WordPres i malware – moje metody wykrywania

Znajomy poprosił mnie o przeniesienie jego stron do mnie na serwer, oczywiście wiedziałem, iż maja jakieś malware w sobie, więc starannie pliki sprawdziłem co mogłem to naprawiłem i w zasadzie pliki są czyste. Jednak komentarze były aktywny co doprowadziło do kolejnych infekcji plików. I były to pliki wtyczek takich jak nginx helper, czy iwp client, a nawet pliki core z admina WordPress-a

Komentarze możemy zablokować – https://wordpress.org/plugins/disable-comments/

Lub zablokować funkcje mail

Jednak…

W dzisiejszym wpisie pokaże dwie opcje monitoringu.
Jedna opartna na logach, druga na usłudze.

  1. mail() @ php – do logów
  2. incron

Pierwsza metoda bardzo przydatna. Dzięki logowaniu mail() @ php widzimy jaki skrypt php robi wysyłke za pomocą tej funkcji.

Widać, że skrypt /web/domena.pl/app/wp-content/plugins/iwp-client/lib/dir11.php nawala maile. Oczywistość jest, że to wirus. Plik ten w środku jest zakodowany.

Druga metoda polega na wykrywaniu zmian na naszym systemie plików, podobnie działą jak inofity.

Instalacja

Dodajemy sobieżliwość używania tego programiku

I w pierwszej linii podajemy nazwę naszego usera.

Kilka podstawowych objaśnień:

  • IN_ACCESS – podczyt pliku
  • IN_ATTRIB – zmiana daty, uprawnień, etc..
  • IN_CREATE – Utworzenie pliku lub katalogu
  • IN_DELETE – Skasowanie pliku lub katalogu
  • IN_MODIFY – Plik został zmodyfikowany
  • IN_MOVED_FROM – Plik został przeniesiony z onitorowanego katalogu
  • IN_MOVED_TO – Plik został przeniesiony do monitorowanego katalog
  • IN_OPEN – Plik został otworzony
  • IN_ALL_EVENTS –

To nie są wszystkie możliwe metody incron-a – więcej :) man incrontab
Jeszcze kilka przydatnych opcji:

  • $@ – wypluje nam scieżke obserwowanego katalogu
  • $% – wypluje jakie było działanie
  • $# – nazwa pliku lub katalogu zwiazana z działaniem w monitorowanym katalogu

I teraz do dzieła.
Schemat:

Wchodzimy do edycji:

I tutaj mój wpis przykładowy:

Wpis powyżej spowoduje iż w pliku /var/log/messages zobaczymy coś na wzór:

Powyżej widać, iż user nazwany username na hoscie nazwanym hostname w katalogu /sajty/domena.pl/app został utworzony plik testuje_incron, a następnie został on zmodyfikowany.

W zasadzie to koniec, jednak fajnie by było wiedzieć o takiej akcji szybciej, na mail-a :)


Linux, WordPress