Hakovan mi je jedan WP sajt. Koji su koraci da nadjem upad?

[ anon70939 @ 27.07.2018. 16:29 ] @

Sajt je sveže postavljen live, recimo pre oko 15-20 dana.

Na serveru su zatvoreni svi portovi.
SSH dozvoljeno samo sa moje IP adrese, a 21 i 3306 i pasivni ftp portovi sa još dve adrese koje pripadaju kolegama.

Prvo što sam primetio jeste da ne mogu da se ulogujem i nad bazom videh da su obrisani useri i kreiran jedan meni nepoznat sa domaćim srpskim imenom i taj detalj me najviše brine. Možda haker prati i ovaj forum :)
Kada sam obrisao usera i insertovao moj user i ulogovao se, videh da su bili deaktivirani svi pluginovi. Sajt je na prvi pogled radio kako treba.

Od pluginova koji su išli uz kupljenu poznatu temu, imao sam i Wordfence, kao i IQ block country sa kojim sam blokirao pristup admin panelu i dozvolio samo sa dve IP adrese.

Pregledao sam /var/log/plesk/xferlog log i nisam video nikakvu FTP aktivnost otkad je sajt live.

Ne znam kako da pregledam mysql da vidim sa kojih IP adresa se neko autentifikovao. Ili je user dodat preko nekog malware... Voleo bih da otklonim sumnju sa mysql.

Promakao mi je izveštaj od pre 5 dana od wordfence da imam Critical fajlove, i to su bili .jpg fajlovi.
Ovo je prijavljeno od strane wordfence.

Te fajlove sam provukao i kroz virustotal ali nisu prijavljeni kao virusi, ali kad otvorim jpg u notepad stvarno ovaj deo koda stoji tamo.

Da li stvarno ovakav jpg fajl može da mi napravi ovakav cirkus? Sa ovim kodom smo ga dobili od klijenta

Kako bih još trebalo da proverim mogućnost upada?
Do danas sam mislio da sam prilično siguran :/.
Sajt je poznat, pa možda nekom bilo zanimljivo da ga hakuje.

Pre nekog vremena sam imao pen testing od strane jedne velike poznate nemačke firme, isto na nakom WP, nisu mi našli ništa veliko. Par nekih sitnica vezano za SSL, nisam sakrio u hederima koji web server je u pitanju i slično. A pri tom sam morao da ih propustim kroz sve portove.
Pa su mi dali dobru ocenu, i zato sam mislio da sam donekle siguran.

Pored svega ovoga, da pomenem da jedna od IP adresa koju sam pustio kroz firewall je od jednog od spoljnog saradnika, sa kojim imamo NDA ugovor ali nismo ništa radili već 2 meseca.
I on mi je prošao prvi kroz glavu, ali ne vidim motiv zašto bi to uradio. njegov FTP account nije korišćen.

[ maksvel @ 27.07.2018. 16:44 ] @

Mislim da ovaj jpg nema veze sa napadom, već da je false positive. A kod je rdf embedovan u jpg, mislim da to može biti sasvim regularno, kao metapodaci.

Šta je sa web-server logom? Ima li nešto interesantno vezano za access log i error log? (Pretpostavljam da koristiš apache)

Napad može biti preko WP, ali može biti i upadom u samu bazu ili preko drugog CMS-a. Ako imaš još koju bazu, proveri u kakvom je stanju. Imaš li još neki sajt na tom serveru? Napadi vrlo često idu preko plaginova, koji nisu zakrpljeni ili ažurirani.

Log mysql je /var/log/mysql.log ili nešto slično. Remote pristup bazi valjda mora da se eksplicitno omogući, ne znam kako je tu.

[ anon70939 @ 27.07.2018. 17:09 ] @

Na serveru ima par desetina sajtova. Svi su redovno ažurirani. Ostali sajtovi su OK, nema nikakvih problema, samo ovaj.
Na dnevnom nivou proveravam i ažuriram sve teme, pluginove i wp core. To radim lako jer koristim pleskovu ekstenziju WP toolkit.
server mi je takođe up to date kompletno.

Plesk funkcioniše tako da su svi "webspaces" odvojeni, sa posebnim userima. Svaka baza je odvojena i ima svoj user koji samo nad tom bazom ima privilegije.
Tako da ako mi je neki drugi sajt kompromitovan, ne verujem da bi ikako mogao da utiče na ovaj hakovani.

kombinacija je apache sa nginx kao proxy

Malopre sam pogledao logove i bilo je warninga vezano samo za IP od google bot.
Ali sad vidim nekoliko adresa sa lokacijama iz hrvatske, crne gore i iz srbije.

errori su da pokusavaju da ucitaju neki cache fajl koji ne postoji. No normalno je ponasanje, jer i ja kad kliknem na sajt isto sa moje IP adrese se vidi isti error.
Verovatno w3 total cache koji sam koristio mi pravi problem

Code:
10368#0: *115353 open() "/var/www/vhosts/.../httpdocs/wp-content/cache/minify/0d7d3.css" failed (2: No such file or directory)

a upozorenja

Code:
mod_fcgid: stderr: PHP Warning: Parameter 2 to qtranxf_excludeUntranslatedPosts() expected to be a reference, value given in /var/www/vhosts/.../httpdocs/wp-includes/class-wp-hook.php on line 286