• dom
  •  > 
  • Bezpieczeństwo
  •  > 
  • Złośliwy kod w motywach WordPress. Złośliwy kod – co to jest? Znajdowanie złośliwego kodu wstawionego do podstawowych plików WordPress

Złośliwy kod w motywach WordPress. Złośliwy kod – co to jest? Znajdowanie złośliwego kodu wstawionego do podstawowych plików WordPress

Każdy webmaster odkrywa złośliwy kod na swojej stronie internetowej zbiera wiele niezbyt przyjemnych wrażeń. Właściciel witryny natychmiast w panice próbuje znaleźć i zniszczyć wirusa oraz dowiedzieć się, w jaki sposób to paskudne coś mogło przedostać się na jego witrynę. Jednak jak pokazuje praktyka, znalezienie szkodliwego kodu na stronie internetowej nie jest takie proste. W końcu wirus można zarejestrować w jednym lub kilku plikach, z ogromna ilość z czego składa się witryna, niezależnie od tego, czy jest to silnik działający na WordPressie, czy zwykła witryna w formacie HTML.

Wczoraj sprawdzając pocztę, znalazłem wiadomość od Google z informacją, że wizyta określone strony moja witryna może prowadzić do zainfekowania komputerów użytkowników złośliwym oprogramowaniem. Teraz użytkownikom, którzy uzyskują dostęp do tych stron za pośrednictwem linków w wynikach wyszukiwania Google.ru, wyświetlana jest strona z ostrzeżeniem. Ta strona nie została dodana do mojego panelu Webmasterzy Google, więc zostałem powiadomiony pocztą. Miałem jeszcze kilka witryn w panelu webmasterów; kiedy tam wszedłem, z przerażeniem zobaczyłem ostrzeżenie o złośliwym kodzie w dwóch kolejnych moich witrynach.
W rezultacie w trzech moich witrynach osiedlił się złośliwy kod, który musiałem znaleźć i zniszczyć. Jedna z witryn działała na WordPressie, dwie pozostałe składały się z zwykły php strony.

Warto zauważyć, że Google zareagowało bardzo mocno szybszy niż Yandex na obecność złośliwego kodu. W panelu webmastera Yandex nie pojawiło się ostrzeżenie o obecności wirusa na stronie. Na szczęście w ciągu kilku godzin udało mi się znaleźć tego nieszczęsnego wirusa.

Z reguły najczęściej witryny są infekowane tzw. wirusem iframe. Zasadniczo wirus ten składa się z kodu... . Wirus kradnie wszystkie hasła Totalny Dowódca lub inny klient FTP. W moim przypadku stało się to samo, kod iframe zarejestrowanych w kilkudziesięciu plikach na mojej stronie. Na stronie działającej na WordPressie złośliwy kod zdołał osadzić się jedynie w stopce.php.

A zatem, jak znaleźć złośliwy kod, jeśli okaże się, że Twoja witryna jest zainfekowana:

1. Przejdź do panelu sterowania swojego hostingu i zmień hasło. Jeśli masz kilka witryn, robimy to w przypadku wszystkich naszych witryn.

2. Zmień i usuń hasła w kliencie FTP. Nigdy więcej nie przechowujemy haseł w klientach FTP; zawsze wpisujemy je ręcznie.

3. Możesz wejść na hosting przez ftp i zobaczyć co zmieniło się w Twoich plikach. Sortuj pliki według daty Ostatnia zmiana. Zainfekowane pliki muszą mieć najnowszą i tę samą datę. Otwórz te pliki i poszukaj kodu iframe, zwykle ten kod znajduje się na samym końcu. Zasadniczo złośliwy kod jest zapisywany w następujących plikach: indeks.php, indeks.html oraz plikach z rozszerzeniem .js. Często ta infekcja żyje pomiędzy tagami... .
W przypadku witryn pisanych przez siebie bardzo uważnie przejrzyj wszystkie pliki i foldery ze skryptami; często jest tam zapisywany wirus. Ponadto ulubionym siedliskiem tego wirusa są kody licznikowe witryny i kody reklamowe.

4. Sprawdź plik .htaccess pod kątem podejrzanego kodu. Czasami do tego pliku przenika złośliwy kod. Zazwyczaj w plikach silnika znajduje się kilka katalogów, w których można zlokalizować plik .htaccess. Sprawdź wszystkie te pliki i upewnij się, że kod jest „czysty”.

Jeśli chodzi o pliki WordPress czy inny CMS, z reguły każdy CMS składa się z wielu plików i folderów i bardzo trudno jest w nich znaleźć złośliwy kod. Na przykład dla WordPressa mogę polecić wtyczkę TAC. Ta wtyczka sprawdza pliki we wszystkich motywach w folderze motywów kod strony trzeciej. Jeśli TAC znajdzie niechciany kod, wyświetli ścieżkę do tego pliku. W ten sposób możliwe jest obliczenie wirusa maskującego.
Pobierz wtyczkę TAC: wordpress.org

Ogólnie rzecz biorąc, należy stale pamiętać o wszystkich działaniach wykonanych na plikach witryny. Zapamiętaj, co zostało zmienione lub dodane do tego czy innego kodu.

Gdy już znajdziesz i usuniesz złośliwy kod, nie zaszkodzi sprawdzić komputer pod kątem wirusów.
A jeśli Twoja witryna została oznaczona przez Google lub Yandx jako zainfekowana, to za pośrednictwem panelu webmastera musisz wysłać żądanie do sprawdź ponownie. Z reguły wyszukiwarki powinny usunąć wszystkie ograniczenia z Twojej witryny w ciągu 24 godzin. Rozpatrzenie mojej prośby o ponowną weryfikację nie zajęło Google dużo czasu i po kilku godzinach wszystkie ograniczenia zostały usunięte z moich witryn.

WordPress to najpopularniejszy silnik do tworzenia różnorodnych serwisów informacyjnych i blogów. Bezpieczeństwo Twojej witryny internetowej to coś więcej niż bezpieczeństwo Twoich danych. Jest to o wiele ważniejsze, bo to także bezpieczeństwo wszystkich użytkowników, którzy czytają i ufają Twojemu zasóbowi. Dlatego tak ważne jest, aby witryna nie była zainfekowana wirusami ani innym złośliwym kodem.

W jednym z poniższych artykułów przyjrzymy się, jak chronić WordPress przed włamaniem, ale teraz chcę Ci powiedzieć, jak sprawdzić witrynę WordPress pod kątem wirusów i złośliwego kodu, aby mieć pewność, że wszystko jest bezpieczne.

Pierwszą opcją, która przychodzi na myśl, jest to, że zostałeś zhakowany przez hakerów i wbudowałeś ich backdoory w kod swojej witryny, aby móc wysyłać spam, umieszczać linki i inne złe rzeczy. Czasami się tak zdarza, ale jest to dość rzadki przypadek, jeśli aktualizujesz oprogramowanie na czas.

Są tysiące darmowe motywy dla WordPressa i różnych wtyczek i tutaj może już istnieć zagrożenie. Co innego, gdy pobierzesz szablon ze strony WordPress, a co innego, gdy znajdziesz go po lewej stronie. Pozbawieni skrupułów programiści mogą osadzać w swoich produktach różne złośliwe kody. Ryzyko jest jeszcze większe, jeśli pobierzesz szablony premium za darmo, w których hakerzy, nie ryzykując niczego, mogą dodać jakąś lukę w zabezpieczeniach, przez którą będą mogli następnie przedostać się i zrobić to, czego potrzebują. Dlatego tak ważne jest sprawdzanie witryny WordPress pod kątem wirusów.

Sprawdzanie witryny WordPress pod kątem wirusów

Pierwszą rzeczą, na którą musisz zwrócić uwagę podczas sprawdzania witryny pod kątem wirusów, jest Wtyczki WordPressa. Szybko i łatwo możesz przeskanować swoją witrynę i znaleźć podejrzane obszary kodu, na które warto zwrócić uwagę, niezależnie od tego, czy znajdują się w motywie, wtyczce czy samym rdzeniu Wodpress. Przyjrzyjmy się kilku z nich popularne wtyczki:

1.SPIS

Ta bardzo prosta wtyczka sprawdza wszystkie motywy zainstalowane w Twojej witrynie, aby sprawdzić, czy zawierają złośliwy kod. Wtyczka wykrywa ukryte linki zaszyfrowane poprzez wstawienie kodu base64, a także wyświetla szczegółowe informacje o wykrytych problemach. Najczęściej znalezione fragmenty kodu nie są wirusami, ale mogą być potencjalnie niebezpieczne, dlatego należy zwrócić na nie uwagę.

Otwórz „Wygląd” -> „TAC”, a następnie poczekaj, aż wszystkie motywy zostaną sprawdzone.

2. Skaner VIP

Bardzo podobny do skanera TOC dla tematów, ale wyświetla więcej dokładna informacja. Te same możliwości wykrywania linków ukryty kod i inne złośliwe wstawki. Wystarczy otworzyć pozycję Skaner VIP w sekcji narzędzi i przeanalizować wynik.

Może wystarczy usunąć dodatkowe pliki np. desktop.ini. Lub musisz bardziej szczegółowo przyjrzeć się temu, co dzieje się w plikach korzystających z base64.

3. Ochrona przed złośliwym oprogramowaniem z GOTMLS.NET

Ta wtyczka pozwala nie tylko skanować motywy i rdzeń witryny w poszukiwaniu wirusów, ale także chronić witrynę przed hasłami typu brute-force i różnymi atakami XSS, SQLInj. Wyszukiwanie odbywa się w oparciu o znane sygnatury i luki. Niektóre luki można naprawić na miejscu. Aby rozpocząć skanowanie plików, otwórz „Anti-Malvare” w menu boczne i kliknij „Uruchom skanowanie”:

Przed uruchomieniem skanowania należy zaktualizować bazę danych sygnatur.

4. Wordfence

Jest to jedna z najpopularniejszych wtyczek do Ochrona WordPressa i skanowanie w poszukiwaniu złośliwego kodu. Oprócz skanera, który potrafi znaleźć większość zakładek w kodzie WordPressa, istnieje stała ochrona przed różne rodzaje ataki i brutalna siła haseł. Podczas wyszukiwania wtyczka znajduje możliwe problemy z różnymi wtyczkami i motywami zgłasza potrzebę aktualizacji WordPressa.

Otwórz zakładkę „WPDefence” w bocznym menu, a następnie przejdź do zakładki „Skanuj” i kliknij „Rozpocznij skanowanie”:

Skanowanie może zająć określony czas, ale po zakończeniu zobaczysz szczegółowy raport o znalezionych problemach.

5. Antywirus

To kolejna prosta wtyczka, która przeskanuje szablon Twojej witryny w poszukiwaniu złośliwego kodu. Wadą jest to, że skanowany jest tylko bieżący szablon, ale informacje są wyświetlane z wystarczającą szczegółowością. Zobaczysz wszystkie niebezpieczne funkcje zawarte w motywie, a następnie będziesz mógł szczegółowo przeanalizować, czy stwarzają one jakiekolwiek zagrożenie. Znajdź w ustawieniach pozycję „Antywirus”, a następnie kliknij „Skanuj teraz szablony motywów”:

6. Sprawdzanie integralności

Wskazane jest również sprawdzenie integralności Pliki WordPressa, na wypadek gdyby wirus już się gdzieś zarejestrował. Możesz do tego użyć wtyczki Integrity Checker. Sprawdza wszystkie pliki rdzenia, wtyczek i szablonów pod kątem zmian. Po zakończeniu skanowania zobaczysz informację o zmienionych plikach.

Usługi online

Istnieje również kilka usług online, które umożliwiają sprawdzenie witryny WordPress pod kątem wirusów lub sprawdzenie samego szablonu. Tutaj jest kilka z nich:

themecheck.org — pobierasz archiwum motywów i możesz zobaczyć wszystkie ostrzeżenia dotyczące możliwych złośliwych funkcji, które są w nim użyte. Możesz nie tylko przeglądać informacje o swoim motywie, ale także o innych motywach przesłanych przez innych użytkowników różne wersje Tematy. Wszystko, co wtyczki znajdą, można znaleźć na tej stronie. Badanie motywy wordpress jest również bardzo ważne.

wirustotal.com to dobrze znane źródło, w którym możesz sprawdzić swoją witrynę internetową lub plik szablonu pod kątem obecności wirusów.

ReScan.pro - Kontrola WordPressa Witryna internetowa pod kątem wirusów korzystanie z tej usługi jest bezpłatne, przeprowadzana jest analiza statyczna i dynamiczna w celu wykrycia ewentualnych przekierowań, skaner otwiera strony witryny. Sprawdza witrynę pod kątem różnych czarnych list.

sitecheck.sucuri.net to prosta usługa skanowania witryn i tematów w poszukiwaniu wirusów. Istnieje wtyczka do WordPressa. Wykrywa niebezpieczne linki i skrypty.

Kontrola ręczna

Nie ma nic lepszego niż sprawdzenie ręczne. Linux ma to wspaniałe narzędzie grep, które pozwala wyszukiwać wystąpienia dowolnych ciągów znaków w folderze z plikami. Pozostaje zrozumieć, czego będziemy szukać:

eval - ta funkcja pozwala na wykonanie dowolnego kod php, nie jest używany przez szanujące się produkty; jeśli któraś z wtyczek lub motywu korzysta z tej funkcji, z niemal stuprocentowym prawdopodobieństwem możemy powiedzieć, że jest tam wirus;

  • base64_decode - funkcje szyfrujące mogą być używane w połączeniu z eval w celu ukrycia złośliwego kodu, ale można ich również używać do celów pokojowych, więc bądź ostrożny;
  • sha1 to kolejna metoda szyfrowania złośliwego kodu;
  • gzinflate - funkcja kompresji, te same cele, razem z eval, na przykład gzinflate(base64_decode(code);
  • strrev - odwraca ciąg znaków nie wcześniej, gdyż można użyć opcji do szyfrowania pierwotnego;
  • print - wysyła informację do przeglądarki, razem z gzinflate lub base64_decode jest to niebezpieczne;
  • file_put_contents - Sam WordPress lub wtyczki mogą nadal tworzyć pliki w systemie plików, ale jeśli motyw to robi, to powinieneś zachować ostrożność i sprawdzić, dlaczego to robi, ponieważ mogą zostać zainstalowane wirusy;
  • file_get_contents - w większości przypadków używany do celów pokojowych, ale może zostać wykorzystany do pobrania złośliwego kodu lub odczytania informacji z plików;
  • zwijanie - ta sama historia;
  • fopen - otwiera plik do zapisu, nigdy nie wiadomo w jakim celu;
  • system - funkcja wykonuje polecenie w System Linux, jeśli robi to motyw, wtyczka lub sam wordpress, najprawdopodobniej jest to wirus;
  • dowiązanie symboliczne - tworzy dowiązania symboliczne w systemie, być może wirus próbuje udostępnić główny system plików z zewnątrz;
  • kopiuj - kopiuje plik z jednej lokalizacji do drugiej;
  • getcwd - zwraca nazwę bieżącego katalogu roboczego;
  • cwd - zmienia bieżący folder roboczy;
  • ini_get - otrzymuje informacje o ustawieniach PHP, często w celach pokojowych, ale nigdy nie wiadomo;
  • error_reporting(0) - wyłącza wyświetlanie ewentualnych komunikatów o błędach;
  • okno.góra.lokalizacja.href - funkcja javascriptu, używany do przekierowań na inne strony;
  • zhakowany - więc na wszelki wypadek sprawdzamy, nagle sam haker postanowił nam o tym powiedzieć.

Każde możesz zastąpić osobne słowo do tego polecenia:

grep -R „hacked” /var/www/path/to/files/wordpress/wp-content/

Lub użyj prostego skryptu, który wyszuka wszystkie słowa na raz:

wartości="base64_decode(
eval(base64_decode
gzinflate(base64_decode(
getcwd();
strev(
chr(ord(
cwd
ini_get
okno.góra.lokalizacja.href
Kopiuj(
ewaluacja(
system(
dowiązanie symboliczne (
raportowanie_błędów(0)
wydrukować
plik_get_contents(
zawartość_pliku(
otwórz(
zhakowany”

cd /var/www/path/to/files/wordpress/wp-content/
$ fgrep -nr --include \*.php "$wartości" *

Poniższe instrukcje dotyczą aplikacje użytkownika i programy Skype. Nie dotyczą Produkt oprogramowania oraz usługa online Skype dla firm świadczona przez firmę Microsoft.

Co możesz zrobić, żeby zachować bezpieczeństwo?

Dostępnych jest wiele różnych opcji zapewniających bezpieczeństwo konta. Każdy z nich został opisany bardziej szczegółowo poniżej.

Jeśli chcesz zgłosić jakąkolwiek podejrzaną aktywność lub problemy związane z bezpieczeństwem, nie wahaj się z nami skontaktować.

Jeśli odkryjesz lukę w zabezpieczeniach dowolnej aplikacji Skype lub usług online, postępuj zgodnie z instrukcjami dostępnymi pod tym linkiem: Zgłoś lukę w komputerze.

Aby uzyskać dostęp do konta Skype, należy koniecznie wybrać bezpieczne hasło. Atakujący włamują się na konta (nie tylko Skype, ale także inne strony internetowe) przy użyciu list często używanych haseł, dlatego potrzebny jest silny i unikalne hasło.

  • Użyj kombinacji liter, cyfr i innych symboli, takich jak te znajdujące się nad cyframi na wielu klawiaturach, tj. %, *, $, £ i!. Możesz zwiększyć bezpieczeństwo swojego hasła, dodając znaki interpunkcyjne, symbole i inne niestandardowe znaki.
  • Nie należy używać imion, dat urodzenia i słów ze słownika, gdyż łatwo je odgadnąć.
  • Im dłuższe hasło, tym jest bezpieczniejsze, ale pamiętaj, że długie hasło jest trudniejsze do zapamiętania. Wybierz hasło, które będziesz mógł zapamiętać i nie będziesz musiał go zapisywać.

Wybór silnego i łatwego do zapamiętania hasła może być wyzwaniem. Poniżej znajduje się kilka technik, które mogą Ci pomóc.

Użyj zdania jako hasła.

Hasła są ograniczone do 50 znaków, ale możesz użyć krótkiego zdania, aby utrudnić złamanie hasła.

Uwzględnij cyfry, wielkie litery i małe litery, tak aby hasło nie wyglądało jak „replyetomars”, ale „replyetom4rs*”.

Powiąż hasło z czymś osobistym.

Tylko Ty powinieneś znać hasło, a inne osoby nie powinny mieć o nim pojęcia. Na przykład inne osoby mogą znać imię zwierzaka lub tytuł ulubionego filmu, ponieważ w wyniku dystrybucji portale społecznościowe Zwiększyła się dostępność Twoich danych osobowych.

Spróbuj odwrócić od tego uwagę i zwrócić uwagę na to, co widzisz („Płynie rzeka!” lub „Żółty samochód”), a następnie zastosuj się do naszych zaleceń:
„V0tT3chetRek4*” lub „4Zh3lty car.$”

Używaj unikalnego hasła w każdej witrynie.

Wielu z nas ma wiele kont i witryn internetowych, które wymagają zapamiętania nazwy użytkownika i hasła, ale nie wszystkie witryny są sobie równe. W Skype dbamy o Twoje bezpieczeństwo i wydajemy na to mnóstwo pieniędzy, ale nie każdemu się to udaje. Dlatego zalecamy używanie unikalnego hasła dla każdej odwiedzanej witryny, aby chronić swoje dane konto w Skype przed hakowaniem stron internetowych z większą liczbą słaby system bezpieczeństwo.

Typowa strategia atakującego polega na wykorzystaniu danych uwierzytelniających skradzionych z innych witryn internetowych w celu uzyskania dostępu do bardziej wartościowych kont, w tym Skype, dostawców poczty e-mail i sieci społecznościowych.

Regularnie zmieniaj hasła.

Nawet jeśli używasz silne hasło, należy go regularnie zmieniać.

Jeśli uważasz, że Twoje hasło stało się znane innym, zmień je jak najszybciej.

Jeśli inna witryna lub usługa, w której używasz tego samego lub podobnego hasła, zostanie zhakowana, zmień hasło do Skype'a tak szybko, jak to możliwe, aby chronić swoje konto.

Wirusy mogą uszkodzić Twój komputer i zbierać Twoje dane osobowe, niezależnie od tego, czy korzystasz ze Skype'a, czy nie. Poniższe wskazówki pomogą Ci tego uniknąć.

  • Nie otwieraj załączników E-mail, otrzymane od nieznajomi, a także podejrzane załączniki, nawet te otrzymane od znanych Ci osób. W razie wątpliwości należy skontaktować się z nadawcą i uzyskać od niego potwierdzenie, że list nie jest fałszywy, nawet jeśli na pierwszy rzut oka wydaje się nieszkodliwy (np. otrzymałeś e-karta lub zabawny obrazek).
  • Nawet jeśli znasz nadawcę, zawsze używaj programu antywirusowego do skanowania plików otrzymywanych od innych osób, czy to przez Skype, czy w inny sposób. Program antywirusowy powinien działać na Twoim komputerze przez cały czas i nie zapomnij o regularnej aktualizacji antywirusowe bazy danych.
  • Użyj osobistej zapory sieciowej.
  • Skonfiguruj swój komputer, aby otrzymywać regularnie najnowsze aktualizacje systemy zabezpieczeń i poprawki do nich system operacyjny, takie jak Microsoft Windows lub AppleMac OS X, a także dla aplikacji takich jak Adobe Flasha,Microsoftu Internet Explorera Lub Mozilla Firefox.
  • Uważaj na strony internetowe, które odwiedzasz i z których pobierasz treści. Staraj się zawsze korzystać z oficjalnej strony odpowiednich programów.

Więcej informacji na temat zachowania bezpieczeństwa w Internecie można znaleźć na stronach internetowych InSafe i Get Safe Online.
(Skype nie ponosi odpowiedzialności za zawartość witryn stron trzecich.)

Stale udoskonalamy Skype'a, zwiększając jego jakość, niezawodność i bezpieczeństwo. Jak zaktualizować Skype'a do .

Uważaj na e-maile rzekomo pochodzące od Skype'a i informujące o aktualizacji zabezpieczeń — nigdy nie wysyłamy takich e-maili.

Aby pobrać Skype, powinieneś używać wyłącznie https://www.skype.com (lub Sklep z aplikacjami Przechowuj dalej platforma mobilna), ponieważ Skype nie jest rozpowszechniany za pośrednictwem innych witryn.

Przed przesłaniem informacji o swoim karta kredytowa do witryn internetowych oferujących odsprzedaż produktów Skype, upewnij się, że dana witryna lub sprzedawca cieszy się dobrą opinią.

Phishing to próba przejęcia danych przez złośliwą osobę trzecią ważna informacja takie jak nazwa użytkownika, hasło lub dane karty kredytowej, podszywanie się pod zaufaną organizację lub witrynę internetową.

Mogą na przykład wysłać Ci wiadomość e-mail rzekomo pochodzącą ze Skype, w której zostaniesz poproszony o skorzystanie z łącza umożliwiającego zalogowanie się na swoje konto. Ten link może prowadzić do fałszywej witryny internetowej, która wygląda i działa dokładnie tak samo jak witryna Skype, ale wprowadzone tam dane osobowe mogą zostać zapisane lub skradzione, a następnie wykorzystane przez osoby atakujące.

Najlepszą obroną przed phishingiem jest czujność. Chociaż spam i inne filtry stają się coraz skuteczniejsze, mogą przeoczyć niektóre wiadomości phishingowe. Zwiększając świadomość technik phishingu i sposobów ich zwalczania, można zapobiec takim próbom za pomocą prostych środków.

Zwróć szczególną uwagę na wiadomości, które są szczególnie pilne, np. „Naruszono bezpieczeństwo Twojego konta. Kliknij tutaj, aby uzyskać szczegółowe informacje” lub wiadomości pilne, np. „Potwierdź informacje o koncie”. Jeżeli otrzymasz wiadomość z prośbą o wykonanie jakiejś akcji na Twoim koncie, nie klikaj w zawarte w niej linki. Zamiast tego wpisz „skype.com” w przeglądarce i przejdź do swojego konta bezpośrednio ze strony Skype.

Jeśli otrzymasz wiadomość z załącznikiem, który rzekomo pochodzi ze Skype, nie otwieraj tego załącznika.

Jeśli trafisz na stronę internetową za pośrednictwem łącza lub innego mechanizmu przekierowania, upewnij się, że adres URL witryny to skype.com i nie zawiera innych znaków ani słów. Na przykład nie powinieneś ufać witrynom notskype.com i skype1.com.

Jeśli uważasz, że Twoje dane uwierzytelniające stały się znane innym, zmień hasło tak szybko, jak to możliwe.

Złośliwy kod przedostaje się do witryny w wyniku zaniedbania lub złośliwych zamiarów. Cele złośliwego kodu są różne, ale zasadniczo powoduje on szkody lub zakłóca działanie normalna operacja strona. Aby usunąć złośliwy kod na WordPressie, musisz go najpierw znaleźć.

Co to jest złośliwy kod w witrynie WordPress?

Przez wygląd najczęściej złośliwy kod to zbiór liter i symboli alfabetu łacińskiego. W rzeczywistości jest to zaszyfrowany kod, za pomocą którego wykonywana jest ta lub inna akcja. Działania mogą być bardzo różne, na przykład Twoje nowe posty są natychmiast publikowane w zasobie strony trzeciej. Zasadniczo jest to kradzież Twoich treści. Kody mają także inne „zadania”, na przykład umieszczanie linków wychodzących na stronach witryny. Zadania mogą być najbardziej wyrafinowane, ale jedno jest jasne: złośliwe kody należy wyszukiwać i usuwać.

W jaki sposób złośliwe kody przedostają się na stronę internetową?

Istnieje również wiele luk umożliwiających przedostanie się kodów do witryny.

  • Najczęściej są to motywy i wtyczki pobierane z „lewych” zasobów. Chociaż taka penetracja jest typowa dla tak zwanych łączy szyfrowanych. Jawny kod nie trafia do witryny.
  • Najbardziej niebezpieczna jest penetracja wirusa podczas włamania do witryny. Z reguły włamanie do witryny pozwala nie tylko umieścić „jednorazowy kod”, ale także zainstalować kod z elementami złośliwego oprogramowania ( złośliwe oprogramowanie). Na przykład znajdujesz kod i usuwasz go, ale po pewnym czasie zostaje on przywrócony. Istnieje ponownie wiele opcji.

    • Od razu zaznaczę, że walka z takimi wirusami jest trudna, ale ręczne usuwanie wymaga wiedzy. Istnieją trzy rozwiązania tego problemu: pierwszym rozwiązaniem jest użycie wtyczek antywirusowych, na przykład wtyczki o nazwie BulletProof Security.

    To rozwiązanie daje dobre wyniki ale to wymaga czasu, choć trochę. Jest ich więcej radykalne rozwiązanie Aby pozbyć się złośliwych kodów, w tym także skomplikowanych wirusów, należy przywrócić witrynę z wcześniej utworzonych kopii zapasowych witryny.

    Ponieważ dobry webmaster robi to okresowo, możesz bez problemu przywrócić wersję niezainfekowaną. Trzecie rozwiązanie jest dla bogatych i leniwych, wystarczy zgłosić się do specjalistycznego „biura” lub do indywidualnego specjalisty.

    Jak szukać złośliwego kodu w WordPress

    Ważne jest, aby zrozumieć, że złośliwy kod na WordPressie może znajdować się w dowolnym pliku w witrynie, a niekoniecznie w temat roboczy. Może wymyślić wtyczkę, motyw lub „domowy” kod pobrany z Internetu. Istnieje kilka sposobów znalezienia złośliwego kodu.

    Metoda 1: Ręcznie. Przewijasz wszystkie pliki witryny i porównujesz je z plikami niezainfekowanej kopii zapasowej. Jeśli znajdziesz kod innej osoby, usuń go.

    Metoda 2. Korzystanie z wtyczek Bezpieczeństwo WordPressa. Na przykład, . Ta wtyczka ma świetną funkcję, skanuje pliki witryny pod kątem obecności kodu innych osób i wtyczka doskonale radzi sobie z tym zadaniem.

    Metoda 3. Jeśli masz rozsądne wsparcie hostingowe i wydaje Ci się, że na stronie jest ktoś inny, poproś go o przeskanowanie Twojej witryny swoim programem antywirusowym. Ich raport będzie zawierał listę wszystkich zainfekowanych plików. Następnie otwórz te pliki w Edytor tekstu i usuń złośliwy kod.

    Metoda 4. Jeśli możesz pracować z dostępem SSH do katalogu witryny, to śmiało, ma ona własną kuchnię.

    Ważny! Niezależnie od tego, w jaki sposób będziesz szukać złośliwego kodu, przed wyszukaniem, a następnie usunięciem kodu zamknij dostęp do plików witryny (włącz tryb konserwacji). Pamiętaj o kodach, które same się przywracają w przypadku ich usunięcia.

    Wyszukaj złośliwe kody za pomocą funkcji eval

    W PHP istnieje taka funkcja o nazwie eval. Pozwala na wykonanie dowolnego kodu na swojej linii. Co więcej, kod można zaszyfrować. To właśnie ze względu na kodowanie złośliwy kod wygląda jak zbiór liter i symboli. Dwa popularne kodowania to:

  • Baza64;
  • Rot13.

    • Odpowiednio w tych kodowaniach funkcja eval wygląda następująco:

    • eval(base64_decode(...))
    • eval (str_rot13 (...)) //w cudzysłowie wewnętrznym, długimi, niejasnymi zestawami liter i symboli..

    Algorytm wyszukiwania złośliwego kodu za pomocą funkcji eval jest następujący (pracujemy z panelu administracyjnego):

    • przejdź do edytora strony (Wygląd → Edytor).
    • skopiuj plik funkcje.php.
    • otwórz go w edytorze tekstu (na przykład Notepad++) i wyszukaj słowo: eval.
    • Jeśli go znajdziesz, nie spiesz się, aby cokolwiek usunąć. Musisz zrozumieć, o co „prosi” ta funkcja. Aby to zrozumieć, należy rozszyfrować kod. Do dekodowania jest narzędzia internetowe zwane dekoderami.
    Dekodery/kodery

    Dekodery działają po prostu. Kopiujesz kod, który chcesz odszyfrować, wklejasz go w pole dekodera i dekodujesz.

    W chwili pisania tego tekstu nie znalazłem ani jednego zaszyfrowanego kodu w WordPressie. Znalazłem kod na stronie Joomla. W zasadzie nie ma różnicy w rozumieniu dekodowania. Spójrzmy na zdjęcie.

    Jak widać na zdjęciu funkcja eval po odkodowaniu nie wyświetliła strasznego kodu zagrażającego bezpieczeństwu strony, lecz zaszyfrowany link autorski od autora szablonu. Można go również usunąć, ale powróci po aktualizacji szablonu, jeśli nie użyjesz .


    Prawda jest taka, że ​​prędzej czy później witryna może zostać zhakowana. Po pomyślnym wykorzystaniu luki haker próbuje zdobyć przyczółek w witrynie, umieszczając hakerskie powłoki internetowe i programy pobierające w katalogach systemowych oraz wprowadzając backdoory do kodu skryptu i bazy danych CMS.

    Do wykrywania złośliwego kodu w plikach i bazach danych służą specjalistyczne rozwiązania - programy antywirusowe i skanery do hostingu. Nie ma ich wiele; popularne to AI-BOLIT, MalDet (Linux Malware Detector) i ClamAv.

    Skanery pomagają wykrywać załadowane powłoki internetowe, backdoory, strony phishingowe, wiadomości spamowe i inne typy złośliwe skrypty– wszystko, co wiedzą i zostało wcześniej dodane do bazy sygnatur złośliwego kodu. Niektóre skanery, takie jak AI-BOLIT, posiadają zestaw reguł heurystycznych, które mogą wykryć pliki zawierające podejrzany kod często używany w złośliwych skryptach lub pliki o podejrzanych atrybutach, które mogą zostać pobrane przez hakerów. Ale niestety, nawet jeśli na hostingu używanych jest kilka skanerów, mogą zdarzyć się sytuacje, w których niektóre skrypty hakerów pozostaną niewykryte, co w rzeczywistości oznacza, że ​​atakujący pozostaje z „tylnymi drzwiami” i może zhakować witrynę i uzyskać nad nią pełną kontrolę w dowolnym momencie.

    Współczesne skrypty złośliwego oprogramowania i hakerów znacznie różnią się od tych sprzed 4-5 lat. Obecnie twórcy złośliwego kodu łączą zaciemnianie, szyfrowanie, rozkład, zewnętrzne ładowanie złośliwego kodu i inne sztuczki, aby oszukać oprogramowanie antywirusowe. Dlatego prawdopodobieństwo przeoczenia nowego złośliwego oprogramowania jest znacznie wyższe niż wcześniej.

    Co można zrobić w w tym przypadku dla skuteczniejszego wykrywania wirusów na stronie i skryptów hakerskich na hostingu? Konieczne jest zastosowanie zintegrowanego podejścia: wstępnego automatycznego skanowania i dalszej analizy ręcznej. W tym artykule porozmawiamy o możliwościach wykrywania złośliwego kodu bez użycia skanerów.

    Na początek przyjrzyjmy się, czego dokładnie powinieneś szukać podczas hackowania.

  • Skrypty hakerskie.
    Najczęściej podczas hakowania pobierane są pliki, które obejmują powłoki internetowe, backdoory, „uploadery”, skrypty do wysyłki spamu, strony phishingowe + moduły obsługi formularzy, drzwi i pliki znaczników hakowania (zdjęcia z logo grupy hakerów, pliki tekstowe z „wiadomością” od hakerów itp.)
  • Wstrzyknięcia (wstrzyknięcia kodu) do istniejących plików .
    Drugim najpopularniejszym rodzajem hostingu złośliwego i hakerskiego kodu są zastrzyki. W istniejące pliki website.htaccess może wstrzykiwać przekierowania mobilne i wyszukiwania, wprowadzać backdoory do skryptów php/perl, osadzać wirusowe fragmenty JavaScript lub przekierowania w szablonach .js i .html zasoby stron trzecich. Wstrzyknięcia możliwe są również w plikach multimedialnych, np. .jpg lub. Często złośliwy kod składa się z kilku komponentów: sam złośliwy kod jest przechowywany w nagłówku exif plik jpg, ale jest wykonywany przy użyciu małego skryptu sterującego, którego kod nie wygląda podejrzanie dla skanera.
  • Zastrzyki baz danych.
    Baza danych jest trzecim celem hakera. Tutaj możliwe są wstawki statyczne, , , , które przekierowują odwiedzających do zasobów stron trzecich, „szpiegują” je lub infekują komputer/urządzenie mobilne odwiedzającego w wyniku ataku typu drive-by.
    Ponadto w wielu nowoczesnych CMS-ach (IPB, vBulletin, modx itp.) silniki szablonów umożliwiają wykonanie kodu PHP, a same szablony są przechowywane w bazie danych, dzięki czemu kod PHP powłok internetowych i backdoorów można budować bezpośrednio do bazy danych.
  • Zastrzyki w usługach buforowania.
    W wyniku nieprawidłowej lub niebezpiecznej konfiguracji usług buforowania, np. memcached, możliwe są wtryski do buforowanych danych „w locie”. W niektórych przypadkach haker może wstrzyknąć złośliwy kod na strony witryny bez bezpośredniego hakowania witryny.
  • Wstrzyknięcia/elementy inicjowane w komponentach systemu serwerowego.
    Jeśli haker uzyskał uprzywilejowany (root) dostęp do serwera, może zastąpić elementy serwera WWW lub serwera buforującego zainfekowanymi. Taki serwer WWW będzie z jednej strony zapewniał kontrolę nad serwerem za pomocą poleceń sterujących, a z drugiej strony od czasu do czasu wprowadzał dynamiczne przekierowania i złośliwy kod na strony witryny. Podobnie jak w przypadku wstrzyknięcia do usługi buforowania, administrator witryny najprawdopodobniej nie będzie w stanie wykryć faktu, że witryna została zhakowana, ponieważ wszystkie pliki i baza danych będą oryginalne. Ta opcja jest najtrudniejsza w leczeniu.

    • Załóżmy więc, że sprawdziłeś już pliki na hostingu i zrzut bazy danych skanerami, ale nic nie znalazły, a wirus nadal jest na stronie lub przekierowanie mobilne nadal działa podczas otwierania stron. Jak szukać dalej?

    Wyszukiwanie ręczne

    W systemie Unix trudno znaleźć bardziej wartościową parę poleceń do wyszukiwania plików i fragmentów niż find / grep.

    znajdować . -name „*.ph*” -mtime -7

    znajdzie wszystkie pliki, które zostały zmienione w ciągu ostatniego tygodnia. Czasami hakerzy „przekręcają” datę modyfikacji skryptów, aby nie wykryć nowych skryptów. Następnie możesz wyszukać pliki php/phtml, których atrybuty uległy zmianie

    znajdować . -name „*.ph*” -сtime -7

    Jeśli chcesz znaleźć zmiany w określonym przedziale czasu, możesz użyć tego samego wyszukiwania

    znajdować . -name „*.ph*” -newermt 25.01.2015 ! -newermt 30.01.2015 -ls

    Do wyszukiwania plików niezbędny jest grep. Może rekursywnie przeszukiwać pliki w poszukiwaniu określonego fragmentu

    grep -ril „stummann.net/steffen/google-analytics/jquery-1.6.5.min.js” *

    Podczas hakowania serwera warto przeanalizować pliki, które mają ustawioną flagę guid/suid

    znajdź / -perm -4000 -o -perm -2000

    Aby określić, które skrypty są uruchomione ten moment i załaduj Procesor hostingowy, możesz zadzwonić

    lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ‘ ( if(!str) ( str=$1 ) else ( str=str”,”$1))END(print str)’` | grep vhosty | grepphp

    Używamy naszych mózgów i rąk do analizowania plików na hostingu
  • Przechodzimy do katalogów upload, cache, tmp, Backup, Log, Images, do których coś jest zapisywane przez skrypty lub przesyłane przez użytkowników i skanujemy zawartość w poszukiwaniu nowych plików z podejrzanymi rozszerzeniami. Na przykład dla Joomla możesz sprawdzić pliki .php w katalogu Images:find ./images -name „*.ph*”. Najprawdopodobniej, jeśli coś zostanie znalezione, będzie to złośliwe oprogramowanie.
    W przypadku WordPressa warto sprawdzić katalog wp-content/uploads, katalogi motywów kopii zapasowych i pamięci podręcznej pod kątem skryptów.
  • Szukam plików o dziwnych nazwach
    Na przykład php, fyi.php, n2fd2.php. Można wyszukiwać pliki
    • poprzez niestandardowe kombinacje znaków,
    • obecność cyfr 3,4,5,6,7,8,9 w nazwach plików
  • Poszukujemy plików o nietypowych rozszerzeniach
    Załóżmy, że masz stronę internetową na WordPressie lub dla nich pliki z rozszerzeniami .py, .pl, .cgi, .so, .c, .phtml, .php3 nie będą całkiem zwyczajne. Jeśli zostaną wykryte jakieś skrypty i pliki z tymi rozszerzeniami, najprawdopodobniej będą to narzędzia hakerskie. Odsetek fałszywych wykryć jest możliwy, ale nie jest wysoki.
  • Poszukujemy plików o niestandardowych atrybutach lub dacie utworzenia
    Podejrzenie mogą budzić pliki o atrybutach różniących się od istniejących na serwerze. Na przykład wszystkie skrypty .php zostały przesłane przez ftp/sftp i mają użytkownika user, a niektóre zostały utworzone przez użytkownika www-data. Warto sprawdzić te najnowsze. Lub jeśli data utworzenia pliku skryptu przed datą tworzenie stron internetowych.
    Aby przyspieszyć wyszukiwanie plików o podejrzanych atrybutach, wygodnie jest użyć polecenia find w systemie Unix.
  • Szukamy drzwi przy duża liczba pliki .html lub .php
    Jeśli w katalogu znajduje się kilka tysięcy plików .php lub .html, najprawdopodobniej są to drzwi.
    • Logi pomocne

    logi serwera WWW, usługi pocztowe i FTP można wykorzystać do wykrywania złośliwych i hakerskich skryptów.

    • Korelacja daty i godziny wysłania listu (którą można znaleźć w logu serwera pocztowego lub w nagłówku usługi listu spamowego) z żądaniami z access_log pomaga zidentyfikować metodę wysyłania spamu lub znaleźć skrypt nadawcy spamu.
    • Analiza dziennika transferu FTP xferlog pozwala zrozumieć, które pliki zostały pobrane w momencie włamania, które zostały zmienione i przez kogo.
    • W poprawnie skonfigurowanym dzienniku serwera pocztowego lub w nagłówku usługi wiadomości spamowej, gdy prawidłowe ustawienie PHP będzie nazwą lub Pełna ścieżka do skryptu wysyłającego, co pomaga określić źródło spamu.
    • Korzystając z logów proaktywnej ochrony współczesnego CMS-a i wtyczek, możesz określić, jakie ataki zostały przeprowadzone na stronie i czy CMS był w stanie się im oprzeć.
    • Za pomocą access_log i error_log możesz analizować działania hakera, jeśli znasz nazwy skryptów, które wywołał, adres IP lub Agent użytkownika. W ostateczności można obejrzeć Żądania POST w dniu, w którym witryna została zhakowana i zainfekowana. Często analiza pozwala znaleźć inne skrypty hakerskie, które zostały pobrane lub znajdowały się już na serwerze w momencie włamania.
    Kontrola integralności

    O wiele łatwiej jest przeanalizować włamanie i poszukać złośliwych skryptów na stronie internetowej, jeśli wcześniej zadbasz o jej bezpieczeństwo. Procedura sprawdzania integralności pomaga w odpowiednim czasie wykryć zmiany w hostingu i ustalić fakt włamania. Jeden z najprostszych i skuteczne sposoby– objąć witrynę systemem kontroli wersji (git, svn, cvs). Jeśli poprawnie skonfigurujesz .gitignore, proces kontroli zmian wygląda jak wywołanie polecenia git status, a wyszukiwanie złośliwych skryptów i zmienionych plików wygląda jak git diff.

    Zawsze będziesz mieć kopia zapasowa pliki, do których możesz „przywrócić” witrynę w ciągu kilku sekund. Administratorzy serwerów i zaawansowani webmasterzy mogą używać mechanizmów inotify, tripwire, audytd i innych do śledzenia dostępu do plików i katalogów oraz monitorowania zmian w systemie plików.

    Niestety nie zawsze jest możliwe skonfigurowanie systemu kontroli wersji lub usługi stron trzecich na serwerze. W przypadku hostingu współdzielonego nie będzie możliwości zainstalowania systemu kontroli wersji oraz usługi systemowe. Ale to nie ma znaczenia, jest mnóstwo gotowe rozwiązania dla CMS-a. Na stronie możesz zainstalować wtyczkę lub osobny skrypt, który będzie śledził zmiany w plikach. Niektóre CMS już wdrażają skuteczne monitorowanie zmian i mechanizm sprawdzania integralności (na przykład Bitrix, DLE). W ostateczności, jeśli hosting ma ssh, możesz utworzyć rzutowanie referencyjne system plików zespół

    ls -lahR > plik_oryginalny.txt

    a jeśli pojawią się problemy, utwórz nową migawkę w innym pliku, a następnie porównaj je w WinDiff, AraxisMerge Tool lub BeyondCompare.

    Epilog

    W większości przypadków twórcy oprogramowania antywirusowego i skanery nie nadążają za twórcami złośliwego kodu, dlatego podczas diagnozowania i leczenia witryn nie można polegać wyłącznie na automatycznych rozwiązania programowe i skrypty. Korzystając z podejścia heurystycznego, bogatych narzędzi systemu operacyjnego i możliwości CMS, można znaleźć złośliwy kod, którego nie wykryłyby programy antywirusowe i skanery. Stosowanie analiza ręczna sprawia, że ​​proces leczenia strony internetowej jest lepszy i wydajniejszy.