Skadlig kod på webserver

Isolerat utan nätverk bör filerna ligga.
Men det kommer ju vara rätt komplicerat att upptäcka vilka filer som kod kan injectats i.

Vanligtvis börjar man åt andra hållet.
Deploya nya fina installationer av wordpress och lyft över koden från kod-repot för den hackade företagssidan.
Så man får en ny miljö med kundens grejer i uppdaterat format och aldrig rört den hackade miljön.

Sedan om det finns då saker som enbart finns på den infekterade webbservern bör man fil för fil granska vad som kan ha skett och se om det finns en risk att den skadliga koden kan sprida sig. Kod från den hackade sidan får du nog se till att läsa rad för rad. Även annat som kan innehålla skadlig kod som ska köras, tex bildfiler etc. får man vara väldigt försiktig med.

Se till att utgående trafik från servern begränsas eller blockeras. Då kan iaf koden inte ladda hem ny kod.
Kör gärna selinux med korrekt uppsatta policies för webbserverns context också så eventuell skadlig kod får det svårare att påverka annat på maskinen om det är något som skulle missas.

Beroende på vad det är för skadlig kod så skulle jag absolut inte köra igång koden på ny webbserver. Ta ner hemsidan så den inte smittar fler (om det är skadligt och inte bara reklam osv). Återställ från backup om det finns, finns det inte så bör ni se över rutinerna.

Finns inte backup kolla genom alla filer som är kopplade till hemsidan och dess databas och ta bort kod som inte ska finnas där.

Är det en enbart en site på webbservern som blivit hackad? Jag har flera ggr fått rensa bort kod som länkar till andra sidor, kan lägga sig i temafiler osv. Du kan ju testa att köra en koll här: https://sitecheck.sucuri.net/

Annars är väl en isolerad maskin det bästa. Wordpress är ju byggt i php så lösa filer kan inte göra någon skada så länge inget exekveras i php, om det nu inte finns annat skräp uppladdat dvs.

Skapa en virtuell server och kör allt på den, utan nån typ av koppling till internet etc
Se till att få filerna som en zip fil, så de inte köras omedvetet, och ta bort de från all mellanlagring

Först utför du så kallat Corrective Action;

Ta ner hemsidan. Undersöka vilka sidor som är smittade. Återställ dessa från backup. Säkerställ att inget skadligt finns kvar på webbservern.

Gå sedan till Cause Analysis, alltså varför hände det som hände?
Leta efter säkerhetshål, använd en vulnerability scanner. Undersök om det kan ha gått till på annat sätt, t ex att webservern smittats av annan server på samma nätverk eller liknande.

Sedan går ni över till Preventive Action;

Eliminera eller minska risken att bli utsatta igen. Ibland körs gamla grejer mot webben och dessa kan kosta massor både i tid och pengar att ersätta. Men då får man jobba extra hårt med säkerheten för att säkerställa att applikationerna kan göras utan att råka ut för att sårbarheter exponeras.

Sedan går ni över till Continous Assessment, helt enkelt håll applikationen under uppsikt och logga allt som händer kring den samt säkerställ att dessa loggar är pålitliga (att webbappen/servern inte kan skriva över eller ta bort).

Gör regelbunden pentestning, helst extern, för att lyfta fram eventuella säkerhetshot till ytan som ni på företaget har missat. Kör regelbundna scanningar av webbservern medelst olika verktyg.

Lycka till!