HARDCABB: tak ono nevim kde a kdy, ale pamatuju na informaci, ze jeden z nejderavejsich pluginu byval revolution slider... takze visjak, to je skoro vsude a malokdo si kupuje licenci, aby mel updaty. ale muze to byt cokoliv.

WOJTISHEK: prochazel jsem to uz predtim, neni tam nic relevantniho k zadnymu z mych webu

JUNIOR: ne, vsechno absolutne nesouvisejici weby, da se rict ze i na jinych kontinentech

k mymu prekvapeni jsem nenasel zadny vhodny forum nebo thread tykajici se WP security obecne, tak jsem aspon vlez do nejaky Wordpress Security skupiny na FB (lol) a zeptal se jestli i nekdo jinej pozoruje narust utoku, at uz uspesnych nebo neuspesnych - par lidi se ozvalo ze to vidi stejne jako ja, ale nikdo samozrejme nema zadny specifika

HARDCABB: A jsou ty napadené weby na stejném hostinu?

Ten borec co mi to spravoval a zivi se tim mi prave napsal:

And yes, there was a spike in malware recently, I've noticed also, by the number of fixes that I have done lately.

A nektery firmy co se tim zivi mely dokonce na webu napsany ze neprijmaj novy zakazky.

Podle me to fakt hodne smrdi a bude bud nejaka vrazda v jadru nebo nejakym top50 pluginu

Nic si z toho nedělej, neštěstí nikdy nechodí samo.

Jádro většinou bejvá v pohodě, ale s pluginy bývají průsery. Jinak na mých webech je zatím klid, nebo je to dokonale schované :)

tyvole ja uz nevim, ted jsem pro zmenu pri praci nasel na uplne jinym webu a jinym hostingu uzivatele s mailem email@example.com a nickem "manda" co vytvari posty plny spamu? opet vsechno aktualizovany.

bud jsem ten nejsmolnejsi WP dev na svete, nebo je ve WP nejaka kurevska dira o ktery se jeste nemluvi, to prece uz neni mozny

HARDCABB: tak to je veliká paráda. Že by někdo takhle sjel servery zrovna Ignumu se mi moc nechce věřit. Jako je tam eval, takže s tím mohli zkoušet kde co, ale hádám, že by to mělo být maximálně v rámci uživatele. Fakt je, že takovéhle realtime obnovování si jenom s php neumím představit.

co se tyce cisteni, tak mam dobrou zkusenost s timhle, ale neco, co to skenuje pravidelne je zaklad urcite..
[ MRTVY_KENNY @ wordpress ]

todle je teda web na ignum a predpokladam ze je nekdo sundal komplet, takze to s WP nema moc spojitost

na jinym webu u klienta jsem nicmene uplne nahodou pri praci v backendu videl v seznamu pluginu deaktivovanej plugin co tam nemel co delat a byl to jen decoy, spinavy soubory co se tvarily jako plugin. plus byl v /wp-content/uploads/2019/03/ nejakej nesmysl.php, o kterym taky netusim jak se tam dostal. oboji jsem smazal a zatim klid, ale moje paranoia teda roste vic a vic.

MRTVY_KENNY: nefungovala administrace, byla schvalne zablokovana pres htaccess

sledujte tu vrazdu, na ftp jsem smazal VSECHNO a zavirovanej index.php se stejne neustale vraci - vypada to ze chyba neni ve WP ale padl celej server: https://screencast-o-matic.com/watch/cqeuYf0P9Q

HARDCABB: a jak jsi na to prisel? jinak 150e asi neni uplne spatne, nekdy to je dost opruz

jinak zvysene docela je, pravda.. (graf z wordfence)

Rozloupal jsem ten kód z index.php. Přikládám v příloze.

Nemám čas se v tom moc hrabat, takže to berte s rezervou, ale můj odhad na první dobrou je, že to má crawlerům cpát jiné dokazy (takže liknbuilding :) ), nebo se útočník bude tvářit jako crawler, aby nebyl nápadný v logu. Jinak je tam ještě seznam IP adres, které by stálo za to proklepnout. Buď od tud chodí útočník, nebo jsou to crawlery.

Přenechávám k dalšímu pitvání :)

• unobfus.txt

Jinak co do toho koukám, tak to tam jede eval a pokud vím, WP eval nepotřebuje (u pluginů člověk neví, ale jádro prostě nepotřebuje). Tj. pokud si zakážeš eval, mělo by to být v pohodě.

To samozřejmě neřeší, jak se tam ta věc dostala. Kandidátem jsou pluginy, co nějak zapisují do souborů. Takže cache (náhodou, nemáš tam W3 Total Cache? ), cokoliv co si řeší updaty jinak než standardně, generátory feedů a podobně. No a nebo jestli se tam třeba někdo nepřipojuje na FTP bez šifrování, ale to už je velkej kyberpunk :)