Meu provedor informou que há um ataque de saída no meu servidor da web. Em uma inspeção mais aprofundada, vi isso no meu arquivo error.log do Apache:
--2012-02-04 04:40:59-- http://www.luxelivingforum.com/wp-content/themes/lifestyle/run
Resolving www.luxelivingforum.com... 184.168.113.199
Connecting to www.luxelivingforum.com|184.168.113.199|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 68338 (67K) [text/plain]
Saving to: './run'
0K .......... .......... .......... .......... .......... 74% 61.8K 0s
50K .......... ...... 100% 11.1M=0.8s
2012-02-04 04:41:01 (82.4 KB/s) - './run' saved [68338/68338]
Unquoted string "crazy" may clash with future reserved word at ./bot.pl line 174.
Unquoted string "crazy" may clash with future reserved word at ./bot.pl line 211.
Unquoted string "crazy" may clash with future reserved word at ./bot.pl line 244.
Unquoted string "crazy" may clash with future reserved word at ./bot.pl line 251.
O que a coisa acima poderia significar?
Seu servidor deve ter sido comprometido e agora está sendo comandado remotamente para iniciar ataques. Você deve recuperar seu último backup uncompromised e imediatamente patch de sua instalação do wordpress. Você deve monitorar os avisos de segurança para wordpress (e wordpress pluguins) diariamente.
Isso não parece com o tipo de coisa que deveria estar em um log de erros do Apache. Você (ou seu provedor de hospedagem) está enviando seus logs através do syslog?
De qualquer forma, você tem uma indicação clara de um comprometimento aqui. O arquivo em questão é um bot de algum tipo (eu ainda não tive tempo de analisá-lo) e provavelmente está rodando no seu sistema agora mesmo e atacando os sistemas de outras pessoas.
Duas coisas que você deve fazer de imediato, mesmo antes do conselho padrão de "apagar tudo, reinstalar a partir de backups" é encontrar o pid do bot usando ps -ef | grep bot.pl e depois matá-lo usando kill -9 <the pid you found> . Você também pode querer excluir o código bot que será chamado "bot.pl". Provavelmente você pode encontrá-lo com locate bot.pl .
O bot não parece particularmente inteligente ou sofisticado e parece não ter feito nada para esconder seus rastros. Depois de eliminá-lo e excluir o código bot, você provavelmente está limpo. Mas você nunca pode ter certeza de que você foi comprometido até que você faça o procedimento de limpeza e reinstalação.
A última coisa que você deve fazer é tentar descobrir como eles chegaram para que você possa fechar o buraco. Se você fizer o wipe-and-install, certifique-se de manter uma cópia de todos os seus logs para análise posterior. Os logs de acesso do Apache para o mesmo período de tempo devem dar uma dica sobre o que eles fizeram.
Tags security apache-2.2