Skip to content

NT-Forensik v3.0.0 — WordPress & Rootserver Incident-Response

Choose a tag to compare

@netztaucher netztaucher released this 08 Jul 06:36

NT Forensik — WordPress & Rootserver

NT-Forensik ist ein read-only Bash-Skript für die forensische Analyse kompromittierter WordPress/Plesk-Server. Ein Lauf sichert alle Logs, untersucht das System in 13 Abschnitten und erzeugt Kunden-, BSI- und Technik-Bericht mit SHA256-versiegelten Belegen.

Aus der Praxis unserer WordPress-Betreuung & Absicherung.

Neu in 3.0.0

Kernfunktionen

  • Erkennt obfuskierte Cookie-Backdoors, an denen Signaturscanner scheitern: Variable-Variable-Superglobale (${$a.$b.$c}_COOKIE) + mixed-case EvaL(base64_decode(...)), case-insensitive.
  • Zweistufige Webshell-Bewertung (Dropper vs. Framework-eval) mit False-Positive-Filtern.
  • Prozess- & Persistenz-Forensik: Miner, gelöschte Binaries, Reverse-Shells, systemd-Units, ld.so.preload, SUID, Immutable-Flags.
  • WordPress-Datenbank-Prüfung: fremde/neue Admins, manipulierte Optionen, aktive Plugins.
  • Root-/Eskalations-Prüfung mit konsolidiertem Verdikt (Web-User-Ebene vs. Root-Übernahme).
  • Fertige Berichte (Kunde, BSI, Technik) + Chain-of-Custody-Belege.

Verwendung

scp wp_plesk_forensik.sh root@SERVER:/root/
ssh root@SERVER "bash /root/wp_plesk_forensik.sh kundendomain.tld"

Beispielberichte mit fiktiven Daten: examples/ · Lizenz MIT.

Nur auf eigenen oder ausdrücklich betreuten Systemen einsetzen.