✏️ Editing: wordpress_incident.cpython-311.pyc Read Only

�

���LVgA#����������������������t����d�Z�ddlZddlZddlZddlmZmZ�ddlmZ�ddl	m
Z
mZmZm
Z
�ddlmZmZ�ddlmZ�ddlmZmZ�dd	lmZ�dd
lmZ��ej��������e������������Z�e��������������Z�G�d��de������������Zd
e de de fd�Z!efd
e de de fd�Z"ed����������������Z#de$dz��de$dz��fd�Z%d
e de defd�Z&d
e de defd�Z'dede fd�Z(	�	�	�	�	�	�	�	�	�	�	�	�d0de)de)de)dz��de$dz��de$dz��d e$dz��d!e$dz��d"e$dz��d#e)dz��d$e)dz��d%e*dz��d&e+fd'�Z,d(e*e ���������de*e ���������fd)�Z-d*e)fd+�Z.d
e de$fd,�Z/d-e$dz��de)fd.�Z0de$dz��fd/�Z1dS�)1a0��Helper functions for WordPress CVE protection incidents.

WordPress incidents are stored in a dedicated wordpress_incident table with
plugin-specific data stored in the extra_info JSON field.
This module provides helper functions to work with WordPress incidents.

Available for both AV and IM360 modes.
�����N)�	ExitStack�contextmanager)�	timedelta)�	CharField�
FloatField�IntegerField�	TextField)�	JSONField�fn)�geo)�Model�instance)�apply_order_by)�OrderByc��������������������R����e�Zd�ZdZ�edd�������������Z�ed�������������Z�ed�������������Z�e	d�������������Z
�ed�������������Z�ed�������������Z�ed�������������Z
�ed�������������Z�ed�������������Z�edd�������������Z�edd�������������Z�ed�������������Z�G�d	��d
������������ZdS�)�WordpressIncidentz�
    WordPress incident model for CVE protection.
    Uses dedicated wordpress_incident table created in migration 191.

Unique constraint on (abuser, name, plugin, rule, severity, domain)
    allows deduplication similar to the aggregate plugin.
    T)�primary_key�null)r����
country_id)r����column_nameN)r����defaultc��������������������$�����e�Zd�Zej��������ZdZdZdS�)�WordpressIncident.Meta�wordpress_incident)))�abuser�name�plugin�rule�severity�domainTN)�__name__�
__module__�__qualname__r����db�database�db_table�indexes��������]/opt/imunify360/venv/lib/python3.11/site-packages/defence360agent/model/wordpress_incident.py�Metar���8���s!���������������;��'��
���r)���r+���)r!���r"���r#����__doc__r����idr���r���r���r����	timestamp�retriesr���r���r	����descriptionr����countryr ���r
����
extra_infor+���r(���r)���r*���r���r���"���s&�����������������
��$�T�	2�	2�	2�B�
�Y�D�
!�
!�
!�F��9�$����D��
��%�%�%�I��l��%�%�%�G��|��&�&�&�H��9�$����D��)��&�&�&�K�
�Y�D�
!�
!�
!�F��i�T�|�<�<�<�G�
�Y�D�$�
/�
/�
/�F����%�%�%�J�
��
��
��
��
��
��
��
��
��
r)���r����
incident_data�	site_info�returnc����������������������t����������|����������������������d������������������������}t����������|����������������������d������������������������}t����������|����������������������d������������������������}i�d|����������������������d�������������d|����������������������d�������������d|����������������������d�������������d|����������������������d�������������d|����������������������d�������������d	|����������������������d	�������������d
|���������������������d
�������������d|���������������������d�������������d|���������������������d�������������d
|����������������������d�������������d|����������������������d�������������d|����������������������d�������������d|����������������������d�������������d|����������������������d�������������d|����������������������d�������������d|����������������������d�������������d|����������������������d�������������|����������������������d������������||||����������������������d������������d��S�) aI��
    Build extra_info dict from incident data and site information.

Args:
        incident_data: Dict with incident fields from PHP incident file
        site_info: Dict with site information (domain, site_path, username, user_id)

Returns:
        Dict with all WordPress-specific fields for extra_info JSON column
    �FILES�	GET_NAMES�
POST_NAMES�cve�mode�target�slug�version�user_logged_in�username�user_id�	site_path�request_method�REQUEST_METHOD�script_filename�SCRIPT_FILENAME�php_self�PHP_SELF�	path_info�	PATH_INFO�request_uri�REQUEST_URI�query_string�QUERY_STRING�http_x_forwarded_for�HTTP_X_FORWARDED_FOR�http_user_agent�HTTP_USER_AGENT�HTTP_REFERER�RAW_DATA)�http_referer�files�	get_names�
post_names�raw_data)�serialize_json_field�get)r3���r4����
files_json�get_names_json�post_names_jsons���     r*����build_extra_infor_���A���sR������&�m�&7�&7��&@�&@�A�A�J�)�-�*;�*;�K�*H�*H�I�I�N�*�=�+<�+<�\�+J�+J�K�K�O��
�}� � ��'�'���	�
�!�!�&�)�)���	�-�#�#�H�-�-�	�
�	�
�!�!�&�)�)���	�=�$�$�Y�/�/�
��	�-�+�+�,<�=�=���	�I�M�M�*�-�-���	�9�=�=��+�+���	�Y�]�]�;�/�/���	�-�+�+�,<�=�=���	�=�,�,�->�?�?���	�M�%�%�j�1�1���	�]�&�&�{�3�3�� �	�}�(�(��7�7�!�"�	�
�)�)�.�9�9�#�$�	�
� 1� 1�2H� I� I�%�&�	�=�,�,�->�?�?�'�(�&�)�)�.�9�9��#�%�!�%�%�j�1�1�3������r)���c������������������x����|�����������������������d������������pt����������|�������������}t����������|�|������������}|�����������������������d������������p|�����������������������d������������}|t����������u�r7t	������������������������5�}t����������||������������}ddd�������������n#�1�swxY�w�Y���nt����������||������������}d|�����������������������dd������������t
����������|�����������������������dd	������������������������d
t����������|�����������������������d������������������������d|�����������������������d
d���������������||||����������������������d������������|d�S�)a���
    Build complete incident dict ready for database insertion.

This is used for both single incident creation and bulk insertion.

Args:
        incident_data: Dict with incident fields from PHP incident file
        site_info: Dict with site information (domain, site_path, username, user_id)
        geo_reader: An open geo Reader (or None) to resolve the abuser country.
            Pass one from country_reader() when building many incidents in a
            loop to avoid reopening the mmdb per incident. When omitted, a
            short-lived reader is opened for this single call.

Returns:
        Dict with all fields ready for Incident.create() or bulk insert
    �message�REMOTE_ADDR�attacker_ipN�	wordpress�rule_id�unknown�tsr�������r;���zWordPress CVE: r:����Unknownr ���)r���r���r.���r/���r���r���r0���r���r1���r ���r2���)r[����build_message_fallbackr_����_UNSET�country_reader�
_country_code�float�calculate_severity)r3���r4����
geo_readerra���r2����	abuser_ip�readerr1���s���        r*����build_incident_dictrs���n���s������&����	�*�*���.D��/��/�G��"�-��;�;�J��!�!�-�0�0���M�4E�4E��5��5�I���V���
�
�
��	7��#�F�I�6�6�G�	7��	7��	7��	7��	7��	7��	7��	7��	7��	7��	7�����	7��	7��	7��	7��� �
�I�6�6�����!�!�)�Y�7�7��=�,�,�T�1�5�5�6�6��&�}�'8�'8��'@�'@�A�A�G�-�"3�"3�E�9�"E�"E�G�G�����-�-��)�)� �����s����6B�B�Bc���������������#����4��K����t������������������������5�}�	�|����������������������t����������j����������������������������������}nB#�t����������$�r5}t
�������������������������������d|�������������dV���Y�d}~ddd�������������dS�d}~ww�xY�w|V���ddd�������������dS�#�1�swxY�w�Y���dS�)z�Yield an open geo Reader, or None when the mmdb can't be opened.

Lets bulk callers open the mmap'd reader once instead of per incident,
    while keeping enrichment non-blocking when the geo bundle is missing.
    zGeoIP reader unavailable: %sN)r����
enter_contextr���rr����	Exception�logger�debug)�stackrr����excs���   r*���rl���rl�������s����������
������	��(�(�����6�6�F�F����	��	��	��L�L�7��=�=�=��J�J�J��F�F�F�
�������������������	����������������������������������������������s7����B
�&:�B
�
A9�A4�#B
�4A9�9B
�
B�B�ipc�����������������������|��|sd�S�	�|�����������������������|������������S�#�t����������$�r'}t�������������������������������d||�������������Y�d�}~d�S�d�}~ww�xY�w)NzGeoIP lookup failed for %s: %s)�get_coderv���rw���rx���)rr���r{���rz���s���   r*���rm���rm�������sj������
�~�R�~��t�����r�"�"�"������������5�r�3�?�?�?��t�t�t�t�t��������s������
A�A	�	Ac������������������D�����t����������|�|������������}t����������j��������di�|��S�)aD��
    Create a WordPress incident in the wordpress_incident table.

Args:
        incident_data: Dict with incident fields from PHP incident file
        site_info: Dict with site information (domain, site_path, username)

Returns:
        WordpressIncident instance with WordPress fields populated in extra_info
    r(���)rs���r����create)r3���r4����
incident_dicts���   r*����create_wordpress_incidentr��������s*�������(�
�y�A�A�M��#�4�4�m�4�4�4r)���c�����������������������t����������|�|������������}t����������j��������di�|�����������������������t����������j��������t����������j��������t����������j��������t����������j��������t����������j��������t����������j	��������gt����������j
��������t����������j
��������dz���t����������j��������|d���������i����������������������������������t�����������������������
����������������������������������}t����������|������������d���������S�)ai��
    Insert or update a WordPress incident in the wordpress_incident table.

If an incident with the same aggregate key (abuser, name, plugin, rule,
    severity, domain) exists, increment its retries counter and update timestamp.
    Otherwise, create a new incident with retries=1.

This implements similar deduplication logic as the aggregate plugin.

Args:
        incident_data: Dict with incident fields from PHP incident file
        site_info: Dict with site information (domain, site_path, username, user_id)

Returns:
        WordpressIncident instance (either newly created or updated)
    rh���r.���)�conflict_target�updater���r(���)rs���r����insert�on_conflictr���r���r���r���r���r ���r/���r.����	returning�execute�list)r3���r4���r�����results���    r*����upsert_wordpress_incidentr��������s�������&�(�
�y�A�A�M��	� �1�1�=�1�1�	��!�(�!�&�!�(�!�&�!�*�!�(�
��"�)�+<�+D�q�+H�!�+�]�;�-G���
��

��

��
��$�	%�	%�	����#��*���<�<��?�r)����incidentc�����������
������������|�j���������|�j��������|�j��������|�j��������|�j��������|�j��������|�j��������|�j��������|�j��������|�j	��������|�j
��������|�j��������d�S�)z�
    Convert a WordpressIncident model instance to a dictionary.

Args:
        incident: WordpressIncident model instance

Returns:
        Dictionary representation of the incident
    �r-���r���r���r.���r/���r���r���r0���r���r1���r ���r2���r����)r����s��� r*����wordpress_incident_to_dictr��������sU��������k��/��
��'��#��%��
��+��/��#��/��)�
��
��
r)�������F�limit�offsetrA����by_abuser_ip�by_country_code�	by_domain�search�site_search�since�to�order_by�include_hiddenc����������������������t��������������������������������t��������������������������������������������t�����������j��������dk����������������}|sR|���������������������t�����������j�������������������������������������������t�����������j�����������������������������d�������������z��������������}|�6|���������������������t����������j��������t�����������j	��������d������������|k����������������}|�2|���������������������t�����������j
�����������������������������|������������������������}|�#|���������������������t�����������j��������|k����������������}|�2|���������������������t�����������j
�����������������������������|������������������������}|��|���������������������t�����������j�����������������������������|������������t�����������j�����������������������������|������������z��t�����������j
�����������������������������|������������z��t�����������j
�����������������������������|������������z��������������}|�6|���������������������t����������j��������t�����������j	��������d������������|k����������������}|�6|���������������������t�����������j�����������������������������d������������|k����������������}|	�6|���������������������t�����������j�����������������������������d������������|	k����������������}|
�pg�}
|
D�]T}t%����������|t&����������������������r(|
���������������������t+����������j��������|��������������������������?|
���������������������|��������������Ut/����������|
t�����������|������������}n1|���������������������t�����������j�������������������������������������������������������}|���������������������|�������������}|���������������������|������������}d��|�����������������������������������D���������������S�)a���
    Get WordPress incidents as dictionaries.

Args:
        limit: Maximum number of incidents to return
        offset: Offset for pagination
        user_id: Filter by user ID (None = all)
        by_abuser_ip: Filter by abuser IP address (None = all)
        by_country_code: Filter by country code (None = all)
        by_domain: Filter by domain (None = all)
        search: Search in IP address, name, description, or domain (None = all)
        site_search: Filter by site path in extra_info (None = all)
        since: Filter by timestamp >= this value (unix timestamp, None = all)
        to: Filter by timestamp <= this value (unix timestamp, None = all)
        order_by: List of fields to order by (None = default order by timestamp desc).
                  Can be either strings (e.g., ["timestamp+", "severity-"]) or
                  OrderBy objects. Strings are automatically converted.
        include_hidden: When False (default), exclude incidents whose rule has
                  the TEST- prefix (internal probe rules that the WordPress
                  plugin hides from its admin UI).

Returns:
        List of incident dictionaries
    rd���zTEST-Nz	$.user_idz$.site_path�REALc������������������,�����g�|�]}t����������|��������������S�r(����r������.0�incs���  r*����
<listcomp>z+get_wordpress_incidents.<locals>.<listcomp>z��s!������G�G�G��&�s�+�+�G�G�Gr)���)r����select�wherer���r����is_null�
startswithr����json_extractr2���r����containsr1���r ���r���r0���r.����cast�
isinstance�str�appendr����
fromstringr���r�����descr����r����r����)r����r����rA���r����r����r����r����r����r����r����r����r�����query�converted_order_by�items���               r*����get_wordpress_incidentsr������s�����L�
�$�$�%6�7�7�=�=�	�	!�[�	0�
��
�E����
�����"�*�*�,�,� �%�0�0��9�9�9�
:�
��
��
�������O�-�8�+�F�F��
�
��
��
������-�4�=�=�l�K�K�L�L���"����-�5��H�I�I�������-�4�=�=�i�H�H�I�I��
������"�+�+�F�3�3��+�4�4�V�<�<�
=��&�/�/��7�7�
8�� �&�/�/��7�7�
8�
��
���������O�-�8�-�H�H��
�
��
��
�
�����-�7�<�<�V�D�D��M�N�N��	�~����-�7�<�<�V�D�D��J�K�K���������	0��	0�D��$��$�$��
0�"�)�)�'�*<�T�*B�*B�C�C�C�C�"�)�)�$�/�/�/�/��1�3D�e�L�L�������0�:�?�?�A�A�B�B���K�K����E��L�L�� � �E�G�G�u�}�}���G�G�G�Gr)����incidents_datac�����������������������|�sg�S�t��������������������������������|����������������������������������t����������������������������������������������������������}d��|D���������������S�)z�
    Bulk create WordPress incidents in a single transaction.
    Args:
        incidents_data: List of dictionaries containing incident field data

Returns:
        List of created incident dictionaries
    c������������������,�����g�|�]}t����������|��������������S�r(���r����r����s���  r*���r����z3bulk_create_wordpress_incidents.<locals>.<listcomp>���s!������>�>�>��&�s�+�+�>�>�>r)���)r����insert_manyr����r����)r����r����s���  r*����bulk_create_wordpress_incidentsr����}��sV�����������	��	�%�%�n�5�5�	��$�	%�	%�	�������?�>�v�>�>�>�>r)����daysc������������������R����t����������j�����������������������t����������|�������������������������������������������������z
��}t������������������������������������������������������������������t����������j��������dk����t����������j�����������������������������d������������|k�����z���������������	����������������������������������}|S�)N)r����rd���r����)
�timer����
total_secondsr����deleter����r���r.���r����r����)r�����cutoff_time�deleteds���   r*����delete_old_wordpress_incidentsr�������s��������)�+�+�	�t� 4� 4� 4� B� B� D� D�D�K�� � �"�"�	��
�
%��
4� �*�/�/��7�7�+�E�
G�

��

��
����
����Nr)���c����������������������dg}|�����������������������d������������r|���������������������|�d����������������������|�����������������������d������������r|���������������������|�d����������������������|�����������������������d������������r|���������������������|�d����������������������|�����������������������d������������r|���������������������|�d����������������������|�����������������������d������������r|���������������������|�d����������������������d���������������������|������������S�)z=Build message if plugin didn't provide one (per spec format).z
IM WP plugin:re���r:���r=���r>���r;���� )r[���r�����join)r3����partss���  r*���rj���rj������s�������
��E�����#�#��/�
���]�9�-�.�.�.��������+�
���]�5�)�*�*�*����� � ��,�
���]�6�*�+�+�+�����#�#��/�
���]�9�-�.�.�.����� � ��,�
���]�6�*�+�+�+��8�8�E�?�?�r)���r;���c������������������&�����|�dk����rdS�|�dk����rdS�dS�)z!Calculate severity based on mode.�block�����pass����r(���)r;���s��� r*���ro���ro������s#�������w����q�	
�����q��qr)���c������������������`�����|��dS�t����������|�t����������������������r|�S�t����������j��������|�������������S�)z>Serialize a value to JSON string if it's not already a string.N)r����r�����json�dumps)�values��� r*���rZ���rZ������s3�������}��t��%���������:�e���r)���)r����r���NNNNNNNNNF)2r,����loggingr����r�����
contextlibr���r����datetimer����peeweer���r���r���r	����playhouse.sqlite_extr
���r����defence360agent.internalsr����defence360agent.modelr
���r����$defence360agent.model.simplificationr����"defence360agent.rpc_tools.validater����	getLoggerr!���rw����objectrk���r����dictr_���rs���rl���r����rm���r����r����r�����intr�����boolr����r����r����rj���ro���rZ���r(���r)���r*����<module>r�������s�����������������������0��0��0��0��0��0��0��0�������������������������������������/��.��.��.��.��.��.��.��)��)��)��)��)��)��1��1��1��1��1��1��1��1��?��?��?��?��?��?��6��6��6��6��6��6�	��	�8�	$�	$��	�����
��
��
��
��
���
��
��
�>*�D��*�T��*�d��*��*��*��*�\�6<�/��/��/�$(�/�	�/��/��/��/�d��
��
����
� �c�D�j���S�4�Z���������5��5�$(�5��5��5��5��5�"-��-�$(�-��-��-��-��-�`�):���t���������6����#�"&� ��"��� � �dH��dH��dH��dH���4�Z�dH����*�	dH�
��4�Z�dH���T�z�
dH��
�$�J�dH���t��dH����:�dH��	�d�
�dH���T�k�dH���dH��dH��dH��dH�N?���J�?�	�$�Z�?��?��?��?�0
���
��
��
��
��$���3���������$�S�4�Z���C����������3��:������������r)���

🔐 Sid Gifari File Manager Pro