paolodaniele.it – linux & networking
Ciao Ragazzi,
oggi mi sono imbattuto in un attacco ad un sito WordPress basato su un exploit che sfrutta un bug della versione 3.4 per fare Bruteforce Attack
In pratica viene fatta una injection via ftp di un file chiamato web.php
Questo file non fa altro che aprire una serie innumerevoli di processi /usr/bin/host e inizia a fare a sua volta Bruteforce su altri siti wordpress facendo delle POST sulla pagina wp-login.php
La cosa bella è che per quanto si killano i processi e si disattivano, una volta avviati ripartono sempre per cui è comunque necessario un riavvio della macchina.
Di seguito un po’ di cose da verificare:
Per prima cosa cerchiamo se c’è qualche processo che chiama /usr/bin/host :
grep -ri --include=*.php "/usr/bin/host" your_pathPoi verifichiamo che non ci sia niente a crontab per i vari utenti della macchina:
for user in $(cut -f1 -d: /etc/passwd); do crontab -u $user -l; doneSe il sito è stato infettato, dopo queste operazioni di pulizia, con un riavvio della macchina si risolve.
In alternativa potete provare a killare i processi:
pkill -9 -U usernameEnjoy!
