CORE_V5 // __pycache_

PATH: opt / imunify360 / venv / lib / python3.11 / site-packages / defence360agent / wordpress / __pycache__ /

Editing: changelog_processor.cpython-311.pyc

�

�������i�0�����������������������������d�Z�ddlZddlZddlZddlmZ�ddlmZ�ddlm	Z	�ddl
mZmZ�ddl
mZ�ddlmZ�dd	lmZ�dd
lmZ�ddlmZ��ej��������e������������ZdZd
ZdZdZ�G�d��d������������ZdS�)a���Processor for WordPress rule disable/enable changelog files.

The PHP WordPress plugin writes rule change actions to changelog.php when a user
disables or enables protection rules from the WordPress admin panel. This module
reads, parses, and applies those actions to the agent database.

The changelog.php file uses the same format as incident files:
    <?php __halt_compiler();
    #{base64-encoded JSON for action 1}
    #{base64-encoded JSON for action 2}

Each JSON action has the form:
    {"action": "disable"|"enable", "rule_id": "xyz", "ts": ...}

The user_id stored with each action is the system UID of the WordPress site
owner (site.uid).
�����N)�Path)�MessageType)�MessageSink)�WPSite�
WordpressSite)�WPDisabledRule)�
open_nofollow)�get_data_dir)�IncidentFileParser)�parse_php_with_embedded_jsonz
changelog.phpzdisabled-rules.php�disable�enablec��������������������t����e�Zd�ZdZdd�Zdee���������dedz��dee���������fd�Zdededz��de	fd	�Z
d
ededee���������fd�Z
d
edededz��de	fd�Zd
ededede	fd�Zedededz��fd���������������Zedededede	fd���������������Zdedede	fd�Zed
edededz��deddf
d���������������Zededede	fd���������������ZdS�)�ChangelogProcessora���Process WordPress rule disable/enable changelog files.

Reads changelog.php from each site's data directory, applies
    disable/enable actions to the WPDisabledRule database, reports events
    to the correlation server, and deletes the file after processing.

If no changelog exists (or no new entries), checks whether
    disabled-rules.php has been modified externally (e.g. backup restore)
    and flags the domain for regeneration.
    �returnNc������������������,�����t������������������������|�_��������d�S�)N)r����parser)�selfs��� �b/opt/imunify360/venv/lib/python3.11/site-packages/defence360agent/wordpress/changelog_processor.py�__init__zChangelogProcessor.__init__6���s�������)�*�*����������sites�sinkc�����������������������K����g�}|D�]3}|�����������������������||��������������d{V���r|���������������������|��������������4|r(t�������������������������������dt	����������|�������������������������|S�)a-��Process changelog.php for all given sites.

Args:
            sites: WordPress sites to process.
            sink: MessageSink for sending correlation events.

Returns:
            Sites whose disabled rules were affected
            (needing disabled-rules.php regeneration).
        Nz(Changelog processing affected %d site(s))�
_process_site�append�logger�info�len)r���r���r����affected�sites���     r����process_changelogs_for_sitesz/ChangelogProcessor.process_changelogs_for_sites;���s������������"$����	&��	&�D��'�'��d�3�3�3�3�3�3�3�3��
&�����%�%�%����	��K�K�:��H�
�
�
��
��
�
��r���r!���c�������������������~��K����	�t����������|��������������d{V���}|�����������������������������������sdS�|t����������z��}|�����������������������������������r|����������������������|||��������������d{V���rdS�|����������������������||������������rdS�n8#�t
����������$�r+}t�������������������������������d|j��������|�������������Y�d}~nd}~ww�xY�wdS�)z�Process changelog.php for a single site.

Args:
            site: WordPress site to process.
            sink: MessageSink for sending correlation events.

Returns:
            True if the site's disabled rules were affected.
        NFTz*Error processing changelog for site %s: %s)	r
����exists�CHANGELOG_FILENAME�_process_changelog_file�_is_disabled_rules_file_stale�	Exceptionr����error�docroot)r���r!���r����data_dir�changelog_path�es���      r���r���z ChangelogProcessor._process_siteX���s(���������	�)�$�/�/�/�/�/�/�/�/�H��?�?�$�$��
��u�%�(:�:�N��$�$�&�&��
 ��5�5�"�D�$����������������� �� �4��1�1�$��A�A��
��t�
�����	��	��	��L�L�<����
��
��
��
��
��
��
��
�����	������us"����)B��;B��,B��
B:�!B5�5B:r,���c����������������������	�|�j������������������������������|������������	�|���������������������d��������������S�#�t����������$�r+}t�������������������������������d|j��������|�������������Y�d}~S�d}~ww�xY�w#�t����������t����������f$�r|}t�������������������������������d|j��������|�������������g�cY�d}~	�|���������������������d��������������S�#�t����������$�r+}t�������������������������������d|j��������|�������������Y�d}~S�d}~ww�xY�wd}~ww�xY�w#�	�|���������������������d��������������w�#�t����������$�r+}t�������������������������������d|j��������|�������������Y�d}~w�d}~ww�xY�wxY�w)zsParse a changelog file and delete it.

The file is deleted regardless of whether parsing succeeds.
        T)�
missing_okz*Failed to delete changelog for site %s: %sNz)Failed to parse changelog for site %s: %s)r����
parse_file�unlink�OSErrorr���r)���r*����
ValueError)r���r,���r!���r-���s���    r����_consume_changelogz%ChangelogProcessor._consume_changelog~���s������	��;�)�)�.�9�9�
��%�%��%�6�6�6�6����
��
��
����@��L���������������������
��������$��	��	��	��L�L�;����
��
��
�
��I�I�I�I�I�
��%�%��%�6�6�6�6����
��
��
����@��L���������������������
��������	�����
��%�%��%�6�6�6�6����
��
��
����@��L���������������������
������s�����A+��3�
A(�!A#�#A(�+C8�<"C3�C8�C;��$B;�;
C0�!C+�+C0�3C8�8C;��;E�=D�E�
E	�!E�?E�E	�	Ec�������������������B��K����|�����������������������||������������}|sdS�|����������������������|������������}d}|D��]8}	�t����������|���������������������dd������������������������}|dk����r.t	����������d|���������������������dd��������������d|j������������������������|�>||k����r8t�������������������������������d	|���������������������dd������������|j��������||���������������|����������������������|||������������rd
}|��	��������������������||||��������������d{V������#�t����������$�r%}	t�����������
��������������������d|	�������������Y�d}	~	��d}	~	wt����������$�r-}	t�������������������������������d||j��������|	�������������Y�d}	~	��2d}	~	ww�xY�wt�������������������������������d
|j��������t����������|������������|�������������|S�)am��Parse and apply actions from a changelog file.

The file is always deleted after reading, even on parse errors.
        Actions older than the last sync timestamp are skipped to prevent
        stale changelog files (e.g. from backup restores) from undoing
        more recent changes.

Returns:
            True if any DB changes occurred.
        F�tsr���z:Missing or invalid timestamp in changelog action for rule �rule_id�?�	 on site NzPSkipping stale changelog action for rule %s on site %s (ts=%.0f <= sync_ts=%.0f)Tz$Skipping invalid changelog entry: %sz5Failed to process changelog action %s for site %s: %sz9Processed changelog for site %s: %d action(s), changed=%s)r4����_get_last_sync_ts�float�getr3���r*���r���r����_process_action�_report_action�warningr(���r)���r���)
r���r,���r!���r����actions�last_sync_ts�changed�action�	timestampr-���s
���          r���r&���z*ChangelogProcessor._process_changelog_file����s$��������� ��)�)�.�$�?�?����	��5��-�-�d�3�3������	��	�F�
�!�&�*�*�T�1�"5�"5�6�6�	���>�>�$�3�%+�Z�Z�	�3�%?�%?�3��3�$(�L�3��3������
� �+�	�\�0I�0I��K�K�@��
�
�9�c�2�2���!�$�
��������'�'���i�@�@��#�"�G��)�)�&�$��i�H�H�H�H�H�H�H�H�H�H����
J��
J��
J����E�q�I�I�I�I�I�I�I�I�������
��
��
����K���L��	�������������������
�����	���G��L���L�L��		
��	
��	
���s*����BD	�7D	�	
E-�D3�3
E-��"E(�(E-rC���rD���c������������������B����|����������������������d������������}|����������������������d������������}|r|st����������d|����������������|t����������k����r|����������������������|||������������S�|t����������k����r|����������������������||������������S�t����������d|��d|��d|j������������������������)a���Apply a single changelog action to the database.

Args:
            action: Parsed action dict with keys: action, rule_id, ts.
            site: The WordPress site the action belongs to.
            timestamp: Pre-resolved Unix timestamp for this action.

Returns:
            True if the database state was modified.

Raises:
            ValueError: If the action is missing required fields or has
                an unknown action type.
        rC���r7���z.Missing action or rule_id in changelog entry: zUnknown changelog action 'z' for rule r9���)r<���r3����ACTION_DISABLE�_apply_disable�
ACTION_ENABLE�
_apply_enabler*���)r���rC���r!���rD����action_typer7���s���      r���r=���z"ChangelogProcessor._process_action����s�������"��j�j��*�*���*�*�Y�'�'����	�'��	��I��I�I�����
���.�(�(��&�&�w��i�@�@�@�
�M�
)�
)��%�%�g�t�4�4�4��>�[��>��>�$�>��>�/3�|�>��>�����
r���c������������������p�����	�t����������j��������|�j��������������������}|j��������S�#�t�����������j��������$�r�Y�dS�w�xY�w)z�Get the last disabled-rules sync timestamp for a site.

Returns None if the site has no DB record or no sync timestamp,
        meaning all actions should be processed.
        N)r����	get_by_idr*����disabled_rules_sync_ts�DoesNotExist)r!����db_sites���  r���r:���z$ChangelogProcessor._get_last_sync_ts����sG������	�#�-�d�l�;�;�G��1�1���)��	��	��	��4�4�	���s����"��5�5r7���c������������������j�����t����������j��������|�|j��������gt�����������j��������|j��������|�������������}|dk����S�)z�Apply a disable action from the changelog.

Returns:
            True if a new disable entry was created (not a no-op).
        )r7����domains�source�user_idrD���r���)r����store�domain�SOURCE_WORDPRESS�uid)r7���r!���rD����counts���    r���rG���z!ChangelogProcessor._apply_disable��s?��������$���[�M�!�2��H��
��
��
����q�y�r���c������������������F�����t����������j��������||j��������g�������������}|dk����S�)zvApply an enable action from the changelog.

Returns:
            True if a disable entry was removed.
        )r7���rQ���r���)r����removerU���)r���r7���r!���rX���s���    r���rI���z ChangelogProcessor._apply_enable��s1��������%���[�M�
��
��
����q�y�r���c�����������
����������K����|�dS�|�d���������}|�d���������}|t�����������k����r
t����������j��������}n|t����������k����r
t����������j��������}ndS�	�|����������������������|d||j��������g||j��������t����������j	�����������������������������������d{V����dS�#�t����������$�r-}t�������������������������������d||j
��������|�������������Y�d}~dS�d}~ww�xY�w)z�Send a rule change event to the correlation server.

Must only be called for valid actions (after _process_action succeeds).
        NrC���r7����	wordpress)�	plugin_id�rulerQ���rD���rS���rR���z<Failed to report changelog action for rule %s on site %s: %s)rF���r����WPRuleDisabledrH����
WPRuleEnabled�process_messagerU���rW���r���rV���r(���r���r)���r*���)rC���r!���r���rD���rJ���r7����message_clsr-���s���        r���r>���z!ChangelogProcessor._report_action"��s,�����������<��F��X�&����#���.�(�(�%�4�K�K�
�M�
)�
)�%�3�K�K��F�	��&�&���)� �!�[�M�'� �H�)�:�
�����	��	��	
��	
��	
��	
��	
��	
��	
��	
��	
�����	��	��	��L�L�N�����	
��
��
��
��
��
��
��
��
�����	���s����
?B��
C�"B=�=Cr+���c������������������b����|t�����������z��}	�t����������t����������|������������������������5�}t����������j��������t����������j��������|������������dd�������������5�}|�����������������������������������}ddd�������������n#�1�swxY�w�Y���ddd�������������n#�1�swxY�w�Y���nU#�t����������$�r�Y�dS�t����������$�r<}|j	��������t����������j
��������k����rt�������������������������������d||�������������Y�d}~dS�d}~ww�xY�w	�t����������|������������}t����������|���������������������dd������������������������}n@#�t����������t ����������f$�r,}	t�������������������������������d	|�j��������|	�������������Y�d}	~	dS�d}	~	ww�xY�w	�t'����������j��������|�j��������������������}
n#�t&����������j��������$�r�Y�dS�w�xY�w|
j��������}|du�pt/����������||z
��������������d
k����S�)a��Check if disabled-rules.php was modified externally.

Reads the embedded timestamp from the file and compares it against
        the stored sync timestamp in the database. If they differ
        (e.g. file restored from backup), returns True to trigger regeneration.
        �rzutf-8)�encodingNFzCannot open %s: %sr6���r���z.Cannot read disabled-rules.php for site %s: %sg�������?)�DISABLED_RULES_FILENAMEr	����str�os�fdopen�dup�read�FileNotFoundErrorr2����errno�ELOOPr����debugr���r;���r<���r3���r?���r*���r���rL���rN���rM����abs)r!���r+����disabled_rules_path�fd�f�content�exc�data�file_tsr-���rO����db_tss���            r���r'���z0ChangelogProcessor._is_disabled_rules_file_staleM��sV������'�)@�@��
	��s�#6�7�7�8�8��
'�B��Y�r�v�b�z�z�3��A�A�A��'�Q��f�f�h�h�G�'��'��'��'��'��'��'��'��'��'��'�����'��'��'��'�
'��
'��
'��
'��
'��
'��
'��
'��
'��
'��
'�����
'��
'��
'��
'����!��	��	��	��5�5���	��	��	��y�E�K�'�'����1�3F��L�L�L��5�5�5�5�5�����	����
		�/��8�8�D��D�H�H�T�1�-�-�.�.�G�G����$��	��	��	��N�N�@����
��
��
�
��5�5�5�5�5�����
	����	�#�-�d�l�;�;�G�G���)��	��	��	��5�5�	������.����}�:��G�e�O� 4� 4�s� :�:s�����B��*B
�A3�'B
�3A7	�7B
�:A7	�;B
�>B��
B�B��B�B��
C(�#	C(�,1C#�#C(�,2D��E�0!E�E� E:��:F
�F
)r���N)�__name__�
__module__�__qualname__�__doc__r����listr���r���r"����boolr���r����dictr4���r&���r;���r=����staticmethodr:���rg���rG���rI���r>���r'�����r���r���r���r���*���so�������������	��	�+��+��+��+�
��F�|����D� ���
�f��	�������:$��$���D� �$��
�	$��$��$��$�L�"��*0��	
�d���������4=��=���=���D� �	=�
�
�=��=��=��=�~ �� �"(� �5:� �	
� �� �� �� �D��
���
�5�4�<��
��
��
���\�
���
���
�6��
�e��
���
��
��
���\�
�
�S��
���
�4��
��
��
��
���(��(��(���D� �(���	(�
�
�(��(��(���\�(�T��);��);��);��
�);��);��);���\�);��);��);r���r���)r|���rm����loggingrh����pathlibr����"defence360agent.contracts.messagesr����!defence360agent.contracts.pluginsr����defence360agent.model.wordpressr���r����&defence360agent.model.wp_disabled_ruler����defence360agent.utils.fd_opsr	����defence360agent.wordpress.clir
����)defence360agent.wordpress.incident_parserr����defence360agent.wordpress.utilsr����	getLoggerry���r���r%���rf���rF���rH���r���r����r���r����<module>r�������s8�������$�
����������	�	�	�	��������������:��:��:��:��:��:��9��9��9��9��9��9��A��A��A��A��A��A��A��A��A��A��A��A��A��A��6��6��6��6��6��6��6��6��6��6��6��6��H��H��H��H��H��H��H��H��H��H��H��H�	��	�8�	$�	$��$���.������
�M;��M;��M;��M;��M;��M;��M;��M;��M;��M;r���

CANCEL