dimi993

Καλημέρα!

Φαίνεται το ματιάσαμε χθες το site και ξαναέπεσε. Παρόμοιο σκηνικό, απλά εξαφανίστηκαν αρχεία του theme αλλά διαφορετικά από την προηγούμενη φορά.

Τώρα στα error logs, είδαμε τα παρακάτω:

• 2023-09-13 17:09:24.449414 [NOTICE] [2651111] [T4] [185.220.101.10:15646:HTTP2-1#APVH_sitedomain.gr:443:MODSEC] mod_security rule [id “77350212”] at [/etc/httpd/conf/modsecurity.d/rules/custom/007_i360_4_wordpress.conf:2721] triggered!
• [Wed Sep 13 17:09:24.447126 2023] [error] [client 185.220.101.10] ModSecurity: Access denied with code 403, [Rule: ‘REQUEST_FILENAME’ ‘\/[.#]?wp-config[.-][\w._-]*(?:[#~]|(?:inc|txt|tar|xml|zip|bak|old|orig(?:inal)?|save|\d|sw(?:p|o)))$’] [id “77350212”] [msg “IM360 WAF: Information Disclosure Attempt in WordPress||MV:/wp-config.inc||T:LITESPEED||REQUEST_URI:/wp-config.inc||”] [severity “CRITICAL”] [tag “wp_core”] [hostname “sitedomain.gr”] [uri “/wp-config.inc”]
• 2023-09-13 17:09:24.449440 [NOTICE] [2651111] [T4] [185.220.101.10:15646:HTTP2-1#APVH_sitedomain.gr:443] Content len: 0, Request line: ‘GET /wp-config.inc HTTP/1.1’
• 2023-09-13 17:09:24.449445 [INFO] [2651111] [T4] [185.220.101.10:15646:HTTP2-1#APVH_sitedomain.gr:443] Cookie len: 139, mailchimp_landing_site=https%3A%2F%2Fsitedomain.gr%2Fblog%2Fwp-config; pbid=8db2b8ce1cfe4710035e9cf74386e1024f6cbc408729d133a978dfc7616ec1d8
• 2023-09-13 17:09:24.449448 [NOTICE] [2651111] [T4] [185.220.101.10:15646:HTTP2-1#APVH_sitedomain.gr:443] Redirect: #1, URL: /index.php

Τα παραπάνω επαναλαμβάνονται με την ίδια σειρά περίπου κάθε 4 δευτερόλεπτα και κάθε φορά χτυπάνε κάποια παραλλαγή του wp-config.

Αφού σταμάτησαν τα παραπάνω, χτύπησαν αυτά:

• Abort request processing by PID:620613, kill: 1, begin time: 1, sent time: 1, req processed: 0
• Abort request processing by PID:620756, kill: 1, begin time: 1, sent time: 1, req processed: 1
• Abort request processing by PID:620843, kill: 1, begin time: 1, sent time: 1, req processed: 0
• Abort request processing by PID:621281, kill: 1, begin time: 0, sent time: 0, req processed: 0

Ε και μετά βγήκε το γνωστό, αγαπημένο μας σφάλμα ότι δεν μπορεί να βρει το αρχείο kirki-fallback.php στο functions.php (και λογικό βέβαια αφού κάπου σε εκείνο το σημείο διαγράφηκαν αρχεία μέσα από το theme).

Το site έχει τα plugins Mailchimp for WooCommerce και MC4WP: Mailchimp for WordPress για την σύνδεση του Mailchimp. Και τα δύο είναι ενεργά αλλά μόνο το δεύτερο είναι συνδεδεμένο με λογαριασμό. Τώρα περιμένουμε απάντηση και από τους developers των δύο plugins, μήπως κάτι παίζει με τον κώδικά τους ή κάποια ρύθμιση.

Μετά από αρκετό ψάξιμο, ανακαλύψατε στο log του Litespeed τα εξής περίεργα αποτελέσματα:

1. Αρχικά, χτυπάνε τα mod security rules, ωστόσο τα plugins/themes αυτά δεν υπάρχουν στην εγκατάστασή μας

[1157760] [T0] [ModSecurity] failed to parse a modsec variable. while parsing: IM360 WAF: Possible Authenticated Privilege Escalation and Post deletion in Jupiter Theme <= 6.10.1 and JupiterX Core Plugin <= 2.0.7 for WordPress (CVE-2022-1654)||T:LITESPEED||MV:%{ARGS}||

[1157760] [T0] [ModSecurity] failed to parse a modsec variable. while parsing: IM360 WAF: WordPress WP Private Content Plus plugin – unauthenticated options change (CVE-2019-15816)||T:LITESPEED||REMOTE_ADDR=%{REMOTE_ADDR}||page=%{ARGS.page}||class method=save_%{ARGS.wppcp_tab}

[1157760] [T0] [ModSecurity] failed to parse a modsec variable. while parsing: IM360 WAF: WordPress Merge + Minify + Refresh < 1.10.7 Authenticated Arbitrary File Delete||T:LITESPEED||F:%{ARGS.purge}||MVN:%{MATCHED_VAR_NAME}||MV:%{MATCHED_VAR}||

Επίσης, είδαμε ότι ο server έκανε restart μόνος του κάποιες φορές. Στην αρχή το log γράφει Server Restart Request via Signal, στη συνέχεια Forked [1157694] for graceful restart και μετά Apache configuration file has changed, restart gracefully to apply the change.