Fórum Root.cz

Hlavní témata => Server => Téma založeno: fotka 10. 10. 2014, 11:53:18

Název: Odhalení nebezpečného .php ve Wordpressu
Přispěvatel: fotka 10. 10. 2014, 11:53:18

Dobrý den, občas zjistím, že na některém z wordpress blogů je do adresáře wp-content/uploads nahrán nějaký závadný .php skript, podle mě je to nezabězpečenou šablonou nebo pluginem. Wordpress aktualizuji, ale chci se zeptat jak mohu nastavit jakýsi monitor na linux serveru abych zjistil konkrétně, v kteérm php souboru je chyba, který umožnil nahrání phpčka do upload adresáře?

Název: Re:Jak monitorovat který .php umožní nahrání nebezpečného .php?
Přispěvatel: P_V 10. 10. 2014, 12:17:33

Porovnej čas souboru a log webserveru.

Název: Re:Jak monitorovat který .php umožní nahrání nebezpečného .php?
Přispěvatel: shady 10. 10. 2014, 12:20:44

updatujete aj temy a pluginy wordpressu ?

pouzivate na nahravanie contentu ftp ? je tam dostatocne zlozite heslo ?

a prejst logy samozrejme

Název: Re:Jak monitorovat který .php umožní nahrání nebezpečného .php?
Přispěvatel: windoge 10. 10. 2014, 12:25:54

https://www.rfxn.com/projects/linux-malware-detect/

Název: Re:Jak monitorovat který .php umožní nahrání nebezpečného .php?
Přispěvatel: Dzavy 10. 10. 2014, 12:26:09

A co takhle zakazat spousteni php z adresare uploads?

Název: Re:Jak monitorovat který .php umožní nahrání nebezpečného .php?
Přispěvatel: karel 10. 10. 2014, 14:18:26

Tak tak, neni jednodusi nastavit server pro dano slosku ci domenu aby vzdy poustel konkretni php soubor ostatni php soubory muzou vracet treba 404 ja to tak delam uz docela dlouho, u veci typu drupal, wordpress nebo nette freamworku mi to prijde proste nejednodusi a nejbezpecnejsi. Mozna ze kdyby se zas zacli delat veci jednoduse tak nebude tolik der.

Název: Re:Jak monitorovat který .php umožní nahrání nebezpečného .php?
Přispěvatel: fotka 10. 10. 2014, 14:23:56

Citace: karel  10. 10. 2014, 14:18:26

Tak tak, neni jednodusi nastavit server pro dano slosku ci domenu aby vzdy poustel konkretni php soubor ostatni php soubory muzou vracet treba 404

bohužel nechápu co tím myslíte(

Citace: P_V  10. 10. 2014, 12:17:33

Porovnej čas souboru a log webserveru.

jak to jde nejrychleji udělat? neexistuje na to nějaký skriptík?

zavadny soubor:
ls -l /cesta/script.php

Kód: [Vybrat]

-rw-r--r-- 1 uzivjmeno uzivjmeno 88800 Oct  8 13:34 /home/uzivjmeno/public_html/domena.cz/wp-content/uploads/2014/10/zavadny.php
apache access log:
tail -n1 /usr/local/apache/domlogs/mojedomena.cz

Kód: [Vybrat]

95.103.76.87 - - [10/Oct/2014:08:17:42 -0400] "GET /favicon.ico HTTP/1.1" 200 483 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"
takže vidím, že formát času nesouhlasí :( já jsem na toto zapomětlivý tak proto se ptám na nějaký skript, nebo metodu, kterou si založím a budu moc opakovat

Název: Re:Jak monitorovat který .php umožní nahrání nebezpečného .php?
Přispěvatel: Dzavy 10. 10. 2014, 14:47:17

Citace: fotka  10. 10. 2014, 14:23:56

takže vidím, že formát času nesouhlasí :( já jsem na toto zapomětlivý tak proto se ptám na nějaký skript, nebo metodu, kterou si založím a budu moc opakovat

Nene :'(

Zkus tohle, pokud to na Tebe neni moc komplikovany: http://www.wpbeginner.com/wp-tutorials/how-to-disable-php-execution-in-certain-wordpress-directories/

Název: Re:Jak monitorovat který .php umožní nahrání nebezpečného .php?
Přispěvatel: fotka 10. 10. 2014, 14:51:21

Dzavy: děkuji, ano exekuci .php z wp-content a uploads již mám zakázanou právě tím způsobem, ptám se spíše obecně jak vysledovat ten děravý skript

Název: Re:Jak monitorovat který .php umožní nahrání nebezpečného .php?
Přispěvatel: P_V 10. 10. 2014, 14:59:14

fotka: Jestli je těch uploadovaných php řádově jednotky, tak bude nejrychlejší to najít ručně. Log je vzestupný, stačí tedy libovolný textový editor, ve kterém se dá nějakým použitelným způsobem rychle i pomalu scrollovat nahoru a dolů.