Märker man alltid om en wp blogg har blivit infekterad av malware?
 

Märker man alltid om en wp installation har blivit infekterad med malware? Om man surfar in på huvudsidan. Använder sucuri sitecheck och testar men hur vanligt är detta? Reagerar hosten om något händer?

Det finns givetvis inga garantier för att man kan se sådant. Är det välintegrerat och har mer subtila syften så är det ju inte säkert att man någonsin märker det. Håll koll på saker som nya användare...

Är lite nyfiken, hur blir en site infekterad?

De mer vanliga sätten är b.la skadlig kod i form av javascript, iframes som inkluderar en malicious site m.m som utnyttjar sårbarheter i besökares plugins/programvaror/webbläsare. PDF och Flash är väl klassiker som brukar vara öppna för sårbarheter. Hemsidor blir ofta infekterade genom att man utnyttjar exploits i CMSet som tillåter angriparen att skriva HTML/JS-kod på hemsidan, eller att angriparen utnyttjar exempelvis uppladdningsfunktioner för att ladda upp shells.

Finns även mer sofistikerade tillvägagångssätt då exempelvis FTP-klienter utnyttjas för att ladda upp infekterad kod.

Lite mer information om tillvägagångssätt och hot inom PDF-sårbarheter finns i detta whitepaper från Symantec: http://www.symantec.com/content/en/u...df_malware.pdf (Passa er.. PDF-fil ;))

I ovanstående exempel så används b.la hemsidor för att sprida skadliga PDF filer.

Hur fungerar det med PDF-sårbarheter? Tar sidan över PDF-filer eller är det filen i sig som kan vara en intrångspunkt?

PDF-filer brukar tillåta javascriptfunktioner att inkluderas i viss utsträckning, som skickliga personer kan utnyttja för att injecta shellcode hos offret. Shellcoden kan innehålla instruktioner att starta vissa processer, bypassa behörigheter m.m för att förenkla nedladdning av trojaner. Det finns även fall då man gömt hela rootkits/trojaner/maskar direkt i PDF-filerna, detta är dock mer ovanligt då det kräver lite mer finess.

Sidan tar inte över filen på något sätt, oftast är hosten ovetandes om att en pdf-fil existerar öht på servern. Tricket är att få användaren att öppna den - därmed är det vanligast med att skicka ut PDF-filer via e-post som en bifogad fil. Men det är också inte helt ovanligt att angripare med direkt access till offrets server bara byter ut en befintlig PDF-fil som i ägarens ögon är helt legit mot en infekterad variant (fortfarande samma innehåll). Slugt som fan och svårt att upptäcka om det är en 0-day exploit som används..

Kan ju tillägga att det egentligen inte är PDF formatet i fråga som är sårbart utan snarare programvarorna som man öppnar det i som är risken (Adobe reader exempelvis).

Känner detta är jävligt off-topic nu kanske, men på en statlig myndighet som jag jobbade åt under en period så öppnade vi ej betrodda PDFer i sandbox miljöer (virtuella) för att undvika just sådant här.

Det finns en del plugins som jämför alla filer i din WP-installation med originalfilerna både i Wordpress core och i plugins från Wordpress plugin directory för att upptäcka om det är något virus som har gjort ändringar. Gör man egna ändringar kan man ignorera dessa.

Ett sådant plugin är WordFence. Det lägger även till en hel del andra säkerhetsfunktioner som t.ex. bruteforce-skydd.
Det finns dock fler plugins som fungerar på samma eller liknande sätt.

Är det inte de här man har en pakethanterare till som signerar paketen/innehållet? Java har Maven, Ruby rubygems, Python easy_install, PHP måste väll ha något liknande så ni slipper kopiera filer fram och tillbaka?

Har funderat lite på Wordfence pluginet. Någon som kör med det nu?

Jag körde med Wordfence tills nyligen då jag bytte till Better WP Security. Båda är bra. http://wordpress.org/support/plugin/better-wp-security