Iets anders even. Op deze webserver viel mijn oog onlangs op een bestand met een rare naam. WordPress propageert “Code is poetry”, geweldig uitgangspunt trouwens, en een bestand met een naam als (ongeveer) ozritanqwjl.php in de root van je website is raar. Wat is dat? We nemen een kijkje.
Beetje verstopt, maar volop alarmbellen. Je kunt het zelf ook uitvogelen, maar laten we het eerst chatGPT vragen:
It is not advisable to run or execute code from unknown sources or code that you suspect to be malicious.
However, based on the code you provided, it appears to be encoded in base64 and then decoded using the base64_decode() function. It then uses the strrev() function to reverse the resulting string, followed by the gzinflate() function to decompress the string. Finally, it uses the str_rot13() function to perform a simple character rotation.
The eval() function is then used to execute the resulting code, which may potentially be malicious. Since the code has been encoded and compressed, it is difficult to determine what the code is actually doing without executing it.
Het kost een paar extra prompts maar dan komen we snel tot een stukje python code.
Nou ja, da’s close enough, en wat er dan uitkomt maakt ons nog niks wijzer, maar we waren al overtuigd van de slechte bedoelingen en vinden het wel ju. Maar hoe komt dat bestand daar??
Zoeken in de logfiles: wat gebeurt er met dit bestand? Het is 3 keer aangeroepen, heel gericht, 1 keer, paar dagen ertussen, maar gezien de HTTP-500 lijkt dat zonder succes, hoewel je met deze gasten nooit iets met zekerheid weet. Het IP-adres verschilt, eentje komt uit Keulen, maar is geregistreerd door Eltix Technologies Private Ltd. uit India, met als contactpersoon Suraj Kumar, wat toevallig ook een acteur daar is, maar met VPN is alles mogelijk. Weggooien dat bestand sowieso, we weten meer dan genoeg.
Vanmorgen dit mailbericht.
Protect Uploads. Had ik die geïnstalleerd? Denk het, maar wel een alarmbelletje: deze WordPress-plugin past bestanden aan, zoals de .htaccess, “om de veiligheid te verbeteren”. Een verdachte, gauw checken.
Inderdaad. De plugin is net bijgewerkt naar versie 0.4 maar meldt dat er een nieuwe versie 0.5.2 is. Ook raar? En: in de root staat weer een raar bestand, jvertazukxy.php (ongeveer, je weet niet wat er in deze code versleuteld zit), met precies dezelfde inhoud. Weg met dat ding, kan dat ergens gemeld worden? Mogelijk is de bonafide plugin-maker gehackt, heeft iemand die plugin tot malware omgebouwd en weer beschikbaar gemaakt. Weer een aanvalsvector: pluginbouwers.
Googlen op de bestandsnaam levert uiteraard niks op, maar met deze Protect Uploads clue kom je verder en ben ik niet de enige.
Nog even controleren of er nog meer opgeruimd is of moet worden. Het lijkt er op dat dit virusding wel voorkomt dat er logfiles worden gemaakt en zo zijn er nog wat verdachte zaakjes, zoals die sessies, die me vorige keer ook al opvielen, zoals deze sessie, vol met verdachte kreten, aangemaakt rond het moment van dat bestand.
Weggooien en hopen dat er niks is achtergebleven.