Ecco la preview di ciò che inizialmente è nato come IDS per monitorare gli attacchi ai miei blog e man mano cresciuto fino a prendere le sembianze di un IPS.

WP WAF è un plugin per WordPress (leggero e per nulla invasivo) il cui scopo è quello di bloccare ed eventualmente notificare alla propria casella di posta i dettagli dell’attacco alla piattaforma.

Di default la notifica email degli attacchi non è abilitata. Per attivare questa funzione basta accedere al pannello di configurazione dal menu Impostazioni -> WP WAF impostare l’indirizzo email sul quale si desidera ricevere segnalazione e selezionare le opzioni di notifica.

L’opzione di notifica email degli attacchi via “User Agent” è sconsigliato attivarla per via delle richieste massive dei bot con user agent vuoto alle pagine del vostro blog. Le funzioni di notifica non influiscono sul meccanismo di protezione, gli attacchi vengono comunque bloccati a patto che il plugin sia attivo.

Non ho ancora caricato il plugin sul repository ufficiale wordpress, per il momento l’ho distribuito a una decina di amici blogger che ho scelto come beta tester. Se qualcuno è interessato a testarlo può contattarmi via email.

Aggiornamento: Feedback e riflessioni qui

#!/usr/bin/perl

use Compress::Zlib;

my $plainText = "this is a plain text";
my ($deflation, $out, $status, $inflation);

sub deflation
{
  my $x = deflateInit() or die "Error\n";
  ($deflation,$status) = $x->deflate($plainText);
  ($out, $status) = $x->flush();
  $deflation .= $out;
  return $deflation;
}

sub inflation
{
  my ($y, $status) = inflateInit() or die "Error\n";
  ($inflation, $status) = $y->inflate($deflation);
  return $inflation;
}

deflation
print "Deflated: ";
print "$deflation\n";

inflation
print "Inflated: ";
print "$inflation\n";

Di seguito l’output restituito dallo script:

Deflated: x�+��,V�D�����
Inflated: this is a plain text

Questa volta alla ricerca delle web shell tramite una sintassi grep

grep -RPn "(system|phpinfo|pcntl_exec|python_eval|base64_decode|gzip|mkdir|fopen|fclose|readfile|passthru)" /pathto/webdir/

o con l’ausilio di NeoPI.

Un occhio bene allenato è indispensabile per distinguere i falsi positivi dalle reali compromissioni.

Solitamente, quando si tratta di pochi alert, ispeziono velocemente le sorgenti e la tipologia ma non mi concentro troppo sull’analisi dell’attacco. Questa volta invece, incuriosito dall’insistenza della sorgente, mi sono soffermato un attimino per capire a cosa puntava e per quale scopo.

Una volta compromesso il mio server web uno script PHP si sarebbe connesso a un server irc (porta 9595) per restare in contatto con il botmaster dal quale avrebbe ricevuto ordini tramite comandi inviati su un apposito canale creato ad hoc.

Lo scopo non era il defacement ma far diventare il mio server uno zombie da pilotare a distanza per sferrare attacchi di tipo DDoS. Da notare le funzioni urlbomb, udpflood e tcpflood usate per aprire connessioni simultanee attraverso la ben documentata funzione fsockopen

La scelta di compromettere un server web piuttosto che un client può essere motivata da due fattori fondamentali

1. Capacità di Calcolo
2. Larghezza di Banda

Rispetto ai client, il numero di server web (compromessi) necessari per sferrare un attacco DDoS è nettamente inferiore. E questo i Russi lo hanno capito da tempo.

La nuova versione di ReCalc con la funzione di decodifica script offuscati (vedi immagine) è disponibile sul Chrome Web Store.

Per far proliferare un malware è necessario individuare un punto d’appoggio. Più sono i punti d’appoggio più semplice e rapida sarà l’operazione.

Tutto parte dalla ricerca di una vulnerabilità su un sito (preferibilmente legittimo) per inserire contenuti maligni come il seguente codice javascript opportunamente offuscato.

Il codice deoffuscato ci mostra la funzione iframer, un iframe che viene caricato quando l’utente visita la pagina, che a sua volta inserisce altro codice prelevandolo da due fonti differenti (qualora uno dei due server a cui fa riferimento fosse stato individuato e sospeso può sempre appoggiarsi sul secondo) per il downaload di un eseguibile (malware).

Sono tanti i siti compromessi da questo codice, per lo più nei paesi dell’EST.  Ma come mostrano i risultati di Google qualche traccia risiede anche in Italia.

Le funzioni incluse sono le seguenti:

- Character Encoding Calculator
– IP Obfuscation Calculator
– TimeStamp Calculator
– AES Encrypt/Decrypt

L’estensione è gratuita e installabile direttamente dal Chrome Web Store.

Se doveste ritrovarvi nella mia stessa situazione questa soluzione potrebbe essere un buon punto di partenza. Per memoria riporto di seguito le sintassi di grep utili a individuare porzioni di codice php potenzialmente vulnerabile.

Find user input/output for possible XSS:

grep -i -r "echo" *
grep -i -r "$_GET" *
grep -i -r "$_" * | grep "echo"
grep -i -r "$_GET" * | grep "echo"
grep -i -r "$_POST" * | grep "echo"
grep -i -r "$_REQUEST" * | grep "echo"

Find potential command execution:

grep -i -r "shell_exec(" *
grep -i -r "system(" *
grep -i -r "exec(" *
grep -i -r "popen(" *
grep -i -r "passthru(" *
grep -i -r "proc_open(" *
grep -i -r "pcntl_exec(" *

Find potential code execution:

grep -i -r "eval(" *
grep -i -r "assert(" *
grep -i -r "preg_replace" * | grep "/e"
grep -i -r "create_function(" *

Find potential SQL injection:

grep -i -r "$sql" *
grep -i -r "$sql" * | grep "$_"

Find potential information disclosure:

grep -i -r "phpinfo" *

Find potential development functionality:

grep -i -r "debug" *
grep -i -r "$_GET['debug']" *
grep -i -r "$_GET['test']" *

Find potential file inclusion:

grep -i -r "file_include" *
grep -i -r "include(" *
grep -i -r "require(" *
grep -i -r "require($file)" *
grep -i -r "include_once(" *
grep -i -r "require_once(" *
grep -i -r "require_once(" * | grep "$_"

Other:

grep -i -r "header(" * | grep "$_"