web-dev-qa-db-ja.com

WordPressハッキング-疑わしい "class-wp-style-table.php"が見つかりました

最近、WordPressアカウントがすべてハッキングされました。見つかった唯一の疑わしいファイルは以下のとおりです。これらは過去5日間に編集された唯一のファイルです(6月3日、具体的には)。

不審なファイルが見つかりました:

  • /Host.txt-このファイルには、wordpressテキストでインストールされたドメイン名のみが含まれていました(例:example.com

  • /wp-admin/includes/class-wp-style-table.php-これは厄介な問題です。 this Pastebin のコードのサンプルを参照してください。

これらのファイルがどこから来たのかを検出して、再生成されないようにするにはどうすればよいですか?私はグーグルを検索しました、そして0このファイル名のヒット。これは新しいWP攻撃ですか?

[〜#〜] update [〜#〜]悪意のあるファイルの正確なレプリカを見つけました「mod_googleapi.php」と呼ばれるJoomlaのインストールで。これが私の違反の原因だと思います。これは、Joomlaの古いインストールであり、リークの多い拡張機能/プラグインが必要です。

phpwebserverwordpress
1
theLucre

サーバーがPHP=バックドア型トロイの木馬に感染し、次の名前で感染しました:

a-squared: Backdoor.PHP.Shell!IK
AVAST!: VBS:Malware-gen
AVG: PHP/BackDoor
BitDefender: Trojan.Php.Backdoor.APF
ClamAV: PHP.Shell-38
Dr.Web: PHP.Shell.26
F-Secure: Trojan.Php.Backdoor.APF [Aquarius]
GData: Trojan.Php.Backdoor.APF [Engine:A]
Ikarus: Backdoor.PHP.Shell
Kaspersky: Backdoor.PHP.PhpShell.dd
Microsoft: Backdoor:PHP/Shell.G
NOD32: PHP/WebShell.NAH trojan
nProtect: Trojan.Php.Backdoor.APF

現在検出されています VirSCAN.orgが追跡するAVスキャナーの約38% 。このエクスプロイトについてAVをテストする方法は、単純に this Pastebin を開き、ファイルとしてダウンロードすることです。 AVはそれを検出し、上記の名前のいずれかでマルウェアを通知し、ダウンロードを拒否します。検出されない場合は、ダウンロードしたファイルを削除してください。 Webサーバー上のPHPインタープリターを介して実行しない限り、システムは感染しません。

私はエクスプロイトのコードを読んでいますが、率直に言って、それはかなり恐ろしいものであり、今まで見た中で最も完全なシェルの1つです。実行できることは次のとおりです。

  • ReadEditOverwrite実行するWebアプリケーションプロセスがアクセスできるすべてのファイルに。
  • Extract fromCompress toZipおよびTARアーカイブ(既存のアーカイブに自身を挿入することができます)
  • Brute-force FTP, MySQL, PostgreSQLWebサーバー自身のCPUを使用したアクセス
  • Scripted interface簡単なリモートC&Cシェル制御
  • POST requests for everythingより単純なWAFから隠し、Webサーバールールによる検出を回避する
  • Complete Database Control最も一般的なインジェクションのSQL省略表現を含む
  • Automated password and shadow file extractionオフラインパスワードの抽出/クラッキング
  • File System Access Controlファイル、ディレクトリへのアクセス許可の書き換えを含む
  • Enable / Disable reporting servicesログファイルによる検出を回避する
  • Self-Destruction Mechanismは、他のバックドアがインストールされた後にクリーンアップを実行します
  • Password and cookie token protectedその機能の簡単なサンドボックス検査を防止します(保護スキームはかなり弱いですが、質問への私のコメントを参照してください)
  • e.t.c.

すべてのデータ、ファイルシステム、オペレーティングシステム、感染したすべてのもの、およびそれらにインストールされているその他のバックドアを想定します。盗まれたすべてのパスワード、パスワードおよびシャドウファイルがパックおよびダウンロードされたと想定します。これは冗談ではありません!

時々、できることは...

Nuke It From orbit!

確実にする唯一の方法です。

それで、あなたは何ができますか?画像が示唆するように、軌道から核を作ります。このエクスプロイトが発生する前に、白紙の状態から開始し、既知の適切なオフラインバックアップから復元します。

  • ドライブをフォーマットし、OS、必要なその他のソフトウェアを再インストールし、それらを最新の状態に保ちます
  • すべてのインストールファイルが感染/古くなっていると想定し、最新バージョンをダウンロードする
  • 本当に必要なソフトウェアパッケージと、リモートアクセスを強化する方法を再考する
  • まだ持っていない場合は、WebサーバーにSSL証明書をインストールし、すべてに暗号化されたアクセスプロトコルを使用します
  • ファイアウォールルールを再評価し、使用しないすべてのポート、受信および送信のトラフィックを拒否します
  • 優れたウイルス対策ソフトウェアをインストールし、サーバーとサーバーにアクセスするすべてのクライアントの両方で定期的にウイルス定義を更新し、ヒューリスティックスキャンを有効にし、システム全体のスキャンを定期的に実行します
  • 信頼できない場所や、管理目的のパブリックアクセスポイントのような安全でない接続からリモートでWebサーバーにアクセスしないでください。
  • CMS /パネルソフトウェアフォルダー、ファイル、URL、パスワードへの安全なアクセスですべてを保護
  • オンラインサービスのユーザーのパスワードを含め、盗まれたすべてのパスワードを想定する
  • 感染日以前のオフラインバックアップから復元する
  • インジェクション、トロイの木馬、バックドアなどのバックアップファイルとデータベースレコードから復元されたすべてを検査します...
  • オンラインサービスにサポートコードを記述して、すべてのユーザーのパスワード変更を要求し、その前にアクセスを拒否する
  • すべてのユーザーに、パスワードが侵害されている可能性があることを通知します。ユーザーは、パスワードを他のサードパーティのサービスでも使用するために変更する必要があります。
  • サーバー上の各ドメインを個別のVMから実行し、制限付きの特権として、プロセス、ファイル、データベースアクセス許可をロックして、プロセスに割り当てることができます。
  • ITセキュリティコンサルタントを雇って、サーバーとそれが実行しているサービスの脆弱性を評価し、コンサルタントの推奨に従って行動する
  • このリストに何かを含めるのを忘れたと仮定し、これと信頼できる他のWebサイトで同様のシナリオに関する詳細情報と推奨事項を見つけます

がんばって!

7
TildalWave