Zlonamjerne skripte. Tražimo i uklanjamo zlonamjerni kod na WordPress-u. Neutralizacija serverskih skripti

WordPress je jedan od najpopularnijih sistema za upravljanje sadržajem, koji se koristi u razne svrhe, od bloganja do e-trgovine. Postoji širok izbor WordPress dodataka i tema. Dešava se da neka od ovih ekstenzija padnu u ruke webmastera nakon što je neki napadač radio na njima.

Za svoju korist, mogao bi u njima ostaviti reklamne veze ili kod pomoću kojih će upravljati vašom web lokacijom. Mnogi korisnici WordPress-a nemaju puno iskustva u web programiranju i ne znaju kako se nositi s ovom situacijom.

Za njih sam pregledao devet najefikasnijih alata za otkrivanje zlonamjernih promjena u kodu pokrenute web stranice ili instaliranih dodataka.

1. Provjera autentičnosti teme (TAC)

Theme Authenticity Checker (TAC) – WordPress dodatak koji skenira sve uspostavljena tema za sumnjive elemente kao što su nevidljive veze ili Base64 šifrirani kod.

Nakon što je otkrio takve elemente, TAC ih prijavljuje WordPress administratoru, omogućavajući mu da samostalno analizira i, ako je potrebno, ispravi datoteke izvorne teme:

2. Exploit Scanner

Exploit Scanner skenira cijeli izvorni kod vaše web stranice i sadržaj WordPress baze podataka u potrazi za upitnim uključivanjem. Baš kao i TAC, ovaj dodatak ne sprječava napade niti se automatski bori protiv njihovih posljedica.

Administratoru stranice prikazuje samo otkrivene simptome infekcije. Ako želite da obrišete zlonamjernog koda, morat ćete to učiniti ručno:

3. Sucuri Security

Sucuri je dobro poznato WordPress sigurnosno rješenje. Sucuri Security dodatak nadzire datoteke otpremljene na WordPress stranicu, održava vlastitu listu poznatih prijetnji, a također vam omogućava da udaljeno skenirate stranicu pomoću besplatnog Sucuri SiteCheck skenera. Iza pretplatu Možete dodatno ojačati zaštitu vaše stranice instaliranjem moćnog Sucuri Website Firewall:

4. Anti-Malware

Anti-Malware je dodatak za WordPress koji može pronaći i ukloniti trojanske skripte, backdoor i drugi zlonamjerni kod.

Postavke skeniranja i brisanja se mogu prilagoditi. Ovaj dodatak se može koristiti nakon registracije besplatno na gotmls.

Dodatak redovno pristupa web stranici proizvođača, prenosi statistiku otkrivanja zlonamjernog softvera i prima ažuriranja. Stoga, ako ne želite da instalirate dodatke na svoju web lokaciju koji prate njen rad, izbjegavajte korištenje Anti-Malwarea:

5. Zaštita WP Antivirus lokacije

WP Antivirus Site Protection je dodatak koji skenira sve datoteke učitane na web lokaciju, uključujući WordPress teme.

Dodatak ima vlastitu bazu podataka koja se automatski ažurira putem interneta. Može automatski ukloniti prijetnje, o tome obavijestiti administratora stranice e-mail I mnogo više.

Dodatak je instaliran i funkcionira besplatno, ali ima nekoliko plaćenih dodataka na koje vrijedi obratiti pažnju:

6. Antivirus za WordPress

AntiVirus za WordPress je dodatak koji se lako koristi i koji može redovno skenirati vašu stranicu i obavještavati vas o sigurnosnim problemima putem e-pošte. Dodatak ima prilagođenu bijelu listu i druge funkcije:

7. Quterra Web Malware Scanner

Quterrin skener provjerava web lokaciju na ranjivosti, ubrizgavanje koda treće strane, viruse, backdoor itd. Skener ima tako zanimljive karakteristike kao što su heurističko skeniranje i detekcija vanjskih veza.

Osnovne funkcije skenera su besplatne, dok će vas neke dodatne usluge koštati 60 USD godišnje:

8. Wordfence

Ako tražite sveobuhvatno rješenje za sigurnosne probleme vaše web stranice, ne tražite dalje od Wordfence-a.

Ovaj dodatak pruža stalnu zaštitu WordPress-a od poznatih vrsta napada, dvofaktorsku autentifikaciju, podršku za “crnu listu” IP adresa računara i mreža koje koriste hakeri i spameri, te skeniranje stranice u potrazi za poznatim backdoorima.

Ovaj dodatak je besplatan u svojoj osnovnoj verziji, ali ima i premium funkcionalnost, za koju proizvođač traži skromnu pretplatu:

9.Wemahu

Wemahu prati promjene koda vaše stranice i traži zlonamjerni kod.

Baza podataka u kojoj je otkriven zlonamjerni softver nadopunjuje se metodom crowdsourcinga: korisnici je sami popunjavaju slanjem rezultata skeniranja zaraženih WordPress instalacija na web stranicu autora dodatka. Dodatak također podržava slanje izvještaja putem e-pošte i druge korisne funkcije.

Mora se raditi zajedno. Ako eliminišete izvorni uzrok hakovanja (na primjer, ranjivost u CMS ekstenziji), ali ne uklonite sve zlonamjerne datoteke, napadač će moći ponovo dobiti pristup web stranici koristeći jednu od svojih skripti. Ako uklonite sve preuzete zlonamjerne skripte, ali ne eliminišete uzrok hakovanja, napadač će moći ponovo hakovati sajt i ponovo preuzeti skripte na njega.

Stručnjak s odgovarajućim znanjem i iskustvom trebao bi obaviti posao na uklanjanju zlonamjernih skripti i analizirati uzroke hakiranja:

• Da biste uklonili zlonamerne skripte, potrebno je poznavanje PHP programskog jezika, kao i poznavanje „unutrašnjice“ popularnog CMS-a (Joomla, WordPress, itd.) i ekstenzija za njih. Ovo znanje je potrebno da bi se skripte razlikovale direktno od CMS-a i njegovih ekstenzija od stranih datoteka, kao i da bi se moglo nedvosmisleno odrediti koje radnje izvršavaju kada naiđu na sumnjive skripte.
• Za analizu uzroka hakovanja potrebno je iskustvo administracije servera. Ovo je neophodno da se analizira stanje fajlova na nalogu, vreme kada su promenjeni, kao i da se ti podaci uporede sa serverskim logovima kako bi se utvrdilo koje su radnje napadača dovele do hakovanja sajtova.

Stoga, ako je vaša stranica hakovana, preporučuje se, kako ne bi došlo do ponovljenih hakova, da ne radite sami, već da se obratite stručnjaku koji će izvršiti potrebnu dijagnostiku i preporučiti ili izvršiti neophodne radnje za rješavanje problema i ko može garantirati kvalitet dobivenog rezultata.

Međutim, postoji niz mjera koje u nekim slučajevima pomažu da se uspostavi siguran rad stranice bez posebnog znanja. Ograničenje metode u nastavku je da je za nastavak rada stranice potrebna njegova rezervna kopija napravljena prije hakovanja. Ako datum kršenja nije poznat, možete isprobati ovu metodu koristeći najstariju dostupnu sigurnosnu kopiju. Drugo ograničenje, kao posljedica prvog, je da se nakon vraćanja stranice na web-mjesto dodaju podaci nakon kreiranja sigurnosne kopije za vraćanje (na primjer, novi članci, slike ili dokumenti). Ako trebate vratiti stranicu uz zadržavanje novih podataka, trebate kontaktirati stručnjaka.

Ove mjere nam ne dozvoljavaju da utvrdimo uzrok hakovanja sajta, ali svaka od njih ima za cilj eliminaciju jednog od potencijalnih uzroka penetracije. Pošto je tačan razlog hakovanja nepoznat, potrebno je izvršiti sve. Radnje su raspoređene u takvom redoslijedu da se prvo potpuno eliminira mogućnost da napadač nastavi svoje aktivnosti na stranici ili hosting računu u trenutno, a zatim spriječiti napadača da uđe na stranicu u budućnosti.

Koraci u nastavku pretpostavljaju da imate samo jednu web stranicu na svom hosting računu. Ako postoji nekoliko lokacija na nalogu, onda bi i one mogle biti hakovane, a sajt bi mogao biti hakovan preko njih. Potrebno je ili prenijeti lokaciju s kojom se izvode restauratorski radovi na poseban račun ili izvršiti restauraciju za sve stranice koje se nalaze na računu u isto vrijeme.

Redoslijed radnji je važan, pa ih je potrebno izvoditi tačno onim redoslijedom kojim se nalaze ispod.

Odmah nakon otkrivanja da je web stranica hakovana, potrebno je u potpunosti blokirati pristup posjetitelju. To će, prvo, spriječiti napadača da izvrši zlonamjerne aktivnosti na web mjestu, a drugo, neće mu dozvoliti da ometa radove na obnovi. Ovaj korak je vrlo važan, jer se uklanjanje zlonamjernih skripti i otklanjanje uzroka hakovanja ne dešava preko noći – u pravilu traje nekoliko sati. Ako stranica ostane dostupna izvana, napadač će moći ponovo učitati skripte u dio stranice koji je već obrisan. U ovom slučaju, napadač može koristiti različite IP adrese za povezivanje, tako da uskraćivanje pristupa samo listi IP adresa neće raditi. Kako bi se osiguralo da je stranica očišćena od otkrivenih zlonamjernih skripti, potrebno je u potpunosti blokirati mogućnost napadača da pristupi stranici, što se može učiniti samo potpunim blokiranjem stranice za sve posjetitelje. Obratite se službi tehničke podrške hostinga koji hostuje vašu web lokaciju kako biste je blokirali.

Nakon blokiranja sajta, potrebno je da proverite računare sa kojih ste radili sa sajtom sa modernim antivirusom sa ažuriranim bazama virusa. Ako je stranica hakirana krađom lozinki računa pomoću virusa, morate se pobrinuti da se daljnji rad s hakovanom web lokacijom obavlja s računala na kojem nema virusa, inače nakon promjene pristupnih lozinki oni mogu biti ponovo ukradeni.

Nakon blokiranja sajta i provere virusa, potrebno je da promenite sve pristupne lozinke svom nalogu: pristup preko FTP-a, preko SSH-a, kao i pristup kontrolnoj tabli hostinga. Ako je napadač pristupio datotekama naloga koristeći jedan od ovih metoda, kada se lozinke promijene, više neće moći to učiniti.

Nakon promjene lozinki, morate uništiti sve serverske procese koji se pokreću pod računom na kojem se stranica održava. Procesi koje je pokrenuo napadač u pozadini, a da se ne unište, moći će ponovo postaviti zlonamjerne skripte na stranicu nakon što se izvrše restauracije. Kako bi se to spriječilo, svi procesi koji su pokrenuti prije blokiranja stranice moraju biti uništeni. Stranica bi već trebala biti blokirana u ovom trenutku tako da napadač ne može pokrenuti nove procese pristupom jednoj od njegovih skripti na stranici. Da biste uništili procese koji se odvijaju na vašem nalogu, kontaktirajte službu tehničke podrške hostinga koji hostuje vašu stranicu.

Sada je nemoguće prodrijeti na mjesto izvana i možete ga početi obnavljati.

Prije daljnjih radnji, izbrišite sve postojeće datoteke web lokacije kako biste bili sigurni da nema zlonamjernih skripti ili CMS skripti u koje je napadač ubacio zlonamjerni kod. Ovaj korak je također važan jer se prilikom vraćanja stranice iz sigurnosne kopije datoteke koje su postojale prije restauracije ne brišu uvijek. Ako, nakon vraćanja iz rezervne kopije, stare zlonamjerne skripte ostanu na stranici, napadač će moći ponovo ući na stranicu. Ovo možete izbjeći brisanjem svih datoteka web lokacije prije izvođenja oporavka.

Nakon brisanja svih datoteka web lokacije, vratite stranicu iz sigurnosne kopije napravljene prije nego što je hakovana. Često je dovoljno vratiti samo datoteke web-mjesta, ali ako se nakon njihovog vraćanja uoče greške u radu stranice, potrebno je potpuno vratiti stranicu: i datoteke i bazu podataka.

Nakon vraćanja iz rezervne kopije, ažurirajte svoj sistem za upravljanje sadržajem (CMS) i proširenja na najnovije verzije. Ovo je neophodno kako bi se isključilo prisustvo poznatih ranjivosti na sajtu preko kojih bi se moglo hakovati. U pravilu, ažuriranje se može izvršiti preko odjeljka administracije CMS-a. Za dobijanje puna uputstva Da biste ažurirali CMS, morate otići na web stranicu programera sistema. Važno je ažurirati ne samo sam CMS, već i sve njegove ekstenzije, budući da se hakiranje često dešava kroz ranjivost prisutnu u jednom od CMS ekstenzija (na primjer, dodaci, teme, widgeti, itd.). U ovom trenutku još uvijek je nemoguće deblokirati stranicu za posjetioce, jer je još uvijek ranjiva. Da biste pristupili vašoj web stranici radi ažuriranja, kontaktirajte tehničku podršku hostinga koji hostuje vašu stranicu i zatražite da vam se dozvoli pristup stranici samo sa IP adrese vašeg računara. Svoju IP adresu možete saznati, na primjer, na inet.yandex.ru.

Nakon ažuriranja sistema za upravljanje web lokacijom i njegovih ekstenzija, idite na odjeljak administracije stranice i promijenite lozinku za administratorski pristup. Uvjerite se da među korisnicima stranice nema drugih korisnika s administrativnim privilegijama (mogao ih je dodati napadač), a ako ih pronađe, obrišite ih.

Sada kada je stranica vraćena iz sigurnosne kopije i ne sadrži zlonamjerne skripte, CMS i njegove ekstenzije su ažurirani na najnovije verzije koje ne sadrže ranjivosti, a lozinke za pristup stranici i hosting računu su promijenjene, vi može ponovo otvoriti stranicu za posjetitelje.

Sve gore navedene radnje moraju se izvršiti u skladu sa navedenim redoslijedom, bez propusta ili ikakvih promjena. Ako se radnje izvedu neprecizno, zlonamjerne skripte ili ranjivosti mogu ostati na stranici, zbog čega je napadač nakon kratkog vremena može ponovo hakirati. Ako iz nekog razloga nije moguće izvršiti gore navedene korake u obliku u kojem su naznačeni, obratite se stručnjaku da izvrši rad na obnavljanju stranice nakon hakovanja.

Da biste zaštitili svoju web stranicu od ponovljenih hakova u budućnosti, morate se pridržavati sljedećih preporuka:

Pratite ažuriranja CMS-a i ekstenzija za njega na web stranicama programera i odmah ih ažurirajte na najnovije verzije. Ako komentar o ažuriranju navodi da popravlja ranjivost, instalirajte ažuriranje što je prije moguće.

Radite sa sajtom i hosting nalogom samo sa računara koji su zaštićeni od virusa savremenim antivirusima sa stalno ažuriranim bazama virusa.

Koristite složene lozinke tako da se ne mogu pogoditi pretraživanjem rječnika.

Nemojte spremati FTP i SSH lozinke u programe za povezivanje sa sajtom i nemojte spremati pristupnu lozinku u administrativnu oblast sajta i kontrolnu tablu hostinga u svom pretraživaču.

S vremena na vrijeme (na primjer, jednom u tri mjeseca), promijenite lozinke za pristup stranici i hosting nalogu.

Ako su na računaru sa kojeg ste radili sa sajtom otkriveni virusi, promenite pristupne lozinke sajtu i nalogu za hostovanje što je pre moguće. Potrebno je promijeniti sve lozinke: pristupne lozinke preko FTP-a, SSH-a, lozinku sa administrativnog panela sajta, kao i lozinku sa kontrolnog panela hostinga.

Ne dajte pristup stranici trećim stranama osim ako niste sigurni da će i oni slijediti ove smjernice.

Zlonamjerni kod dospijeva na web lokaciju zbog nemara ili zlonamjerne namjere. Namjena zlonamjernog koda varira, ali u suštini šteti ili ometa normalan rad web stranice. Da biste uklonili zlonamjerni kod na WordPressu, prvo ga morate pronaći.

Šta je zlonamjerni kod na WordPress stranici?

By izgled, najčešće, zlonamjerni kod je skup slova i simbola latinične abecede. Zapravo, ovo je šifrirani kod kojim se izvršava ova ili ona radnja. Radnje mogu biti vrlo različite, na primjer, vaši novi postovi se odmah objavljuju na resursu treće strane. Ovo je u suštini krađa vašeg sadržaja. Kodovi imaju i druge "zadatke", na primjer, postavljanje odlaznih veza na stranice web stranice. Zadaci mogu biti najsofisticiraniji, ali jedno je jasno: zlonamjerne kodove treba pronaći i ukloniti.

Kako zlonamjerni kodovi dospiju na web stranicu?

Postoje i mnoge rupe u zakonu za kodove za ulazak na stranicu.

Najčešće su to teme i dodaci preuzeti s "lijevih" resursa. Iako je takva penetracija tipična za takozvane šifrirane veze. Eksplicitni kod ne završava na stranici.

Prodor virusa prilikom hakiranja sajta je najopasniji. U pravilu, hakiranje web stranice omogućava vam da postavite ne samo „jednokratni kod“, već i instalirate kod sa elementima zlonamjernog softvera ( malware). Na primjer, pronađete kod i izbrišete ga, ali se nakon nekog vremena vraća. Postoji, opet, mnogo opcija.

Odmah da napomenem da je borba protiv takvih virusa teška, a ručno uklanjanje zahtijeva znanje. Postoje tri rješenja za problem: prvo rješenje je korištenje antivirusnih dodataka, na primjer, dodatak koji se zove BulletProof Security.

Ovo rješenje daje dobre rezultate, ali zahtijeva vrijeme, iako malo. Postoji radikalnije rješenje da se riješite zlonamjernih kodova, uključujući i složene viruse, a to je vraćanje stranice iz prethodno napravljenih rezervnih kopija stranice.

Pošto dobar webmaster to povremeno radi, možete se vratiti na nezaraženu verziju bez ikakvih problema. Treće rješenje je za bogate i lijene, samo kontaktirajte specijaliziranu „kancelariju“ ili pojedinog stručnjaka.

Kako potražiti zlonamjerni kod na WordPressu

Važno je shvatiti da zlonamjerni kod na WordPress-u može biti u bilo kojoj datoteci na stranici, a ne nužno u radnoj temi. Može smisliti dodatak, temu ili "domaći" kod preuzet sa interneta. Postoji nekoliko načina da pokušate pronaći zlonamjerni kod.

Metoda 1: Ručno. Pomičete se kroz sve datoteke web lokacije i upoređujete ih sa datotekama neinficirane sigurnosne kopije. Ako nađete tuđi kod, izbrišite ga.

Metoda 2: Korištenje WordPress sigurnosnih dodataka. Na primjer, . Ovaj dodatak ima odličnu funkciju, skenira fajlove sajta na prisustvo koda drugih ljudi i dodatak se savršeno nosi sa ovim zadatkom.

Metod 3. Ako imate razumnu podršku za hosting, a čini vam se da postoji još neko na stranici, zamolite ih da skeniraju vašu stranicu svojim antivirusom. Njihov izvještaj će navesti sve zaražene datoteke. Zatim otvorite ove fajlove uređivač teksta i ukloniti zlonamjerni kod.

Metoda 4. Ako možete raditi sa SSH pristupom direktoriju stranice, samo naprijed, ima svoju kuhinju.

Bitan! Bez obzira na to kako tražite zlonamjerni kod, prije pretraživanja, a zatim brisanja koda, zatvorite pristup datotekama web mjesta (uključite način održavanja). Zapamtite kodove koji se sami vraćaju kada se izbrišu.

Potražite zlonamjerne kodove koristeći funkciju eval

U PHP-u postoji takva funkcija koja se zove eval. Omogućava vam da izvršite bilo koji kod na njegovoj liniji. Štaviše, kod se može šifrirati. Upravo zbog kodiranja zlonamjerni kod izgleda kao skup slova i simbola. Dva popularna kodiranja su:

Base64;

Rot13.

U skladu s tim, u ovim kodovima funkcija eval izgleda ovako:

• eval(base64_decode(...))
• eval (str_rot13 (...)) //u internim navodnicima, dugi, nejasni skupovi slova i simbola..

Algoritam za traženje zlonamjernog koda pomoću funkcije eval je sljedeći (radimo iz administrativnog panela):

• idite na uređivač stranice (Izgled→Uređivač).
• kopirajte datoteku functions.php.
• otvorite ga u uređivaču teksta (na primjer, Notepad++) i potražite riječ: eval.
• Ako ga pronađete, nemojte žuriti da bilo šta izbrišete. Morate razumjeti šta ova funkcija "traži" da se izvrši. Da bi se ovo razumjelo, kod treba dekodirati. Za dekodiranje postoje online alati koji se nazivaju dekoderi.

Dekoderi/koderi

Dekoderi rade jednostavno. Kopirate kod koji želite da dešifrujete, zalijepite ga u polje dekodera i dekodirate.

U vrijeme pisanja, nisam pronašao niti jedan šifrirani kod pronađen u WordPress-u. Pronašao sam kod sa Joomla web stranice. U principu, nema razlike u razumijevanju dekodiranja. Pogledajmo fotografiju.

Kao što možete vidjeti na fotografiji, funkcija eval nakon dekodiranja nije prikazala užasan kod koji ugrožava sigurnost stranice, već šifrirani link autorskih prava od autora šablona. Također se može ukloniti, ali će se vratiti nakon ažuriranja predloška ako ne koristite .

U zaključku, želio bih napomenuti, kako ne biste dobili virus na web mjestu:

• Zlonamjerni kod na WordPressu često dolazi s temama i dodacima. Stoga nemojte instalirati šablone i dodatke sa „lijevih“, neprovjerenih resursa, a ako jeste, pažljivo ih provjerite da li postoje veze i izvršne funkcije PHP-a. Nakon instaliranja dodataka i tema iz "ilegalnih" resursa, provjerite web stranicu antivirusnim softverom.
• Obavezno pravite periodične sigurnosne kopije i izvodite druge.

1. Raspakujte ga u fasciklu sajta.
2. pratite link your_site/fscure/
3. sve

Šta on može da uradi?

1. Automatsko traženje virusa po potpisima.
2. Potražite niz u datotekama
3. Brisanje datoteka
4. Zakrpi zlonamjerni kod koristeći regularne izraze

Skripta neće obaviti sav posao umjesto vas i zahtijeva minimalno znanje. Preporučljivo je napraviti sigurnosnu kopiju stranice prije rada.

Kako to radi?

Kada se prvi put pokrene, kreira indeks datoteka. Datoteka fscure.lst je u fascikli. Prikazuje listu datoteka koje sadrže potencijalno zlonamjerne potpise. “Potencijalno zlonamjerno” znači da ćete morati odlučiti da li se radi o virusu ili ne. Lista potpisa je konfigurisana u datoteci config.php, konstanta SCAN_SIGN. Sa zadanim postavkama, skripta ne provjerava js datoteke i ne sadrži potpise za njih.

Najčešći problemi

1. ne kreira fscure.lst indeks. Može se desiti ako nema dovoljno prava. Stavite 777 u folder fscure

2. 5xx greška. Najčešće "504 Gateway Time-out". Skripta nema vremena za obradu i ruši se zbog isteka vremena. U ovom slučaju postoji nekoliko načina da se ubrza njegov rad. Brzina prvenstveno zavisi od veličine indeksa. Nalazi se u datoteci fscure.lst. Tipično, fajl do 5MB se može obraditi u 90% slučajeva. Ako nema vremena, možete smanjiti "pohlepu" skripte tako što ćete zabraniti skeniranje *.jpg;*.png;*.css u konfiguraciji.
U datoteci config.php.

// delimiter; define("FILES_EXCLUDE","*.js;*.jpg;*.png;*.css");

3. Hosting izdaje upozorenje poput
(HEX)base64.inject.unclassed.6: u56565656: /var/www/u65656565/data/www/34535335353.ru/fscure/index.php

U skripti nema virusa i nikada ga nije bilo. I (HEX)base64.inject.unclassed.6 je konstrukcija poput "echo base64_decode(" , koja se često susreće i sama po sebi je prilično bezopasna. Međutim, u najnoviju verziju, zamijenio sam ovaj kod.

Šta učiniti ako niste uspjeli sami pronaći virus?

Možete me kontaktirati za pomoć. Moje stope su skromne. Garantujem na svoj rad 6 meseci. Cijena radova je 800 rubalja. za 1 lokaciju. Ako na vašem računu postoji više stranica, cijena se određuje pojedinačno.

Ako ste uspjeli sve sami, bio bih vam zahvalan na novčanoj nagradi ili linku na moju stranicu.

Moji rekviziti:
yandex
41001151597934

webmoney
Z959263622242
R356304765617
E172301357329

Životna istina je da sajt može biti hakovan pre ili kasnije. Nakon uspješnog iskorištavanja ranjivosti, haker pokušava steći uporište na web mjestu postavljanjem hakerskih web školjki i preuzimača u sistemske direktorije i uvođenjem backdoor-a u kod skripte i CMS bazu podataka.

Skeneri pomažu u otkrivanju učitanih web školjki, backdoor-a, stranica za krađu identiteta, pošiljatelja neželjene e-pošte i drugih vrsta zlonamjernih skripti – sve što znaju i što je unaprijed dodano u bazu podataka potpisa zlonamjernog koda. Neki skeneri, kao što je AI-BOLIT, imaju skup heurističkih pravila koja mogu otkriti datoteke sa sumnjivim kodom koji se često koristi u zlonamjernim skriptama, ili datoteke sa sumnjivim atributima koje mogu preuzeti hakeri. Ali, nažalost, čak i ako se na hostingu koristi nekoliko skenera, može doći do situacija da neke hakerske skripte ostanu neotkrivene, što zapravo znači da napadaču ostaju „stražnja vrata“ i da može hakovati stranicu i preuzeti je. puna kontrola bilo kada.

Moderni zlonamjerni softver i hakerske skripte značajno se razlikuju od onih prije 4-5 godina. Trenutno, programeri zlonamjernog koda kombiniraju zamagljivanje, enkripciju, dekompoziciju, vanjsko učitavanje zlonamjernog koda i druge trikove kako bi zavarali antivirusni softver. Stoga je vjerovatnoća da ćete propustiti novi zlonamjerni softver mnogo veća nego prije.

Šta se u ovom slučaju može učiniti kako bi se efikasnije otkrili virusi na stranici i hakerske skripte na hostingu? Potrebno je koristiti integrirani pristup: početno automatizirano skeniranje i daljnja ručna analiza. Ovaj članak će raspravljati o opcijama za otkrivanje zlonamjernog koda bez skenera.

Prvo, hajde da pogledamo šta tačno treba da tražite tokom hakovanja.

Hakerske skripte.
Najčešće, prilikom hakovanja, fajlovi koji se preuzimaju su web ljuske, backdoor, "uploaderi", skripte za neželjenu poštu, phishing stranice + rukovaoci obrascima, vrata i datoteke markera za hakere (slike sa logotipa hakerske grupe, tekstualne datoteke sa "porukom" od hakera, itd.)

Injekcije (injekcije koda) u postojeće .
Drugi najpopularniji tip hostinga zlonamjernog i hakerskog koda su injekcije. Preusmjeravanja za mobilne uređaje i pretraživanje mogu se ubaciti u postojeće .htaccess datoteke na web-mjestu, backdoors se mogu ubaciti u php/perl skripte, a virusni javascript fragmenti ili preusmjeravanja na resurse trećih strana mogu se ugraditi u .js i .html šablone. Injekcije su moguće i u medijskim datotekama, na primjer.jpg ili. Zlonamjerni kod se često sastoji od nekoliko komponenti: sam zlonamjerni kod je pohranjen u exif zaglavlju jpg datoteke i izvršava se pomoću male kontrolne skripte, čiji kod skeneru ne izgleda sumnjivo.

Injekcije baze podataka.
Baza podataka je treća meta za hakera. Ovdje su mogući statički umetci, , , , koji posjetitelje preusmjeravaju na resurse trećih strana, "špijuniraju" ih ili inficiraju računar/mobilni uređaj posjetitelja kao rezultat drive-by napada.
Osim toga, u mnogim modernim CMS (IPB, vBulletin, modx, itd.) predlošci vam omogućavaju da izvršite php kod, a sami predlošci su pohranjeni u bazi podataka, tako da se PHP kod web shell-a i backdoor-a može ugraditi direktno u bazu podataka.

Injekcije u usluge keširanja.
Kao rezultat neispravne ili nesigurne konfiguracije usluga keširanja, na primjer, memcached, moguće su injekcije u keširane podatke „u hodu“. U nekim slučajevima, haker može ubaciti zlonamjerni kod na stranice web-lokacije bez direktnog hakovanja web-mjesta.

Injekcije/inicirani elementi u komponentama serverskog sistema.
Ako je haker dobio privilegirani (root) pristup serveru, on može zamijeniti elemente web servera ili keš servera zaraženim. Takav web server će, s jedne strane, omogućiti kontrolu nad serverom pomoću kontrolnih naredbi, as druge strane, s vremena na vrijeme uvesti dinamička preusmjeravanja i zlonamjerni kod na stranice stranice. Kao iu slučaju ubrizgavanja u uslugu keširanja, administrator stranice najvjerovatnije neće moći otkriti činjenicu da je stranica hakovana, jer će svi fajlovi i baza podataka biti originalni. Ova opcija je najteža za liječenje.

Dakle, pretpostavimo da ste već skenerima provjerili datoteke na hostingu i dump baze podataka, ali nisu ništa našli, a virus je još uvijek na stranici ili mobilno preusmjeravanje nastavlja raditi pri otvaranju stranica. Kako dalje tražiti?

Ručna pretraga

Na unixu je teško naći vredniji par komandi za pronalaženje datoteka i fragmenata od find / grep.

naći . -name '*.ph*' -mtime -7

će pronaći sve datoteke koje su promijenjene u protekloj sedmici. Ponekad hakeri "izvrću" datum izmjene skripti kako ne bi otkrili nove skripte. Zatim možete tražiti php/phtml datoteke čiji su atributi promijenjeni

naći . -name '*.ph*' -vrijeme -7

Ako trebate pronaći promjene u određenom vremenskom intervalu, možete koristiti isto traženje

naći . -name ‘*.ph*’ -newermt 2015-01-25 ! -newermt 2015-01-30 -ls

Za pretraživanje datoteka, grep je neophodan. Može rekurzivno pretraživati ​​kroz datoteke za određeni fragment

grep -ril ‘stummann.net/steffen/google-analytics/jquery-1.6.5.min.js’ *

Kada hakujete server, korisno je analizirati datoteke koje imaju postavljenu zastavicu guid/suid

naći / -perm -4000 -o -perm -2000

Da biste utvrdili koje skripte su trenutno pokrenute i učitavaju hosting CPU, možete pozvati

lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ‘ ( if(!str) ( str= ) else ( str=str””))END(print str)’` | grep vhosts | grep php

Koristimo svoj mozak i ruke za analizu datoteka na hostingu

Idemo do direktorija upload, cache, tmp, backup, log, images, u koje je nešto upisano skriptama ili učitano od strane korisnika, i skeniramo sadržaj u potrazi za novim datotekama sa sumnjivim ekstenzijama. Na primjer, za joomla možete provjeriti .php datoteke u direktoriju images:find ./images -name ‘*.ph*’. Najvjerovatnije, ako se nešto pronađe, to će biti zlonamjerni softver.
Za WordPress, ima smisla provjeriti wp-content/uploads direktorij, backup i keš direktorije tema za skripte.

Traženje datoteka sa čudnim imenima
Na primjer, php, fyi.php, n2fd2.php. Fajlovi se mogu pretraživati

• - nestandardnim kombinacijama znakova,
• - prisustvo brojeva 3,4,5,6,7,8,9 u nazivu datoteke

Tražimo datoteke sa neobičnim ekstenzijama
Recimo da imate web stranicu na WordPress-u ili za njih fajlovi sa ekstenzijama .py, .pl, .cgi, .tako, .c, .phtml, .php3 neće biti sasvim obični. Ako se otkriju bilo kakve skripte i datoteke sa ovim ekstenzijama, najvjerovatnije će to biti hakerski alati. Postotak lažnih detekcija je moguć, ali nije visok.

Tražimo datoteke sa nestandardnim atributima ili datumom kreiranja
Sumnju mogu izazvati datoteke sa atributima koji se razlikuju od onih koji postoje na serveru. Na primjer, sve .php skripte su postavljene preko ftp/sftp i imaju korisnika korisnika, a neke je kreirao korisnik www-data. Ima smisla provjeriti najnovije. Ili ako je datum kreiranja datoteke skripte raniji od datuma kreiranja stranice.
Da biste ubrzali pretragu datoteka sa sumnjivim atributima, zgodno je koristiti Unix naredbu find.

Tražimo vrata koristeći veliki broj .html ili .php fajlova
Ako postoji nekoliko hiljada .php ili .html datoteka u direktoriju, ovo je najvjerovatnije ulaz.

Dnevnici u pomoć

Web server, servis e-pošte i FTP logovi se mogu koristiti za otkrivanje zlonamjernih i hakerskih skripti.

• Povezanost datuma i vremena slanja pisma (što se može pronaći iz dnevnika mail server ili servisno zaglavlje neželjenog pisma) sa zahtjevima pomoći access_log za identifikaciju načina slanja neželjene pošte ili pronalaženje skripte pošiljatelja neželjene pošte.

• Analiza FTP xferlog dnevnika prijenosa omogućava vam da shvatite koje su datoteke preuzete u vrijeme hakovanja, koje su promijenjene i od koga.

• U ispravno konfigurisanom dnevniku servera pošte ili u zaglavlju usluge neželjene e-pošte, ako je PHP ispravno konfigurisan, postojaće ime ili puna putanja do skripte za slanje, što pomaže da se utvrdi izvor neželjene pošte.

• Koristeći dnevnike proaktivne zaštite modernih CMS-a i dodataka, možete utvrditi koji su napadi izvršeni na web-mjestu i da li im je CMS uspio odoljeti.

• Koristeći access_log i error_log, možete analizirati akcije hakera ako znate nazive skripti koje je pozvao, IP adresu ili korisničkog agenta. U krajnjem slučaju, možete pogledati POST zahtjeve na dan kada je stranica hakovana i zaražena. Često vam analiza omogućava da pronađete druge hakerske skripte koje su preuzete ili su već bile na serveru u vrijeme hakovanja.

Kontrola integriteta

Mnogo je lakše analizirati hakiranje i tražiti zlonamjerne skripte na web stranici ako unaprijed vodite računa o njegovoj sigurnosti. Procedura provjere integriteta pomaže da se na vrijeme otkriju promjene na hostingu i utvrdi činjenica hakovanja. Jedan od najjednostavnijih i efikasne načine– stavite sajt pod sistem kontrole verzija (git, svn, cvs). Ako ispravno konfigurirate .gitignore, proces kontrole promjena izgleda kao pozivanje naredbe git status, a traženje zlonamjernih skripti i promijenjenih datoteka izgleda kao git diff.

Takođe ćete uvek imati rezervna kopija datoteke na koje možete "vratiti" stranicu za nekoliko sekundi. Administratori servera i napredni webmasteri mogu koristiti inotify, tripwire, auditd i druge mehanizme za praćenje pristupa datotekama i direktorijima i praćenje promjena u sistemu datoteka.

Nažalost, nije uvijek moguće konfigurirati sistem kontrole verzija ili usluge treće strane na serveru. U slučaju dijeljenog hostinga, neće biti moguće instalirati sistem kontrole verzija i sistemske usluge. Ali nema veze, postoji dosta gotovih rješenja za CMS. Možete instalirati dodatak ili zasebnu skriptu na stranicu koja će pratiti promjene u datotekama. Neki CMS već implementiraju efikasno praćenje promjena i mehanizam provjere integriteta (na primjer, Bitrix, DLE). U krajnjem slučaju, ako hosting ima ssh, možete kreirati referentni cast sistem podataka tim

Promocija “2 po cijeni 1”

Akcija važi do kraja meseca.

Kada aktivirate uslugu "Stranica pod nadzorom" za jednu web stranicu, druga na istom računu se povezuje besplatno. Sljedeće stranice na računu - 1.500 rubalja mjesečno za svaku stranicu.