Quelques détails en plus:
Le processus qui faisait tourner un programme nommer “proc” était exécuté avec PERL, donc à priori “proc” était écrit en PERL.
Il tournait effectivement uniquement avec l’utilisateur wordpress, ce qui laisse supposer qu’il n’a pas été possible de faire une élévation de privilège. Ceci dit on ne peut pas en être certains à 100%.
Couper les port mail n’est pas évident en l’occurence car le serveur en question héberge des mails. Là on s’aperçoit que la combinaison serveur mail / serveur web n’est pas toujours évidente. Ceci dit c’est ce qui a permit de déterminer qu’il y avait compromission.
On a pas trouvé de trace dans les logs des fameux mails envoyés, on suppose donc que “proc” envoyait lui même les mails via le port 25.
Je pense qu’ajouter une régle “–match owner” dans iptables pour éviter que l’utilisateur wordpress puisse ouvrir un port vers l’exterieur serait une bonne idée sur le plan défensif (ça pourrait être rajouté à l’app).
Il y aurait sans doute des choses à faire avec selinux (mais j’en ai déjà mal au crane). Chrooter spécifiquement wordpress serait aussi une bonne idée.
On devrait sans doute ajouter un avertissement sur l’app wordpress, c’est quand même un vecteur d’infection important.