Mensajes

Y tienes pdf2txt.py?

Tienes un wordpress ultra desactualizado no? las versiones de hace varios años atrás permitian la infección de shells a traves de una botnet que modificaba la carpeta wp-admin y el index.php.

Pues la versión que tenia era 5.2.2 y la subi a 5.5. Agregaba código malicioso en varios archivos, además de crear archivo con nombres randoms. El código en sí ejecutaba publicidad.

Como me sospechaba, siempre eliminaba las rutas y archivos "infectados" (includes a un archivo malicioso) y volvia a aparecer. El sitio usa WordPress a una versión anterior a la actual. Genere un codigo básico y lo agregue en el archivo /public_html/xxx/wp-blog-header.php y pude captar la siguiente petición:

Código (dos) [Seleccionar] Expandir

[Request   : 2020/03/19 11:34:40]
User-Agent : Mozilla/5.0 (Windows NT 6.1; WOW64; rv:54.0) Gecko/20100101 Firefox/54.0
Ip Address : 85.10.245.113
Method     : POST
URL        : xxx .com/?uhl=pzdem
Params     :
    sjcvfu = cDVjKSVjcG90NTZvejRtf2wxN3BvPGRqLXFhJCYoYzNjJmQ2c2pjdmZ1c2pjdmZ1c2pjdmZ1c2pjdmZ1c2pjdmZ1c2pjdmZ1MzQs

--

[Request   : 2020/03/19 15:11:50]
User-Agent : Mozilla/5.0 (iPhone; CPU iPhone OS 10_3_2 like Mac OS X) AppleWebKit/603.2.4 (KHTML, like Gecko) Version/10.0 Mobile/14F89 Safari/602.1
Ip Address : 35.187.121.58
Method     : POST
URL        : xxx .com/?fcfrm=dmhgv
Params     :
    bi = YTZiNiF/YWx1KjJzazdsYGgtJnNuI2B2PHJgOyI0cjBiOWAqYmliaWJpYmliaWJpYmliaWJpYmliaWJpYmliaWJpYmliaWJpIjct

Buscando patrones de malware ofuscado encontre esto:

https://ghostbin.co/paste/9kotok39
pass: n4

Aquí

Aquí

1- la pantalla no anda, aunque en realidad por más de que me duela admitirlo, creo que rompí algo, así que esto es lo que menos me preocupa porque ya está jajaja;
2- el pad dejo de andar, de hecho se calentaba muchísimo así que desconecte el Flex, lo cual antes causaba cortocircuito y los cooler no andaban;
3- una vez que desconecte el pad, empezaron a andar bien los cooler, pero luego dejaron de andar otra vez, o sea prenden 3 segundos y medio y luego se paran;
4- rarísimo, pero no detecta la placa wifi. Vi en uno de los cables auxiliar de este componente que tiene como cortada la goma que protege el cable en si, pero realmente me sorprendería que esto sea la causante de que no funcione.

2. No tengo idea, conectarlo nuevamente y recordar la correcta posición del flex.
3. Sospecho que sea la ram, así que: prueba limpiando la estatica. Por lo general he visto que lo hacen con borrador / goma de lapiz. Tambien ayudará para la 1.
4. Los cables tiene una posición en el chip, si veis tiene NEGRO (Main) y BLANCO (Aux)

Si no puedes controlar la seguridad de tu propio sitio debieras considerar cambiar de hosting, talves a un vps y crear tus propias reglas de seguridad.

No es eso, solo me contrataron pero no me dieron todos los permisos, solo puedo editar y subir archivos por ftp. Por eso quiero hacer algo simple mi propio log de peticiones.

Entiendo @MinusFour, el lio esta en que no tengo todos los permisos necesarios para instalarlo. Por eso queria si o si un script simple. Buscaré alguna solución.

@MinusFour, entiendo.
@WHK no estaba caido jeje no use la etiqueta URL correctamente  

En si, lo que paso es que hay un sitio con wordpress con buenas contraseñas, pluggins "seguros" (mejor aun, muy basicos para aplicarles exploits), y es la ultima versión. Lo que quiero es ver que peticiones envia el atacante para saber por donde esta ingresando ya que todo esta a la ultima versión.

Obviamente sin llamar la atención por WAF's ni nada de eso, para ver si existe un posible 0day de wordpress que anden usando.

Mi pregunta sigue siendo, analizar toda petición y guardarlo tipo log? Es decir, generar un script php que guarde información básica, por ejemplo:

-Generar este codigo es bastante sencillo lo que no sé, es como implementarlo para que en cada petición, sea cual sea, 200 403 404 etc... se llame el código-

Código [Seleccionar] Expandir

IP: 88.190.61.193
HOST: 88-190-61-193.rev.horrible-host.com
User Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.4 (KHTML, like Gecko) Chrome/22.0.1229.92 Safari/537.4
Method: POST
Protocol: HTTP/1.0
POST Vars: name=AdhedAtmord&email=east2013756%40mail.ru&contact_submit=Send

Aunque sólo sea necesario a que archivo esta llamando y las peticiones sean GET o POST.

Hace algunos días infectaron un servidor con un malware (ver https://blog.manchestergreyhats.co.uk/2018/11/07/php-malware-examination/), entonces llegue al blog de Jeff Starr (@perishable), en donde vi la siguiente entrada: https://perishablepress.com/protect-post-requests/.

Me llamo mucho la atención el poder ejecutar un script desde un .htaccess con la directiva ErrorDocument, así:

Código (php) [Seleccionar] Expandir

ErrorDocument <3-digit-code> <action>

Segun la entrada, ejecuta el script sí el retorno de la petición es 403 o 404

Código (php) [Seleccionar] Expandir

ErrorDocument 403 /error-handler.php
ErrorDocument 404 /error-handler.php

Aquí es donde entra mi duda, entiendo que los codigos de respuesta 403 (Forbidden) y 404 (Not Found), pero si existe algun malware oculto en un archivo que si exista y se encuentre digamos index.php, como podría ejecutar el script si la petición arroja un codigo 200 (OK)?

La entrada de Jeff solo guarda peticiones POST por medio de file_get_contents('php://input'), necesito esto tanto como para POST y para GET. Alguna idea?