Mahlzeit,
Wenn der Rechner erreichbar war, scheinen 12 Stunden genug Zeit um beim routinemäßigen Dauerscan nach Schwachstellen gefunden zu werden - oder verstehe ich mal wieder irgendetwas nicht? 😀
Scheint so. war die IP halt in der Zeit in der gescannten Range. Mein Arbeitsrechn er läuft ja auch nicht 24 Stunden am Tag, nur wenn ich dran arbeite also ca. zwischen 8 und 16 Stunden pro Tag
War das WP denn aktuell mit allen Patches? Kam der Angreifer über WP rein oder eines der Plugins?
Alles aktuell und durch Bedrock (eigentlich) robuster. Wie gesagt, kam der Angriff über die wp-cron.php. Darüber wurde ein Script hoch geladen und ausgeführt. Dieses Script hat zwei kompilierte PHP Dateien nach /tmp geladen und gestartet. Zusätzlich wurde ein Crontab eingerichtet der das Prozedere wiederholt, falls der Task abgeschossen wird. Insgesamt recht durchdacht und faszinierend effektiv.
Ich weiss schon wieso auf "meinen" Worpress-Installationen, die ich für Kunden warte, wp-admin und wp-cron nicht erreichbar sind 😉
42