2020. szeptember 7.

Vírus (nem covid)

Mna…ma egy érdekes, eddig még nem látott vírussal bakalódtam!

WordPress esetén vannak bizonyos standard filok, amiről az ember már egy idő után tudja, hogy helyén vannak vagy sem. Azonnal találtam pár “szépséget”… Ebben a jó az, hogy nem muszáj tudni, hogy mi van benne, azonnal látszik, hogy ez nagyon gáz. Ez a példány azért volt jóval gázabb mint a többi, mert ezt még a Total Commander se tudja rendesen keresni… Avagy hmm hogy is mondjam, hiába szedtem ki részleteket ebből a kód akármiből a sok összevissza ékezetes karakter már megnehezítette, hogy esetleg megtaláljam az összest.  Afféle vagy nem volt, vagy volt, de soha nem fogom megtudni, mert nincs, hogy egyenként megnézzek közel százezer filet… amiben bárhol lehet ilyen.  (katt, hogy nézzétek meg nagyban milyen csicsás :D)

na de ezen vírus érdekessége nem is ez volt: hanem, hogy mikor letöröltem a fő index.php file-t, az rögtön visszaíródott és a jogosultságok átálltak 444-re. Mindegy volt, hogy honnan törlőm, mire megint oda néztem ott volt a bestia.

Ennek a file-nak nem kéne ekkorának lennie, semmiképpen nem 32800 Byte  alig 405 byte körül van!!!

A megoldást végül ez hozta:

The code added to the main index page of WordPress was telling PHP-FPM to rebuild the file from it’s cache if it was changed.

1. To remove or edit the file, you first need to disable PHP-FPM.
2. Change or remove the index.php file.
3. Then you can restart PHP-FPM and start doing normal work on the site.

From here.
https://wordpress.org/support/topic/hacked-index-php-file-with-444-permissions-wont-stay-changed/

Itt olvasható több a jelenségről:

700,000 WordPress Users Affected by Zero-Day Vulnerability in File Manager Plugin

A támadás felülete a Worpress File Manager pluginja volt 🙂

Amit szerencsére nem én installoztam fel a  bizonyos honlapra… hanem ugyanazok a balfasz józsik akik az alap témát módosították…

Összefoglalóként: a jelenség tünetei ezek voltak:

Japanese Seo hijack,  a google Structural Data Testing Tool mindenféle japán karaktert mutatott a honlapon. Az egész ügy úgy kezdődött, hogy a Google Search console valami hibákat jelzett és ezt próbáltam megfejteni. Amikor megláttam a japán karaktereket már tudtam, hogy itt máshol kell keresgélni…

Wordfence scan talált kb 9 nem oda való filet.

index.php extra kódot tartalmazott, törlés után rögtön regenerálódott, és a file permissions, azonnal visszaállt 444-re (644-ről)

A szerver memóriájában volt a bibi “elraktározódva”, a pucolás és újra indítás után lehetett csak letörölni az utolsó filet is.