• hjem
  •  > 
  • Sikkerhet
  •  > 
  • Skadelig kode i WordPress-temaer. Skadelig kode - hva er det? Finner ondsinnet kode satt inn i WordPress-kjernefiler

Skadelig kode i WordPress-temaer. Skadelig kode - hva er det? Finner ondsinnet kode satt inn i WordPress-kjernefiler

Hver webmaster oppdager ondsinnet kode på nettsiden hans får han mange lite hyggelige inntrykk. Nettstedseieren prøver umiddelbart, i panikk, å finne og ødelegge viruset, og forstå hvordan denne ekle tingen kan komme inn på siden hans. Men som praksis viser, er det ikke så lett å finne ondsinnet kode på et nettsted. Tross alt kan et virus registreres i en eller flere filer, fra stor mengde som siden består av, det være seg en motor som kjører på WordPress eller en vanlig side på html.

I går, mens jeg sjekket e-posten min, fant jeg en e-post fra Google som sa at besøket enkelte sider nettstedet mitt kan føre til infeksjon av brukernes datamaskiner med skadelig programvare. Nå får brukere som går inn på disse sidene via lenker i Google.ru søkeresultater en advarselsside. Denne siden ble ikke lagt til panelet mitt Googles webansvarlige, så jeg ble varslet via mail. Jeg hadde flere nettsteder i nettredaktørpanelet; da jeg gikk dit, ble jeg forferdet over å se en advarsel om skadelig kode på to til av nettstedene mine.
Som et resultat ble ondsinnet kode plassert på tre av nettstedene mine, som jeg måtte finne og ødelegge. En av sidene kjørte på WordPress, de to andre besto av vanlig php sider.

Det er verdt å merke seg at Google reagerte mye raskere enn Yandex for tilstedeværelsen av ondsinnet kode. I Yandex webmaster-panelet dukket det ikke opp en advarsel om tilstedeværelsen av et virus på nettstedet. Heldigvis klarte jeg i løpet av noen timer å finne dette uheldige viruset.

Som regel er oftest nettsteder infisert av det såkalte iframe-viruset. I hovedsak består dette viruset av kode... . Viruset stjeler alle passord fra Totalkommandør eller en annen ftp-klient. I mitt tilfelle skjedde det samme, iframe-kode registrert i flere dusin filer på nettstedet mitt. På nettstedet, som kjørte på WordPress, klarte den ondsinnede koden å sette seg bare i footer.php.

Og så, hvordan finner du skadelig kode hvis du finner ut at nettstedet ditt er infisert:

1. Gå til vertskontrollpanelet og endre passordet ditt. Hvis du har flere nettsteder, gjør vi dette med alle nettstedene våre.

2. Endre og slett passord i ftp-klienten. Vi lagrer aldri passord i ftp-klienter lenger, vi legger dem alltid inn manuelt.

3. Du kan gå til hostingen via ftp og se hva som har endret seg i filene dine. Sorter filer etter dato siste endring. De filene som er infisert må ha den siste og samme datoen. Åpne disse filene og se etter iframe-koden, vanligvis er denne koden plassert helt på slutten. I utgangspunktet er ondsinnet kode skrevet i følgende filer: index.php, index.html og filer med filtypen .js. Ofte lever denne infeksjonen mellom tagger... .
For selvskrevne nettsteder, se veldig nøye på alle filer og mapper med skript; viruset er ofte skrevet der. I tillegg er favoritthabitatet til dette viruset i tellerkoder for nettstedet og i reklamekoder.

4. Sjekk .htaccess-filen for mistenkelig kode. Noen ganger trenger skadelig kode inn i denne filen. Vanligvis er det flere kataloger i motorfilene der .htaccess-filen kan være plassert. Sjekk alle disse filene og sørg for at koden er "ren".

Når det gjelder WordPress-filer eller andre CMS, består som regel ethvert CMS av mange filer og mapper, og det er veldig vanskelig å finne ondsinnet kode i dem. For eksempel kan jeg anbefale TAC-pluginen for WordPress. Denne plugin sjekker filer i alle temaer i temamappen for tredjeparts kode. Hvis TAC finner uønsket kode, vil den vise banen til denne filen. Dermed er det mulig å beregne maskeringsviruset.
Last ned TAC-plugin: wordpress.org

Generelt bør du hele tiden huske på alle handlingene du utførte med nettstedfilene dine. Husk hva som ble endret eller lagt til denne eller den koden.

Når du finner og fjerner ondsinnet kode, skader det ikke å sjekke datamaskinen for virus.
Og hvis nettstedet ditt har blitt merket av Google eller Yandx som infisert, må du sende en forespørsel til sjekk på nytt. Som regel bør søkemotorer fjerne alle restriksjoner fra nettstedet ditt innen 24 timer. Det tok ikke lang tid før Google behandlet forespørselen min om ny bekreftelse, og etter noen timer ble alle restriksjoner fjernet fra nettstedene mine.

WordPress er den mest populære motoren for å lage ulike informasjonsnettsteder og blogger. Sikkerheten til nettstedet ditt er mer enn sikkerheten til dataene dine. Dette er mye viktigere, fordi det også er sikkerheten til alle brukere som leser og stoler på ressursen din. Dette er grunnen til at det er så viktig at nettstedet ikke er infisert med virus eller annen skadelig kode.

Vi skal se på hvordan du beskytter WordPress mot hacking i en av de følgende artiklene, men nå vil jeg fortelle deg hvordan du sjekker et WordPress-nettsted for virus og ondsinnet kode for å være sikker på at alt er trygt.

Det aller første alternativet du tenker på er at du ble hacket av hackere og bygde bakdørene deres inn i koden til nettstedet ditt for å kunne sende spam, legge inn linker og andre dårlige ting. Dette skjer noen ganger, men dette er et ganske sjeldent tilfelle hvis du oppdaterer programvaren i tide.

Det er tusenvis gratis temaer for WordPress og ulike plugins og det kan allerede være en trussel her. Det er én ting når du laster ned en mal fra WordPress-nettstedet og noe helt annet når du finner den på venstre side. Skruppelløse utviklere kan legge inn ulike ondsinnede koder i produktene sine. Risikoen er enda større hvis du laster ned premium-maler gratis, der hackere, uten å risikere noe, kan legge til et slags sikkerhetshull som de så kan trenge gjennom og gjøre det de trenger. Dette er grunnen til at det er så viktig å sjekke et WordPress-nettsted for virus.

Sjekker et WordPress-nettsted for virus

Det første du må se etter når du sjekker et nettsted for virus er WordPress-plugins. Raskt og enkelt kan du skanne nettstedet ditt og finne mistenkelige kodeområder som er verdt å ta hensyn til, enten de er i temaet, plugin-modulen eller selve kjernen i Wodpress. La oss se på noen av de mest populære plugins:

1.TOC

Dette veldig enkle pluginet sjekker alle temaer som er installert på nettstedet ditt for å se om de inneholder skadelig kode. Programtillegget oppdager skjulte lenker kryptert ved bruk av base64-kodeinnsetting, og viser også detaljert informasjon om problemene som ble funnet. Oftest er ikke kodebitene som finnes virus, men de kan potensielt være farlige, så du bør være oppmerksom på dem.

Åpne "Utseende" -> "TAC" og vent til alle temaer er sjekket.

2. VIP-skanner

Svært lik TOC-skanner for emner, men gir ut mer detaljert informasjon. De samme koblingsdeteksjonsmulighetene skjult kode og andre ondsinnede innlegg. Bare åpne VIP Scanner-elementet i verktøyseksjonen og analyser resultatet.

Det kan være nok å fjerne ekstra filer f.eks desktop.ini. Eller du må se mer detaljert på hva som skjer i filer ved hjelp av base64.

3. Anti-Malware fra GOTMLS.NET

Denne plugin-en lar deg ikke bare skanne temaene og kjernen til nettstedet for virus, men også for å beskytte nettstedet mot brute force-passord og ulike XSS, SQLInj-angrep. Søket utføres basert på kjente signaturer og sårbarheter. Noen sårbarheter kan fikses på stedet. For å begynne å skanne filer, åpne "Anti-Malvare" i sidemeny og klikk "Kjør skanning":

Før du kan kjøre en skanning, må du oppdatere signaturdatabasene dine.

4. Wordfence

Dette er en av de mest populære plugins for WordPress beskyttelse og skanning etter skadelig kode. I tillegg til en skanner som kan finne de fleste bokmerker i WordPress-kode, er det konstant beskyttelse mot forskjellige typer angrep og passord brute force. Under søket finner plugin mulige problemer med ulike plugins og temaer, melder behovet for å oppdatere WordPress.

Åpne fanen "WPDefence" i sidemenyen, og gå deretter til fanen "Skann" og klikk "Start skanning":

Skanning kan ta Viss tid, men når du er ferdig, vil du se en detaljert rapport over problemene som ble funnet.

5. Antivirus

Dette er en annen enkel plugin som vil skanne malen på nettstedet ditt for ondsinnet kode. Ulempen er at kun gjeldende mal skannes, men informasjonen vises tilstrekkelig detaljert. Du vil se alle de farlige funksjonene som er i temaet og så kan du analysere i detalj om de utgjør noen fare. Finn "AntiVirus"-elementet i innstillingene, og klikk deretter "Skann temamalene nå":

6. Integritetssjekker

Det er også tilrådelig å sjekke integriteten WordPress-filer, i tilfelle viruset allerede har registrert seg et sted. Du kan bruke Integrity Checker-pluginen for dette. Den sjekker alle kjerne-, plugin- og malfiler for endringer. På slutten av skanningen vil du se informasjon om de endrede filene.

Online tjenester

Det finnes også flere nettjenester som lar deg sjekke et WordPress-nettsted for virus eller sjekke bare malen. Her er noen av dem:

themecheck.org - du laster ned temaarkivet og kan se alle advarslene om mulige skadelige funksjoner som brukes i det. Du kan ikke bare se informasjon om temaet ditt, men også om andre temaer lastet opp av andre brukere, så vel som forskjellige versjoner Emner. Uansett hva pluginene finner, kan du finne på dette nettstedet. Undersøkelse wordpress-temaer er også veldig viktig.

virustotal.com er en velkjent ressurs hvor du kan sjekke nettsiden eller malfilen for virus.

ReScan.pro - WordPress-sjekk nettsted for virus som bruker denne tjenesten er gratis, statisk og dynamisk analyse utføres for å oppdage mulige omdirigeringer, skanneren åpner nettsidene. Sjekker siden mot ulike svartelister.

sitecheck.sucuri.net er en enkel tjeneste for å skanne nettsteder og emner for virus. Det finnes en plugin for WordPress. Oppdager farlige lenker og skript.

Manuell sjekk

Ingenting kan være bedre enn manuell sjekk. Linux har dette fantastiske grep-verktøyet som lar deg søke etter forekomster av vilkårlige strenger i en mappe med filer. Det gjenstår å forstå hva vi vil se etter:

eval - denne funksjonen lar deg utføre vilkårlig php-kode, den brukes ikke av produkter med respekt for seg selv, hvis en av pluginene eller et tema bruker denne funksjonen, kan vi med nesten hundre prosent sannsynlighet si at det er et virus der;

  • base64_decode - krypteringsfunksjoner kan brukes sammen med eval for å skjule ondsinnet kode, men de kan også brukes til fredelige formål, så vær forsiktig;
  • sha1 er en annen metode for å kryptere ondsinnet kode;
  • gzinflate - komprimeringsfunksjon, samme mål, sammen med eval, for eksempel gzinflate(base64_decode(kode);
  • strrev - reverserer strengen ikke før, da et alternativ kan brukes for primitiv kryptering;
  • print - sender ut informasjon til nettleseren, sammen med gzinflate eller base64_decode er det farlig;
  • file_put_contents - WordPress selv eller plugins kan fortsatt lage filer i filsystemet, men hvis temaet gjør dette, bør du være forsiktig og sjekke hvorfor det gjør dette, da virus kan installeres;
  • file_get_contents - i de fleste tilfeller brukt til fredelige formål, men kan brukes til å laste ned ondsinnet kode eller lese informasjon fra filer;
  • krølle - samme historie;
  • fopen - åpner en fil for skriving, du vet aldri til hvilket formål;
  • system - funksjonen utfører kommandoen i Linux-system, hvis et tema, plugin eller wordpress selv gjør dette, er det mest sannsynlig et virus;
  • symlink - lager symbolske lenker i systemet, kanskje viruset prøver å gjøre hovedfilsystemet tilgjengelig fra utsiden;
  • kopi - kopierer en fil fra ett sted til et annet;
  • getcwd - returnerer navnet på gjeldende arbeidskatalog;
  • cwd - endrer gjeldende arbeidsmappe;
  • ini_get - mottar informasjon om PHP-innstillinger, ofte for fredelige formål, men du vet aldri;
  • error_reporting(0) - deaktiverer visning av eventuelle feilmeldinger;
  • window.top.location.href - javascript funksjon, brukes til omdirigeringer til andre sider;
  • hacket - så, bare i tilfelle, sjekker vi, plutselig bestemte hackeren seg for å fortelle oss det.

Du kan erstatte hver eget ord til denne kommandoen:

grep -R "hacket" /var/www/path/to/files/wordpress/wp-content/

Eller bruk et enkelt skript som søker etter alle ordene samtidig:

values="base64_decode(
eval(base64_decode
gzinflate(base64_decode(
getcwd();
strrev(
chr(ord(
cwd
ini_get
window.top.location.href
kopiere(
eval(
system(
symbolkobling(
feilrapportering (0)
skrive ut
file_get_contents(
file_put_contents(
fopen(
hacket"

cd /var/www/path/to/files/wordpress/wp-content/
$ fgrep -nr --inkluder \*.php "$verdier" *

Instruksjonene nedenfor gjelder for brukerapplikasjoner og Skype-programmer. De gjelder ikke for programvareprodukt og netttjenesten Skype for Business levert av Microsoft.

Hva kan du gjøre for å holde deg trygg?

Du har mange forskjellige alternativer tilgjengelig for deg for å holde kontoen din sikker. Hver av dem er beskrevet mer detaljert nedenfor.

Og hvis du ønsker å rapportere mistenkelig aktivitet eller sikkerhetsproblemer, ikke nøl med å kontakte oss .

Hvis du oppdager et sikkerhetssårbarhet i noen Skype-apper eller nettjenester, følg instruksjonene på denne lenken: Rapporter en datamaskinsårbarhet.

For å få tilgang til Skype-kontoen din, er det viktig å velge sikkert passord. Angripere hacker seg inn på kontoer (ikke bare Skype, men også andre nettsteder) ved å bruke lister over ofte brukte passord, så du trenger en sterk og unikt passord.

  • Bruk en kombinasjon av bokstaver, tall og andre symboler, som de du finner over tallene på mange tastaturer, dvs. %, *, $, £ og!. Du kan gjøre passordet ditt sikrere ved å inkludere tegnsetting, symboler og andre ikke-standardtegn.
  • Navn, fødselsdato og ord fra ordboken skal ikke brukes da de er enkle å gjette.
  • Jo lengre passord, jo sikrere er det, men husk at et langt passord er vanskeligere å huske. Velg et passord som du kan huske, slik at du ikke trenger å skrive det ned.

Det kan være utfordrende å velge et passord som er sterkt og enkelt å huske. Nedenfor er noen få teknikker som kan hjelpe deg.

Bruk en setning som passord.

Passord er begrenset til 50 tegn, men du kan bruke en kort setning for å gjøre passordet vanskeligere å knekke.

Ta med tall, store bokstaver og små bokstaver, slik at passordet ikke ser ut som "replyetomars", men "replyetom4rs*".

Knytt passordet til noe personlig for deg.

Bare du bør kjenne passordet, og andre skal ikke ha noen formening om det. For eksempel kan andre mennesker vite navnet på et kjæledyr eller tittelen på en favorittfilm, fordi som et resultat av distribusjon sosiale nettverk Tilgjengeligheten til din personlige informasjon har økt.

Prøv å ta tankene bort fra dette og ta hensyn til det du ser ("Det renner en elv!" eller "Gul bil"), og bruk deretter våre anbefalinger:
"V0tT3chetRek4*" eller "4Zh3lty bil.$"

Bruk et unikt passord på hvert nettsted.

Mange av oss har flere kontoer og nettsteder som krever at vi husker brukernavn og passord, men ikke alle nettsteder er skapt like. Hos Skype bryr vi oss om sikkerheten din og bruker mye penger på det, men ikke alle gjør det. Derfor anbefaler vi å bruke et unikt passord for hvert nettsted du besøker for å beskytte din regnskap i Skype fra hacking gjennom nettsteder med mer svakt system sikkerhet.

En typisk angriperstrategi er å bruke legitimasjon stjålet fra andre nettsteder for å prøve å få tilgang til mer verdifulle kontoer, inkludert Skype, e-postleverandører og sosiale nettverk.

Endre passordene dine regelmessig.

Selv om du bruker sterkt passord, det må endres regelmessig.

Hvis du tror passordet ditt har blitt kjent for andre, endre det så snart som mulig.

Hvis en annen nettside eller tjeneste der du bruker samme eller lignende passord blir hacket, endre Skype-passordet ditt så snart som mulig for å beskytte kontoen din.

Virus kan skade datamaskinen din og samle inn din personlige informasjon enten du bruker Skype eller ikke. Følgende tips vil hjelpe deg å unngå dette.

  • Ikke åpne vedlegg E-post, mottat fra fremmede, i tillegg til mistenkelige vedlegg, selv de mottatt fra folk du kjenner. Hvis du er i tvil, bør du kontakte avsenderen og få bekreftelse fra ham på at brevet ikke er falskt, selv om det ved første øyekast virker ufarlig (f.eks. mottok du e-kort eller et morsomt bilde).
  • Selv om du kjenner avsenderen, bruk alltid et antivirusprogram for å skanne filer du mottar fra andre, enten det er via Skype eller andre måter. Antivirus program skal fungere på datamaskinen din til enhver tid, og ikke glem å oppdatere regelmessig antivirus databaser.
  • Bruk en personlig brannmur.
  • Sett opp datamaskinen til å motta regelmessig siste oppdateringer sikkerhetssystemer og patcher for sin operativsystem, for eksempel Microsoft Windows eller Apple Mac OS X, samt for applikasjoner som f.eks Adobe Flash, Microsoft Internet Explorer eller Mozilla Firefox.
  • Vær forsiktig med nettstedene du besøker og laster ned innhold fra. Prøv å alltid bruke den offisielle nettsiden til de relevante programmene.

For mer informasjon om hvordan du holder deg trygg på nettet, besøk InSafe- og Get Safe Online-nettsidene.
(Skype er ikke ansvarlig for innholdet på tredjepartssider.)

Vi forbedrer stadig Skype, øker kvaliteten, påliteligheten og sikkerheten. Hvordan oppdatere Skype til .

Vær forsiktig med e-poster som hevder å være fra Skype som kunngjør en sikkerhetsoppdatering – vi sender aldri e-poster som dette.

For å laste ned Skype bør du bare bruke https://www.skype.com (eller App Store Lagre på mobil plattform), siden Skype ikke distribueres gjennom andre nettsteder.

Før du sender inn informasjon om din kredittkort til nettsteder som hevder å videreselge Skype-produkter, sørg for at nettstedet eller selgeren det gjelder er hederlig.

Phishing er et forsøk fra en ondsinnet tredjepart på å oppnå viktig informasjon, for eksempel brukernavn, passord eller kredittkortinformasjon, som utgir seg for å være en pålitelig organisasjon eller nettsted.

For eksempel kan de sende deg en e-post som hevder å være fra Skype, der du blir bedt om å følge en lenke for å logge på kontoen din. Denne koblingen kan føre til et falskt nettsted som ser ut og fungerer akkurat som Skypes nettsted, men den personlige informasjonen du oppgir der kan bli lagret eller stjålet og senere brukt av angripere.

Det beste forsvaret mot phishing er årvåkenhet. Selv om spam og andre filtre blir mer effektive, kan de gå glipp av noen phishing-meldinger. Ved å øke bevisstheten om phishing-teknikker og hvordan de skal bekjempes, kan du forhindre slike forsøk med enkle tiltak.

Vær nøye med meldinger som er spesielt presserende, for eksempel "Kontoen din har blitt kompromittert. Klikk her for detaljer," eller imperative, for eksempel "Vennligst bekreft kontoinformasjonen din." Hvis du mottar en melding som ber deg utføre en handling på kontoen din, ikke klikk på koblingene i den. Skriv i stedet "skype.com" i nettleseren din og gå til kontoen din direkte fra Skype-nettstedet.

Hvis du mottar en melding med et vedlegg som hevder å være fra Skype, ikke åpne vedlegget.

Hvis du kommer til et nettsted via en lenke eller annen omdirigeringsmekanisme, må du kontrollere at nettstedets URL er skype.com og at den ikke inneholder andre tegn eller ord. Du bør for eksempel ikke stole på nettsidene notskype.com og skype1.com.

Hvis du tror at legitimasjonen din har blitt kjent for andre, endre passordet ditt så snart som mulig.

Ondsinnet kode kommer inn på nettstedet gjennom uaktsomhet eller ondsinnet hensikt. Hensiktene med ondsinnet kode varierer, men i hovedsak forårsaker den skade eller forstyrrer normal operasjon nettstedet. For å fjerne ondsinnet kode på WordPress, må du først finne den.

Hva er ondsinnet kode på et WordPress-nettsted?

Av utseende, oftest er ondsinnet kode et sett med bokstaver og symboler i det latinske alfabetet. Faktisk er dette en kryptert kode som denne eller den handlingen utføres med. Handlingene kan være svært forskjellige, for eksempel blir de nye innleggene dine umiddelbart publisert på en tredjepartsressurs. Dette er i hovedsak å stjele innholdet ditt. Koder har også andre "oppgaver", for eksempel å plassere utgående lenker på nettstedssider. Oppgavene kan være de mest sofistikerte, men én ting er klart: ondsinnede koder må jaktes og fjernes.

Hvordan kommer skadelige koder inn på et nettsted?

Det er også mange smutthull for koder for å komme inn på siden.

  • Oftest er dette temaer og plugins som er lastet ned fra "venstre" ressurser. Selv om slik penetrering er typisk for såkalte krypterte lenker. Eksplisitt kode havner ikke på nettstedet.
  • Inntrengningen av et virus når et nettsted blir hacket er den farligste. Som regel lar hacking av et nettsted deg ikke bare plassere en "engangskode", men også installere kode med malware-elementer ( skadevare). For eksempel finner du en kode og sletter den, men den gjenopprettes etter en stund. Det er igjen mange alternativer.

    • La meg merke med en gang at kampen mot slike virus er vanskelig, men manuell fjerning krever kunnskap. Det er tre løsninger på problemet: den første løsningen er å bruke antivirus-plugins, for eksempel en plugin kalt BulletProof Security.

    Denne løsningen gir gode resultater, men det tar tid, om enn litt. Det er mer radikal løsning For å bli kvitt ondsinnede koder, inkludert komplekse virus, er det å gjenopprette nettstedet fra tidligere laget sikkerhetskopier av nettstedet.

    Siden en god webmaster gjør dette med jevne mellomrom, kan du rulle tilbake til en ikke-infisert versjon uten problemer. Den tredje løsningen er for de rike og late, bare ta kontakt med et spesialisert "kontor" eller en individuell spesialist.

    Slik ser du etter ondsinnet kode på WordPress

    Det er viktig å forstå at ondsinnet kode på WordPress kan være i hvilken som helst fil på nettstedet, og ikke nødvendigvis i arbeidstema. Han kan komme opp med en plugin, et tema eller "hjemmelaget" kode hentet fra Internett. Det er flere måter å prøve å finne skadelig kode på.

    Metode 1: Manuelt. Du blar gjennom alle nettstedsfilene og sammenligner dem med filene til en uinfisert sikkerhetskopi. Hvis du finner en annens kode, slett den.

    Metode 2. Bruke plugins WordPress sikkerhet. For eksempel, . Denne plugin-en har en flott funksjon som skanner nettstedsfiler for tilstedeværelse av andres kode, og plugin-en takler denne oppgaven perfekt.

    Metode 3. Hvis du har rimelig støtte for hosting, og det ser ut til at det er noen andre på nettstedet, ber du dem skanne nettstedet ditt med antivirusprogrammet sitt. Rapporten deres viser alle infiserte filer. Deretter åpner du disse filene tekstredigerer og fjern ondsinnet kode.

    Metode 4. Hvis du kan jobbe med SSH-tilgang til nettstedkatalogen, så fortsett, den har sitt eget kjøkken.

    Viktig! Uansett hvordan du søker etter ondsinnet kode, før du søker og deretter sletter koden, lukk tilgangen til nettstedfilene (slå på vedlikeholdsmodus). Husk om koder som i seg selv blir gjenopprettet når de slettes.

    Søk etter ondsinnede koder ved å bruke eval-funksjonen

    Det er en slik funksjon i PHP som heter eval. Den lar deg kjøre hvilken som helst kode på linjen. Dessuten kan koden krypteres. Det er på grunn av kodingen at den skadelige koden ser ut som et sett med bokstaver og symboler. To populære kodinger er:

  • Base64;
  • Rått13.

    • Følgelig ser evalfunksjonen slik ut i disse kodingene:

    • eval(base64_decode(...))
    • eval (str_rot13 (...)) //i interne anførselstegn, lange, uklare sett med bokstaver og symboler..

    Algoritmen for å søke etter ondsinnet kode ved å bruke eval-funksjonen er som følger (vi jobber fra det administrative panelet):

    • gå til nettstedsredigering (Utseende → Redaktør).
    • kopier filen functions.php.
    • åpne den i et tekstredigeringsprogram (for eksempel Notepad++) og søk etter ordet: eval.
    • Hvis du finner det, ikke skynd deg å slette noe. Du må forstå hva denne funksjonen "ber" om å bli utført. For å forstå dette må koden dekodes. For dekoding er det nettverktøy, kalt dekodere.
    Dekodere/kodere

    Dekodere fungerer enkelt. Du kopierer koden du vil dekryptere, limer den inn i dekoderfeltet og dekoder.

    I skrivende stund fant jeg ikke en eneste kryptert kode funnet i WordPress. Jeg fant koden fra Joomla-nettstedet. I prinsippet er det ingen forskjell i å forstå dekoding. La oss se på bildet.

    Som du kan se på bildet, viste eval-funksjonen, etter dekoding, ikke en forferdelig kode som truer sikkerheten til nettstedet, men en kryptert copyright-lenke fra forfatteren av malen. Den kan også fjernes, men den kommer tilbake etter oppdatering av malen hvis du ikke bruker .


    Sannheten i livet er at siden kan hackes før eller siden. Etter å ha utnyttet sårbarheten, prøver hackeren å få fotfeste på nettstedet ved å plassere hacker-nettskall og nedlastere i systemkataloger og introdusere bakdører i skriptkoden og CMS-databasen.

    For å oppdage ondsinnet kode i filer og databaser finnes det spesialiserte løsninger - antivirus og skannere for hosting. Det er ikke mange av dem; de populære er AI-BOLIT, MalDet (Linux Malware Detector) og ClamAv.

    Skannere hjelper til med å oppdage lastede nettskall, bakdører, phishing-sider, spam-e-postere og andre typer ondsinnede skript– alt de vet og har blitt lagt til i databasen med skadelig kodesignatur på forhånd. Noen skannere, som AI-BOLIT, har et sett med heuristiske regler som kan oppdage filer med mistenkelig kode som ofte brukes i ondsinnede skript, eller filer med mistenkelige attributter som kan lastes ned av hackere. Men, dessverre, selv om flere skannere brukes på hostingen, kan det være situasjoner der noen hackerskript forblir uoppdaget, noe som faktisk betyr at angriperen sitter igjen med en "bakdør" og kan hacke nettstedet og få full kontroll over det når som helst. øyeblikk.

    Moderne skadevare- og hackerskript er vesentlig forskjellige fra de for 4-5 år siden. For tiden kombinerer utviklere av ondsinnet kode tilsløring, kryptering, dekomponering, ekstern lasting av ondsinnet kode og andre triks for å lure antivirusprogramvare. Derfor er sannsynligheten for å gå glipp av ny skadelig programvare mye høyere enn før.

    Hva kan gjøres i i dette tilfellet for mer effektiv påvisning av virus på nettstedet og hackerskript på hosting? Det er nødvendig å bruke en integrert tilnærming: innledende automatisert skanning og ytterligere manuell analyse. I denne artikkelen vi vil snakke om alternativer for å oppdage skadelig kode uten skannere.

    Først, la oss se på nøyaktig hva du bør se etter under et hack.

  • Hacker-skript.
    Som oftest, ved hacking, er filer som lastes ned nettskjell, bakdører, «opplastingsprogrammer», skript for spam-utsendelser, phishing-sider + skjemabehandlere, døråpninger og hackingmarkørfiler (bilder fra hackergruppens logo, tekstfiler med en "melding" fra hackere osv.)
  • Injeksjoner (kodeinjeksjoner) i eksisterende .
    Den nest mest populære typen hosting av ondsinnet kode og hackerkode er injeksjoner. I eksisterende filer website.htaccess kan injisere mobil- og søkeviderekoblinger, injisere bakdører i php/perl-skript, bygge inn virale javascript-fragmenter eller omdirigeringer i .js- og .html-maler tredjeparts ressurser. Injeksjoner er også mulig i mediefiler, for eksempel.jpg eller. Ofte består ondsinnet kode av flere komponenter: selve ondsinnede koden er lagret i exif-overskriften jpg-fil, men utføres ved hjelp av et lite kontrollskript, hvis kode ikke ser mistenkelig ut for skanneren.
  • Databaseinjeksjoner.
    Databasen er det tredje målet for en hacker. Her er statiske innlegg mulige, , , , som omdirigerer besøkende til tredjepartsressurser, "spionerer" på dem eller infiserer besøkendes datamaskin/mobilenhet som et resultat av et drive-by-angrep.
    I tillegg, i mange moderne CMS (IPB, vBulletin, modx, etc.), lar malmotorer deg kjøre PHP-kode, og selve malene lagres i databasen, slik at PHP-koden til nettskall og bakdører kan bygges direkte inn i databasen.
  • Injeksjoner i hurtigbuffertjenester.
    Som et resultat av feil eller usikker konfigurasjon av cachingtjenester, for eksempel memcached, er injeksjoner i hurtigbufrede data mulig. I noen tilfeller kan en hacker injisere ondsinnet kode på sidene til et nettsted uten å direkte hacke nettstedet.
  • Injeksjoner/initierte elementer i serversystemkomponenter.
    Hvis en hacker har fått privilegert (root) tilgang til serveren, kan han erstatte elementer av webserveren eller cacheserveren med infiserte. En slik webserver vil på den ene siden gi kontroll over serveren ved hjelp av kontrollkommandoer, og på den annen side fra tid til annen introdusere dynamiske omdirigeringer og ondsinnet kode på sidens sider. Som ved en injeksjon i en hurtigbuffertjeneste, vil nettstedsadministratoren mest sannsynlig ikke kunne oppdage at siden har blitt hacket, siden alle filene og databasen vil være originale. Dette alternativet er det vanskeligste å behandle.

    • Så la oss anta at du allerede har sjekket filene på hostingen og databasedumpen med skannere, men de fant ikke noe, og viruset er fortsatt på siden, eller mobilviderekoblingen fortsetter å fungere når du åpner sider. Hvordan søke videre?

    Manuelt søk

    På unix er det vanskelig å finne et mer verdifullt kommandopar for å finne filer og fragmenter enn find / grep.

    finne. -navn '*.ph*' -mtime -7

    vil finne alle filer som har blitt endret den siste uken. Noen ganger "vrir" hackere endringsdatoen til skript for ikke å oppdage nye skript. Deretter kan du søke etter php/phtml-filer hvis attributter er endret

    finne. -navn '*.ph*' -сtid -7

    Hvis du trenger å finne endringer i et bestemt tidsintervall, kan du bruke samme funn

    finne. -navn '*.ph*' -newermt 2015-01-25 ! -newermt 2015-01-30 -ls

    For å søke i filer er grep uunnværlig. Den kan søke rekursivt gjennom filer etter et spesifisert fragment

    grep -ril ‘stummann.net/steffen/google-analytics/jquery-1.6.5.min.js’ *

    Når du hacker en server, er det nyttig å analysere filer som har guid/suid-flagget satt

    finn / -perm -4000 -o -perm -2000

    For å finne ut hvilke skript som kjører i dette øyeblikket og last Hosting CPU, du kan ringe

    lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ‘ ( if(!str) ( str=$1 ) else ( str=str”,,”$1))END(print str)’` | grep vhosts | grep php

    Vi bruker hjernen og hendene våre til å analysere filer på hosting
  • Vi går til opplastings-, cache-, tmp-, backup-, logg-, bildekatalogene, der noe er skrevet av skript eller lastet opp av brukere, og skanner innholdet for nye filer med mistenkelige utvidelser. For joomla kan du for eksempel sjekke .php-filene i katalogen images:find ./images -name ‘*.ph*’. Mest sannsynlig, hvis noe blir funnet, vil det være skadelig programvare.
    For WordPress er det fornuftig å sjekke wp-content/uploads-katalogen, backup- og cache-temakatalogene for skript.
  • Ser etter filer med merkelige navn
    For eksempel php, fyi.php, n2fd2.php. Filer kan søkes
    • ved ikke-standard kombinasjoner av tegn,
    • tilstedeværelse av numrene 3,4,5,6,7,8,9 i filnavn
  • Vi ser etter filer med uvanlige utvidelser
    La oss si at du har et nettsted på WordPress eller for dem vil filer med filtypene .py, .pl, .cgi, .so, .c, .phtml, .php3 ikke være helt vanlige. Hvis noen skript og filer med disse utvidelsene oppdages, vil de mest sannsynlig være hackerverktøy. Prosentandelen av falske deteksjoner er mulig, men den er ikke høy.
  • Vi ser etter filer med ikke-standard attributter eller opprettelsesdato
    Mistanke kan være forårsaket av filer med attributter som er forskjellige fra de som finnes på serveren. For eksempel ble alle .php-skript lastet opp via ftp/sftp og har brukeren, og noen ble laget av brukeren www-data. Det er fornuftig å sjekke de siste. Eller om datoen da skriptfilen ble opprettet før dato opprettelse av nettside.
    For å øke hastigheten på søket etter filer med mistenkelige attributter, er det praktisk å bruke Unix find-kommandoen.
  • Vi ser etter døråpninger ved et stort antall.html- eller .php-filer
    Hvis det er flere tusen .php- eller .html-filer i katalogen, er dette mest sannsynlig en døråpning.
    • Logger for å hjelpe

    Webserverlogger, postvesen og FTP kan brukes til å oppdage ondsinnede skript og hackerskript.

    • Å korrelere dato og klokkeslett for sending av et brev (som kan finnes fra e-postserverloggen eller tjenestehodet til et spambrev) med forespørsler fra access_log hjelper til med å identifisere metoden for å sende spam eller finne spam-avsenderens skript.
    • Analyse av FTP xferlog-overføringsloggen lar deg forstå hvilke filer som ble lastet ned på tidspunktet for hacket, hvilke som ble endret og av hvem.
    • I en riktig konfigurert e-postserverlogg eller i tjenesteoverskriften til en spam-e-post når riktig innstilling PHP vil være navnet eller full vei til avsenderskriptet, som hjelper med å finne kilden til spam.
    • Ved å bruke loggene for proaktiv beskyttelse av moderne CMS og plugins, kan du finne ut hvilke angrep som ble utført på nettstedet og om CMS var i stand til å motstå dem.
    • Ved å bruke access_log og error_log kan du analysere handlingene til en hacker hvis du kjenner navnene på skriptene han ringte, IP-adressen eller Bruker agent. Som en siste utvei kan du se POST-forespørsler den dagen siden ble hacket og infisert. Ofte lar analysen deg finne andre hackerskript som ble lastet ned eller allerede var på serveren på tidspunktet for hacket.
    Integritetskontroll

    Det er mye lettere å analysere et hack og se etter ondsinnede skript på et nettsted hvis du tar vare på sikkerheten på forhånd. Prosedyren for integritetssjekk hjelper til med å oppdage endringer i hostingen i tide og bestemme fakta om hacking. En av de enkleste og effektive måter– legg nettstedet under versjonskontrollsystem (git, svn, cvs). Hvis du konfigurerer .gitignore riktig, ser endringskontrollprosessen ut som å kalle opp git status-kommandoen, og å søke etter ondsinnede skript og endrede filer ser ut som git diff.

    Det vil du også alltid ha sikkerhetskopi filer som du kan "rulle tilbake" nettstedet til i løpet av sekunder. Serveradministratorer og avanserte webmastere kan bruke inotify, tripwire, auditd og andre mekanismer for å spore tilgang til filer og kataloger, og overvåke endringer i filsystemet.

    Dessverre er det ikke alltid mulig å sette opp et versjonskontrollsystem eller tredjeparts tjenester på server. Ved delt hosting vil det ikke være mulig å installere et versjonskontrollsystem og systemtjenester. Men det spiller ingen rolle, det er mye ferdige løsninger for CMS. Du kan installere en plugin eller et eget skript på nettstedet som vil spore endringer i filer. Noen CMS implementerer allerede effektiv endringsovervåking og en integritetssjekkmekanisme (for eksempel Bitrix, DLE). Som en siste utvei, hvis hostingen har ssh, kan du opprette en referansebesetning filsystem team

    ls -lahR > original_file.txt

    og hvis det oppstår problemer, lag et nytt øyeblikksbilde i en annen fil, og sammenlign dem i WinDiff, AraxisMerge Tool eller BeyondCompare.

    Epilog

    I de fleste tilfeller holder ikke antivirusprogramvareutviklere og -skannere tritt med utviklere av ondsinnet kode, så når du diagnostiserer og behandler nettsteder, kan du ikke bare stole på automatiserte programvareløsninger og manus. Ved å bruke en heuristisk tilnærming, de rike operativsystemverktøyene og CMS-funksjonene, kan du finne ondsinnet kode som antivirus og skannere ikke kunne oppdage. Bruk manuell analyse gjør nettsidebehandlingsprosessen bedre og mer effektiv.