Limpiar servidor al que han hackeado todos los wordpress

Wordpress hacking sed awk

Limpiar un servidor al que han añadido lineas de código en los ficheros PHP, es algo habitual en servidores con WordPress + Cpanel / Plesk. Aunque cada proceso de infección es un mundo, publico este proceso porque los tips que desarrolla el artículo, pueden servir para muchas variaciones de trabajos a realizar en el mantenimiento de nuestro servidor, sobre todo después de una infección o hacking.

Limpiando un servidor al que han hackeado todos los wordpress

Ayer tuve que limpiar un servidor al que a través de un exploit en un blog con WordPress, unido a una falla de seguridad en el modelo Apache/Cpanel, le habían infectado todos los blog WordPress del servidor.

Analizando la infección (hack)

En cada WordPress habían ubicado un fichero llamado options.php que había sido el encargado de infectar todos los ficheros .php de esa cuenta. La característica diferenciadora, era que cada cuenta se le añadía una variable distinta a la primera linea.

?php $drnrwsrl = '27tfs%6&>*17-SFEBFI,6>t;......?>

Localización de los ficheros infectadores

Localizamos los ficheros options.php de todos los usuarios, cuya segunda cadena de la primera linea sea una variable (comienza por $) guardándolo en un fichero, por ejemplo options.txt (Preferimos el trabajo sobre ficheros, que en un encadenado de programación, por seguridad, ya que como en el ejemplo, hablamos de mas de cien mil ficheros infectados)

find /home/*/public_html/ -name "options.php"  >>; options.txt

Localización de ficheros infectados de cada usuario

En un bucle for, sobre el fichero anterior, extraemos la variable del archivo infectador, que sabemos que es única por cada usuario, y guardamos el path del fichero, y la variable separados por comas.

for o in $(cat options.txt)
do
 
   first=$(awk 'NR==1 { print $2}' $o)
 
   if [[ ${first:0:1} == '$' ]]
   then
       echo $o,$first >> optionsvars.txt
   fi
done

Lectura y búsqueda de ficheros infectados

Con esa lista, tenemos la posibilidad de analizar cada usuario, que tiene una cadenas hack específica. Sabemos que todos los usuarios del sistema nuestro están en /home (si fuera de otra forma, porque existen /home2, /home3, /homen, tendríamos que modificar el código)

Como es una var por usuario, utilizaremos una variable de control para determinar cuando estamos trabajando con un usuario del que ya tenemos la variable.

prevUser=""
for file in $(cat optionsvars.txt)
do
    user=$(echo $file | awk -F"/" '{print $3}')
 
    if [ "$user" != "$prevUser" ]
    then
        hack=$(echo $file | awk -F"," '{print $2}')
 
        for clean in $(find /home/$user/public_html/ -name "*.php" -exec grep -il "$hack" {} \;)
        do
            echo "Limpiando $clean"
            sed -i.bak '1 s/^.*$/<!--?php /' $clean 
        done 
        prevUser=$user 
    fi 
done

Limpieza de ficheros infectados

Cuando comencé el artículo surgió un problema, que no había visto con anterioridad. (Fallo mío). El infectador añadía una cadena, y no todos los ficheros php, comienzan por

<?php 

Así que mi planteamiento llevo a error. Aquí tubo que entrar el sistema de backups, para recuperar algunos ficheros en los que la limpieza había resultado dejar inconsistente el fichero.

Trabajar muchas horas es muy del sur de Europa, muy latino, y eso pasa factura. Un administrador de sistema no debería trabajar bajo presión, más de 6 horas, o las consecuencias pueden ser terroríficas un buen día, por mucho que su pericia supla la falta de sueño, cansancio o concentración

?php $drnrwsrl = '27tfs%6>*17-SFEBFI,6>... (más código)... ?-->;

De esta forma la cuestión era borrar todo lo que existiera entre dos limitadores, incluidos ellos mismos. Bueno un poco de ayuda no esta mal, y puse un artículo Delete the characters of a line between two limiters including themselves y con ello cree el último trozo de código.

prevUser=""
for file in $(cat optionsvars.txt)
do
    user=$(echo $file | awk -F"/" '{print $3}')
 
    if [ "$user" != "$prevUser" ]
    then
        hack=$(echo $file | awk -F"," '{print $2}')
 
        for clean in $(find /home/$user/public_html/ -name "*.php" -exec grep -il "$hack" {} \;)
        do
            echo "Limpiando $clean"
            sed -i.bak -E "s/(<?php ${hack//$/\\$}.*\(?>)(<\?php)/\2/" $clean 
        done
 
        prevUser=$user
    fi
done

Imagen Designed by Freepik y modificada por Abdelkarim Mateos

Comparte este artículo

Artículo Antiguo
Este artículo tiene más de 2 años. Es muy probable que su contenido este anticuado, aunque pueda ser de utilidad, es conveniente que revises otras informaciones al respecto. Si lo encuentras útil o crees que puede ser actualizado, deja tu comentario con la actualización para poder editarlo y que pueda ser útil a los demás.

Comparte este articulo en

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *