Eigene Homepage erstellen
Spam versendende Files finden

Spam versendende Files finden

Tja, letzte Woche wurde eine WordPress Installation auf meinem Webserver gehackt und zum versenden von Spam missbraucht, also machte ich mich auf die Suche nach dem PHP File, das die Spammails verschickte. Dazu habe ich mir die Headerinformationen der Spammails angesehen, dort ist angegeben welches PHP File die Mail verschickt hat.

Nachdem ich nun wusste, welches File die Spammails verschickte, habe ich, mit dem Befehl „Find“, nach allen Files gesucht, die an diesem Tag verändert wurden.
find -iname "*.php" -mtime 3

Dieser Befehl findet alle PHP Dateien, die vor 3 Tagen erstellt/geändert wurden.

Bevor ich nun diese Files löschte, fügte ich den Pfad zu diesen Dateien noch zu meinen Fail2Ban Script hinzu um alle IP-Adressen die zukünftig auf diese Files zugreifen möchten in der Firewall zu sperren. Wie das genau funktioniert, werde ich mal in einem eigenen Artikel beschreiben.

So, die Files die die Spam Mails verschickten waren nun gelöscht und konnten nichts mehr anrichten, allerdings mussten die Files ja irgendwie auf die Seite gekommen sein. Ich vermutete, dass noch weitere WordPress Files gehackt wurden. Die einfachste Methode Code in PHP Seiten einzuschleusen ist der Befehl „eval“. Nachdem WordPress die Verwendung von eval seit der Version 2.8, oder so, gestrichen hat, durchsuchte ich nochmal alle Files nach diesem Befehl. Dazu nutzte ich folgenden Befehl.

find -iname "*.php" -exec grep -l "eval{" {} \;

Damit werden alle Files aufgelistet, die den Befehl „eval“ verwenden. Leider konnte ich nicht einfach alle löschen, sondern musste eines nach dem anderen kontrollieren, da nur teilweise Files eingeschleust wurden sondern auch bestehende Files um diesen Aufruf erweitert wurden. Diese Erweiterung musste ich dann von Hand aus den Files entfernen und das File dann gesäubert wieder speichern, damit WordPress noch funktioniert.

Auch die Pfade auf diese Files habe ich bei Fail2Ban eingetragen und nach nur 2 Tagen wurden bereits über 180 IP Adressen gesperrt, weil sie versucht haben auf diese infizierten Files zuzugreifen.

Was jedoch immer noch offen ist, ist wie sie diese Files überhaupt einschleusen konnten, aber vielleicht weiß einer von euch wie das geschehen sein könnte.

Hinterlasse ein Antwort

Blogverzeichnis - Bloggerei.de Blogverzeichnis