Odhalení nebezpečného .php ve Wordpressu

fotka · « **kdy:** 10. 10. 2014, 11:53:18 »

Dobrý den, občas zjistím, že na některém z wordpress blogů je do adresáře wp-content/uploads nahrán nějaký závadný .php skript, podle mě je to nezabězpečenou šablonou nebo pluginem. Wordpress aktualizuji, ale chci se zeptat jak mohu nastavit jakýsi monitor na linux serveru abych zjistil konkrétně, v kteérm php souboru je chyba, který umožnil nahrání phpčka do upload adresáře?

Reklama

P_V · « **Odpověď #1 kdy:** 10. 10. 2014, 12:17:33 »

Porovnej čas souboru a log webserveru.

shady · « **Odpověď #2 kdy:** 10. 10. 2014, 12:20:44 »

updatujete aj temy a pluginy wordpressu ?

pouzivate na nahravanie contentu ftp ? je tam dostatocne zlozite heslo ?

a prejst logy samozrejme

windoge · « **Odpověď #3 kdy:** 10. 10. 2014, 12:25:54 »

https://www.rfxn.com/projects/linux-malware-detect/

Dzavy · « **Odpověď #4 kdy:** 10. 10. 2014, 12:26:09 »

A co takhle zakazat spousteni php z adresare uploads?

Reklama

karel · « **Odpověď #5 kdy:** 10. 10. 2014, 14:18:26 »

Tak tak, neni jednodusi nastavit server pro dano slosku ci domenu aby vzdy poustel konkretni php soubor ostatni php soubory muzou vracet treba 404 ja to tak delam uz docela dlouho, u veci typu drupal, wordpress nebo nette freamworku mi to prijde proste nejednodusi a nejbezpecnejsi. Mozna ze kdyby se zas zacli delat veci jednoduse tak nebude tolik der.

fotka · « **Odpověď #6 kdy:** 10. 10. 2014, 14:23:56 »

Citace: karel 10. 10. 2014, 14:18:26

Tak tak, neni jednodusi nastavit server pro dano slosku ci domenu aby vzdy poustel konkretni php soubor ostatni php soubory muzou vracet treba 404

bohužel nechápu co tím myslíte(

Citace: P_V 10. 10. 2014, 12:17:33

Porovnej čas souboru a log webserveru.

jak to jde nejrychleji udělat? neexistuje na to nějaký skriptík?

zavadny soubor:
ls -l /cesta/script.php

Kód: [Vybrat]

-rw-r--r-- 1 uzivjmeno uzivjmeno 88800 Oct  8 13:34 /home/uzivjmeno/public_html/domena.cz/wp-content/uploads/2014/10/zavadny.php

apache access log:
tail -n1 /usr/local/apache/domlogs/mojedomena.cz

Kód: [Vybrat]

95.103.76.87 - - [10/Oct/2014:08:17:42 -0400] "GET /favicon.ico HTTP/1.1" 200 483 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36"

takže vidím, že formát času nesouhlasí

já jsem na toto zapomětlivý tak proto se ptám na nějaký skript, nebo metodu, kterou si založím a budu moc opakovat

Dzavy · « **Odpověď #7 kdy:** 10. 10. 2014, 14:47:17 »

Citace: fotka 10. 10. 2014, 14:23:56

takže vidím, že formát času nesouhlasí já jsem na toto zapomětlivý tak proto se ptám na nějaký skript, nebo metodu, kterou si založím a budu moc opakovat

Nene

Zkus tohle, pokud to na Tebe neni moc komplikovany: http://www.wpbeginner.com/wp-tutorials/how-to-disable-php-execution-in-certain-wordpress-directories/

fotka · « **Odpověď #8 kdy:** 10. 10. 2014, 14:51:21 »

Dzavy: děkuji, ano exekuci .php z wp-content a uploads již mám zakázanou právě tím způsobem, ptám se spíše obecně jak vysledovat ten děravý skript

P_V · « **Odpověď #9 kdy:** 10. 10. 2014, 14:59:14 »

fotka: Jestli je těch uploadovaných php řádově jednotky, tak bude nejrychlejší to najít ručně. Log je vzestupný, stačí tedy libovolný textový editor, ve kterém se dá nějakým použitelným způsobem rychle i pomalu scrollovat nahoru a dolů.

Odhalení nebezpečného .php ve Wordpressu

fotka

Odhalení nebezpečného .php ve Wordpressu

Reklama

P_V

Re:Jak monitorovat který .php umožní nahrání nebezpečného .php?

shady

Re:Jak monitorovat který .php umožní nahrání nebezpečného .php?

windoge

Re:Jak monitorovat který .php umožní nahrání nebezpečného .php?

Dzavy

Re:Jak monitorovat který .php umožní nahrání nebezpečného .php?

Reklama

karel

Re:Jak monitorovat který .php umožní nahrání nebezpečného .php?

fotka

Re:Jak monitorovat který .php umožní nahrání nebezpečného .php?

Dzavy

Re:Jak monitorovat který .php umožní nahrání nebezpečného .php?

fotka

Re:Jak monitorovat který .php umožní nahrání nebezpečného .php?

P_V

Re:Jak monitorovat který .php umožní nahrání nebezpečného .php?