Se un malware ha compromesso un sito wordpress può inviare spam logandosi con utente ftp del dominio interessato.

Oltre che dalla coda di invio si può notare l’azione del malware analizzando i log di accesso httpd (p.e. /var/log/httpd/access_log) e trovare stringhe del tipo:

92.220.163.182 – – [23/Jan/2019:13:50:18 +0100] “GET /pykkuzj/stjgsz3.php?cyubiyfvi=logoless-pro-website’ HTTP/1.0” 404 42562 “-” “Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0”

1. Modificare password dell’utente ftp;
2. Pulire l’installazione WP e metterla in sicurezza con tutti i mezzi necessari.
3. Cercare a partire da / tutti i files che hanno come proprietario l’utente ftp incriminato con “find -user nomeutente “
4. Esaminare tutti i files strani. Solitamente il malware crea un file in /var/tmp con proprietario l’utente ftp in oggetto e nome complesso. Eliminarlo.