Skip to content

NT-Forensik v2.9.0 — WordPress/Plesk Incident-Response

Choose a tag to compare

@netztaucher netztaucher released this 08 Jul 06:22

Erste öffentliche Veröffentlichung von NT-Forensik — einem read-only Bash-Skript für die forensische Analyse kompromittierter WordPress/Plesk-Server.

Ein Lauf sichert alle Logs, untersucht das System in 13 Abschnitten und erzeugt drei fertige Dokumente plus SHA256-versiegelte Belege (Chain-of-Custody).

Highlights

  • Erkennt obfuskierte Cookie-Backdoors, an denen Signaturscanner scheitern: Variable-Variable-Superglobale (${$a.$b.$c}_COOKIE) und mixed-case EvaL(base64_decode(...)), case-insensitive.
  • Zweistufige Webshell-Bewertung — kleine Obfuskations-Dropper (kritisch) vs. große Framework-Dateien mit legitimem eval (Review), getrennt per Dateigröße. Filtert Theme-Iconfonts, WP-Guards und Framework-eval als False Positives.
  • Prozess- & Persistenz-Forensik — gelöschte Binaries, Krypto-Miner, Reverse-Shells, systemd-Units, ld.so.preload, at-Jobs, SUID, Immutable-Flags.
  • WordPress-Datenbank-Prüfung (§11) — fremde/neue Admin-Konten, manipulierte Optionen (siteurl/auto_prepend/eval), aktive Plugins. Read-only, nutzt Plesk-Admin-Zugang.
  • Root-/Eskalations-Prüfung (§12) — Root-Login-IPs & Auth-Methode, Fremd-SSH-Keys, Privilege-Escalation, dpkg -V-Binärintegrität → konsolidiertes Root-Verdikt (auf Web-User-Ebene begrenzt vs. Root nicht ausgeschlossen).
  • Fertige Berichte — Kundenbericht (Ampel, Sofortmaßnahmen mit 24h/72h-Fristen, auto-gefüllter Angriffshergang), BSI-Meldung (BSIG/NIS2-Struktur, Kennzahlen, IOCs), technischer Vollbericht.
  • Changelog-Abgleich (§1.6) — gleicht Befunde gegen /root/changelog.md (dokumentierte Wartung) ab.

Enthalten

  • wp_plesk_forensik.sh — das Tool
  • examples/ — vollständige Beispielberichte mit fiktiven Daten (RFC-5737-IPs, example-Domains)
  • docs/runbook.md — Runbook für manuelle Ad-hoc-Analyse
  • CHANGELOG.md

Verwendung

scp wp_plesk_forensik.sh root@SERVER:/root/
ssh root@SERVER "bash /root/wp_plesk_forensik.sh kundendomain.tld"

Nur auf eigenen oder ausdrücklich betreuten Systemen einsetzen. Read-only bzgl. Webspace; schreibt nur nach /root/wartungsscripte/.

Voller Funktionsumfang: siehe README · Lizenz MIT.