» »

Skrita spam mail skripta na spletni strani

Skrita spam mail skripta na spletni strani

hunter01 ::

Pozdravljeni!

Imam težavo na spletni strani. Trenutno je gor nameščen Wordpress in SMF forum. Prejšnji teden se je zgodil napad na wordpress stran. Napadalec je uspel pridobiti geslo od wordpress admin računa, namestil plugin za backup baze, izdelal backup in od takrat naprej se vsak dan v nekem random folderju zgenerira nova php skripta, ki pošilja spam. Sicer ta spam strežnik blokira, tako da ne pride ven, ampak tudi sam ne morem več emailov pošiljat (blokirano).

Problem sedaj je, da ko jaz to skripto zbrišem, se v manj kot 24h pojavi nova, z novim imenom, v nekem drugem direktoriju z enako strukturo datoteke.

Moje znanje o varnosti je zelo slabo in očitno je, da je skripta/napadalec vsaj en korak vedno pred mano.
Preveril sem IP-je od koder so bili dostopi do teh skript in se razlikujejo ter se razmetani po celem svetu (predvidevam, da okuženi računalniki).
Spremenil sem vsa gesla (CPanel, FTP, admin račune).
Na wordpress sem namestil WP Security plugin in nastavil file permissione na 644 in folder permissione na 755. - iskreno rečeno kaj to pomeni za security, niti ne vem ampak taka so navodila na wordpress forumih =)

Prosim za pomoč, kako naj odkrijem od kod se te skripte pojavljajo?

Hvala!

win64 ::

Žal boš moral dati stran na offline oziroma omejit na svoj IP in potem šele raziskovat.

hunter01 ::

Tudi če dam stran na offline, kako naj potem raziskujem naprej?

Razmišljam, da bi odstranil wordpress stran in za neko obdobje pustil samo forum (ki je bolj pomemben od spletne strani). Ampak to je tak dost "butast" način, vendar žal edini, ki mi še pade na pamet.

win64 ::

Ja namesto da izbrišeš tisto datoteko, jo odpreš, pogledaš kaj je noter. Morda ti že sama datoteka razkrije kaj bi lahko bilo.
Potem preiščeš po vsebini vse datoteke na strani, če kje vsebuje ime datoteke ali kaj iz vsebine datoteke.

Tody ::

Nekje na strežniku imaš še no zadevo, ki pokliče zunanji strežnik in namesti zadevo. Lahko da so ji skril v kako function.php datoteko Če lahko in za test backup baze foruma in wp in preseli na drug host Tam postavit vse na novo(intštalacija in to). Ko boš videl da je tam bolje veš da je problem v fizičnih datotekah na tvojem disku. Če ne bo bolje veš da je problem da bazi.

meacho ::

V access.log preglej vse POST zahtevke in preveri skripte na katere se povezujejo.
Tako boš najhitreje našel kje ti gor nalagajo datoteke.

hunter01 ::

meacho je izjavil:

V access.log preglej vse POST zahtevke in preveri skripte na katere se povezujejo.
Tako boš najhitreje našel kje ti gor nalagajo datoteke.


Evo napredek!

Sem pregleda log in ugotovil, da tik preden je bila prvič poklicana spam skripta, je bil dostop do ene sistemske datoteke od foruma. Jo odprem in vidim pred kodo od foruma injectana koda. Ok, sedaj vsaj približno vem kaj iskat in lahko naredim search po celotni vsebini, če je kje še kaj podobnega.

EDIT: sem našel in odstranil kodo še iz 5ih drugih datotek (povsod injectano pred začetkom original kode)
Upam samo, da je to entry point.

Zgodovina sprememb…

  • spremenil: hunter01 ()

Miha 333 ::

Dodal bi še, da če želiš to preprečiti, moraš redno nadgrajevati vse uporabljene aplikacije in vtičnike. Namreč te odprtokodne web aplikacije so polne varnostnih lukenj in ko je ena odkrita, je praviloma pomanjkljivost javno objavljena in nato roboti to izkoriščajo. Večinoma se potem to v novih verzijah pokrpa.

Velja za vse, kar uporabljaš. Wordpress, vsi plugini, SMF, ...

Če uporabljaš tovrstne aplikacije, je potrebno neprestano spremljanje in vzdrževanje. Ni dovolj, da samo postaviš in potem pustiš pri miru.

hunter01 ::

Zadeva je odpravljena, če bo slučajno kdo kaj takega iskal, bom napisal potek dogodkov.

Dostop do Wordpressa je napadalec dobil preko ranljivosti enega od pluginov za prikaz slik iz strežnika. Plugin je bil star in ni bil posodobljen - kar potrdi zgornji nasvet, da je nujno potrebno redno posodabljanje.

Preko log datoteke sem poiskal vse POST dostope in preveril vse sumljive datoteke, običajno so imele v naslovu še številke (primer search9.php). Teh datotek sem kasneje odkril cca 5-10. Problem iskanja datotek pa je bil, da so bil obfuscirane, tako da je bilo potrebno odkriti vzorec, ki se pojavlja in ni obfusciran. Npr:
}
    exit();
}


Po tem je bilo dokaj enostavno odkriti vse ostale datoteke, jih zbrisati. Sem pa potem dodatno zaščitil Wordpress, ustrezno nastavil file pravice na strežniku in posodobil wordpress, SMF, plugine ter odstranil vse plugine, ki niso bili v uporabi oz. niso bili nujni za delovanje spletne strani.

Sedaj je mir (knock knock knock).

Mogoče bo komu pomagalo, če se bo srečal s podobnim problemom.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kako izdelati spletno stran za shranjevanje datotek na Wordpress-u?

Oddelek: Izdelava spletišč
91472 (1070) flyby
»

gdpr pri brezplačnem wordpress.com blogu in na preprosti joomla-strani

Oddelek: Izdelava spletišč
82502 (1995) darkcoffee
»

Wordpress - negre odpreti wp-admin

Oddelek: Izdelava spletišč
141905 (1537) cosa nostra
»

WORDPRESS.ORG - vzdrževanje strani ?

Oddelek: Izdelava spletišč
111803 (14) Gandalfar
»

hacked?

Oddelek: Izdelava spletišč
131988 (1326) sverde21

Več podobnih tem