel pridobiti geslo od wordpress admin računa, namestil plugin za backup baze, izdelal backup in od takrat naprej se vsak dan v nekem random folderju zgenerira nova php skripta, ki pošilja spam. Sicer ta spam strežnik blokira, tako da ne pride ven, ampak tudi sam ne morem več emailov pošiljat (blokirano).

Problem sedaj je, da ko jaz to skripto zbrišem, se v manj kot 24h pojavi nova, z novim imenom, v nekem drugem direktoriju z enako strukturo datoteke.

Moje znanje o varnosti je zelo slabo in očitno je, da je skripta/napadalec vsaj en korak vedno pred mano.
Preveril sem IP-je od koder so bili dostopi do teh skript in se razlikujejo ter se razmetani po celem svetu (predvidevam, da okuženi računalniki).
Spremenil sem vsa gesla (CPanel, FTP, admin račune).
Na wordpress sem namestil WP Security plugin in nastavil file permissione na 644 in folder permissione na 755. - iskreno rečeno kaj to pomeni za security, niti ne vem ampak taka so navodila na wordpress forumih =)

Prosim za pomoč, kako naj odkrijem od kod se te skripte pojavljajo?

Hvala!

Tudi če dam stran na offline, kako naj potem raziskujem naprej?

Razmišljam, da bi odstranil wordpress stran in za neko obdobje pustil samo forum (ki je bolj pomemben od spletne strani). Ampak to je tak dost "butast" način, vendar žal edini, ki mi še pade na pamet.

Nekje na strežniku imaš še no zadevo, ki pokliče zunanji strežnik in namesti zadevo. Lahko da so ji skril v kako function.php datoteko Če lahko in za test backup baze foruma in wp in preseli na drug host Tam postavit vse na novo(intštalacija in to). Ko boš videl da je tam bolje veš da je problem v fizičnih datotekah na tvojem disku. Če ne bo bolje veš da je problem da bazi.

meacho je 27. okt 2015 ob 13:11 izjavil:

V access.log preglej vse POST zahtevke in preveri skripte na katere se povezujejo.
Tako boš najhitreje našel kje ti gor nalagajo datoteke.

Evo napredek!

Sem pregleda log in ugotovil, da tik preden je bila prvič poklicana spam skripta, je bil dostop do ene sistemske datoteke od foruma. Jo odprem in vidim pred kodo od foruma injectana koda. Ok, sedaj vsaj približno vem kaj iskat in lahko naredim search po celotni vsebini, če je kje še kaj podobnega.

EDIT: sem našel in odstranil kodo še iz 5ih drugih datotek (povsod injectano pred začetkom original kode)
Upam samo, da je to entry point.

Zadeva je odpravljena, če bo slučajno kdo kaj takega iskal, bom napisal potek dogodkov.

Dostop do Wordpressa je napadalec dobil preko ranljivosti enega od pluginov za prikaz slik iz strežnika. Plugin je bil star in ni bil posodobljen - kar potrdi zgornji nasvet, da je nujno potrebno redno posodabljanje.

Preko log datoteke sem poiskal vse POST dostope in preveril vse sumljive datoteke, običajno so imele v naslovu še številke (primer search9.php). Teh datotek sem kasneje odkril cca 5-10. Problem iskanja datotek pa je bil, da so bil obfuscirane, tako da je bilo potrebno odkriti vzorec, ki se pojavlja in ni obfusciran. Npr:

}
    exit();
}

Po tem je bilo dokaj enostavno odkriti vse ostale datoteke, jih zbrisati. Sem pa potem dodatno zaščitil Wordpress, ustrezno nastavil file pravice na strežniku in posodobil wordpress, SMF, plugine ter odstranil vse plugine, ki niso bili v uporabi oz. niso bili nujni za delovanje spletne strani.

Sedaj je mir (knock knock knock).

Mogoče bo komu pomagalo, če se bo srečal s podobnim problemom.