NT-Forensik v3.0.0 — WordPress & Rootserver Incident-Response
NT-Forensik ist ein read-only Bash-Skript für die forensische Analyse kompromittierter WordPress/Plesk-Server. Ein Lauf sichert alle Logs, untersucht das System in 13 Abschnitten und erzeugt Kunden-, BSI- und Technik-Bericht mit SHA256-versiegelten Belegen.
Aus der Praxis unserer WordPress-Betreuung & Absicherung.
Neu in 3.0.0
- 📖 Vollständige Dokumentation: Handbuch, Erkennungs-Referenz, Incident-Response-Playbook.
- 🎨 Branding: Hero-Banner, Logo, verlinkte WordPress-Leistung im README und im Kundenbericht.
Kernfunktionen
- Erkennt obfuskierte Cookie-Backdoors, an denen Signaturscanner scheitern: Variable-Variable-Superglobale (
${$a.$b.$c}→_COOKIE) + mixed-caseEvaL(base64_decode(...)), case-insensitive. - Zweistufige Webshell-Bewertung (Dropper vs. Framework-
eval) mit False-Positive-Filtern. - Prozess- & Persistenz-Forensik: Miner, gelöschte Binaries, Reverse-Shells, systemd-Units,
ld.so.preload, SUID, Immutable-Flags. - WordPress-Datenbank-Prüfung: fremde/neue Admins, manipulierte Optionen, aktive Plugins.
- Root-/Eskalations-Prüfung mit konsolidiertem Verdikt (Web-User-Ebene vs. Root-Übernahme).
- Fertige Berichte (Kunde, BSI, Technik) + Chain-of-Custody-Belege.
Verwendung
scp wp_plesk_forensik.sh root@SERVER:/root/
ssh root@SERVER "bash /root/wp_plesk_forensik.sh kundendomain.tld"Beispielberichte mit fiktiven Daten: examples/ · Lizenz MIT.
Nur auf eigenen oder ausdrücklich betreuten Systemen einsetzen.
