Code Malicious Wordpress Hack care face load cpu 100% si acces la tot serverul

[AlexH]

De ieri si pana acum o ora m-am chinuit sa aflu care este problema la un server.
Ceva de pe server facea ca php sa tina cpu la 100% tot timpul si pe langa asta si un atac svn care nu stiu daca era generat de acest mic hack sau de altcineva.

Pentru ca erau multe site-uri pe server si N fisiere astazi am gasit aceasta arhiva pe unul din site-uri.

Aceasta arhiva c1.tar.gz a fost gasita in folderul wp-include/fonts/ care a facut folderul c1
Arhiva contine 2 fisiere.
.htaccess

Options Indexes FollowSymLinks
DirectoryIndex ssssss.htm
AddType txt .php
AddHandler txt .php

si un fisier 1 fara extensie care in folderul dezarhivat erau toate fisierele la site-uri de pe server.

In folderul fonts au mai fost gasite urmatoarele fisiere si cele cu rosu sunt cele normale care ar trebui sa fie.

Decodarea la fisierul v3.php
http://www.unphp.net/decode/729ac83f009d895485700ebccb9b8fb3/
decodare la fisierul enadmin.php
http://www.unphp.net/decode/fb077b688eeee94bb2a9aef1c60e3a52/
decodare la fisierul font.php
http://www.unphp.net/decode/d9f0db9acac27cf8e2a434b3d1aba584/
decodare la fisierul proshell.php
http://www.unphp.net/decode/68345bf950b9f9474be27e0399149759/

Rog cei care sunt coderi sa vad ce face exact acest hack, poate va dati seama cum a intrat, prin ce vulnerabilitate.
Puteti descarca toate fisierele de aici
https://www.dropbox.com/s/ichdb3pqdvsitrt/fonts.zip?dl=0
parola la arhiva este numele la forum.
Prin ssh si ftp nu a intrat ca sunt parole puternice si as fi primit notificare in caz ca cineva se logheaza.


Eu cred ca este de la tema folosita de site sau poate de la un plugin.
Problema a aparut ieri la ora 13.30.

 

[Ovidiu Bokar]

@AlexH, hackul e foarte dragut! Creeaza un CMS UI pentru hacker sa poata vedea ce ai pe server si isi seteaza permisiunile necesare, in plus ii da access sa modifice orice ai pe server.
Fisierele de font-type sunt doar sa te duca in eroare dar sunt folosite in CMSul hackerului.

c1.tar iti copiaza profilul tau (ie: /home) de pe server si isi face o copie proprie prin care poate accessa fisierele din server cu drepturi normale.

Daca spui ca ai mai multe websiteuri pe server, nu inseamna ca siteul in care ai gasit fisierele este problema, ci unul dintre siteuri de pe server poate fi hacked.

 

[Jhonny]

Se intampla acelasi lucru la un vps de al meu, wordpressul avea o vulnerabilitate la xmlrpc.php , pe care l-am dezactivat prin:

# BEGIN Disable XML-RPC.PHP

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

# END DIsable XML-RPC.PHP

in .htaccess

Nu stiu daca are legatura, dar efectele erau aceleasi !

 

[catalinx3006]

astazi am gasit si eu doua fisiere functions.wp-date.php AICI si class.wp-date.php AICI accesez fisierul www.domain.com.com/class.wp-date.php zice sa introduc o parola. Este cineva care poate afla parola, sunt curios ce se vede dupa, ce naiba au cautat pe site.

ACTUALIZARE: am repus fisierele, se pare ca cei de la paste bin le-au sters, la domain.com ma refeream la domeniul meu, cand am accesat acele fisiere

 

[Ovidiu Bokar]

@catalinx3006 Nici un link nu e valid, domain.com e Ad, reediteaza linkurile sau primesti warn.

 

[AlexH]

Este cineva care poate afla parola

Asta e tot ce a gasit in code legat de login:

>dt/<>naps/<nigoL>naps<>dt<>rt<>"xp51:tfel-gniddap"=elyts elbat<>dt<>dt/<>dt<>rt<'.         
'>rt/<>dt/<>lebal/<yranoitciD >"2"=eulav epyt=eman oidar=epyt tupni<>lebal<>dt<>dt/<>dt<>rt<'.         
'>rt/<>dt/<>lebal/<)login >- nigol( esrever >dekcehc 1=eulav esrever=eman xobkcehc=epyt tupni<>"xp51:tfel-gniddap"=elyts lebal<>dt<>dt/<>dt<>rt<'.         
'>rt/<>dt/<>lebal/<dwssap/cte/ >dekcehc "1"=eulav epyt=eman oidar=epyt tupni<>lebal<>dt<'.         
'>dt/<>naps/<epyt eturB>naps<>dt<>rt<'.         
'>rt/<>dt/<>"1.0.0.721"=eulav revres=eman txet=epyt tupni<>dt<'.         
'>dt/<>naps/<trop:revreS>naps<'.         
'>"'.)]'tesrahc'[TSOP_$(srahclaicepslmth.'"=eulav tesrahc=eman neddih=epyt tupni<'.         
'>"'.)]'a'[TSOP_$(srahclaicepslmth.'"=eulav a=eman neddih=epyt tupni<'.         
'>"'.)]'dwc'[SLABOLG$(srahclaicepslmth.'"=eulav c=eman neddih=epyt tupni<'.         
'>dt<>rt<>rt/<>dt/<>tceles/<>noitpo/<lqSergtsoP>lqsgp=eulav noitpo<>noitpo/<lqSyM>lqsym=eulav noitpo<>noitpo/<PTF>ptf=eulav noitpo<>otorp=eman tceles<>dt<'.        
'>dt/<>naps/<epyT>naps<>dt<>rt<>tsop=dohtem mrof<>elbat<>tnetnoc=ssalc vid<>1h/<ecrofeturB>1h<' ohce     
}

Parola trebuie sa fie undeva in code criptata. Poti decoda fiecare parte de code si poate reusesti sa o gasesti.

Cu siguranta ii ofera acces full la site sau server si e folosit cred pentru backlink si altele.
Voi cauta si eu pe la mine si sper sa nu gasesc nimic de gen.

Pentru cei cu wordpress puteti folosi acest plugin: https://wordpress.org/plugins/exploit-scanner/
Sau sucuri
https://wordpress.org/plugins/sucuri-scanner/

 

[catalinx3006]

Cu siguranta ii ofera acces full la site sau server si e folosit cred pentru backlink si altele.

La site sigur avea acces dar la server nu cred pentru ca primeam notificare, iar celelalte site-uri sunt curate la scanarea cu Wordfence, doar pe acesta la atacat azi si cred ca prin fisierul xmlrpc.php a reusit sa se conecteze, dar acum l-am pus la restrictie in Wordfence si deja sunt 20 de banari

 

[crystygye]

Daca folositi in htaccess ce a zis Jhonny, nu veti mai putea folosi jetpack publicize!

 

[Jhonny]

Daca folositi in htaccess ce a zis Jhonny, nu veti mai putea folosi jetpack publicize!

Dap ! Nu mai poti nici un plugin care cere permisuni de autentificare !