The Darkest Library

[RU] Вордпресс — решето

Мораль поста (tl;dr): если файловая система Вордпресса не read only, то найти вирусы может помочь scr34m/php-malware-scanner.

Окей, мне снова влезли в докеры с Вордпрессом и пропихнули туда баннер с рекламой розыгрыша Айфона 🙂

Учитывая, что это совсем разные сайты с разным набором плагинов – используется какой-то общий баг в самом Вордпрессе, которого нет в публичных базах. И который уже год присутствует во всех свежих версиях Вордпресса.

По списку испорченных файлов видна “последняя миля”.

В одну из аплоадных папок (uploads, images, etc) заливается скрипт с рандомным именем. Потом его содержимое аппендится в самое начало произвольных php-файлов.

Я прочитал все испорченные файлы. Пока решил, что на файлы Podlove (плагин, который мы используем для раздачи подкастов) сканер ругнулся случайно, потому что там используются дикие регулярки. Но надо разбираться плотнее.

Те файлы, которые реально испорчены, испорчены двмуя разными “вирусами”. Мучительная деобфускация (использованный деобфускатор – собственный мозг) показывает, что оба подкладывают рекламный баннер. У одного из них обфускация сильно круче, с использованием классов и прочих фичей свежего пыха.

В качестве сканера файлов я использовал scr34m/php-malware-scanner (это репа на гитхабе).

Никаких реальных потерь не произошло. Тексты забэкаплены (хотя я не проверял, восстанавливается ли оно из бэкапа 🙂 🙂 🙂 ). Да и вообще, всё это в докере, в случае чего можно всё удалить и развернуть назад “чистое”. Я бы так и сделал, если бы не необходимость последующей настройки Вордпрессов.

Приятных выходных! Оставайтесь на связи, там, кажется, опять что-то сломалось…

olegchir

Links: Facebook | Twitter | Instagram

Indie game developer. All opinions are my own.

Add comment

Follow me (@olegchir)

Don't be shy, get in touch. I love meeting interesting people and making new friends.

Most popular

Most discussed