Πώς να αναζητήσετε κακόβουλο κώδικα χωρίς προγράμματα προστασίας από ιούς και σαρωτές. Πώς να αναζητήσετε κακόβουλο κώδικα χωρίς προγράμματα προστασίας από ιούς και σαρωτές Πώς να αναζητήσετε κακόβουλο κώδικα στο WordPress

Πώς να αναζητήσετε κακόβουλο κώδικα χωρίς προγράμματα προστασίας από ιούς και σαρωτές. Πώς να αναζητήσετε κακόβουλο κώδικα χωρίς προγράμματα προστασίας από ιούς και σαρωτές Πώς να αναζητήσετε κακόβουλο κώδικα στο WordPress

1. Αποσυμπιέστε στο φάκελο της τοποθεσίας.
2. ακολουθήστε τον σύνδεσμο your_site/fscure/
3. όλα

Τι μπορεί?

1. Αυτόματη αναζήτηση ιών με υπογραφές.
2. Εύρεση συμβολοσειράς σε αρχεία
3. Διαγραφή αρχείων
4. Επιδιορθώστε τον κακόβουλο κώδικα χρησιμοποιώντας κανονικές εκφράσεις

Το σενάριο δεν θα κάνει όλη τη δουλειά για εσάς και απαιτεί ελάχιστες γνώσεις. Πριν από την εργασία, συνιστάται να δημιουργήσετε ένα αντίγραφο ασφαλείας του ιστότοπου.

Πώς λειτουργεί;

Στην πρώτη εκκίνηση, δημιουργεί ένα ευρετήριο αρχείων. Το αρχείο fscure.lst στον φάκελο. Εμφανίζει μια λίστα αρχείων που περιέχουν δυνητικά κακόβουλες υπογραφές. "Δυνητικά επιβλαβές" σημαίνει ότι εξαρτάται από εσάς να αποφασίσετε εάν πρόκειται για ιό ή όχι. Η λίστα των υπογραφών διαμορφώνεται στο αρχείο config.php, σταθερά SCAN_SIGN. Με τις προεπιλεγμένες ρυθμίσεις, το σενάριο δεν ελέγχει τα αρχεία js και δεν περιέχει υπογραφές για αυτά.

Τα πιο συνηθισμένα προβλήματα

1. δεν δημιουργεί ευρετήριο fscure.lst. Μπορεί να συμβεί εάν δεν υπάρχουν αρκετά δικαιώματα. Βάλτε το 777 στο φάκελο fscure

2. Σφάλμα 5xx. Τις περισσότερες φορές "504 Gateway Time-out". Το σενάριο δεν έχει χρόνο να επεξεργαστεί και κολλάει σε ένα τάιμ άουτ. Σε αυτή την περίπτωση, υπάρχουν διάφοροι τρόποι για να επιταχύνετε τη δουλειά του. Η ταχύτητα εξαρτάται κυρίως από το μέγεθος του δείκτη. Βρίσκεται στο αρχείο fscure.lst. Συνήθως ένα αρχείο έως 5Mb στο 90% των περιπτώσεων καταφέρνει να επεξεργαστεί. Εάν δεν έχει χρόνο, μπορείτε να μειώσετε την "απληστία" του σεναρίου απαγορεύοντας τη σάρωση *.jpg; *.png; *.css στη διαμόρφωση.
Στο αρχείο config.php.

// οριοθέτης; define("FILES_EXCLUDE","*.js;*.jpg;*.png;*.css");

3. Η φιλοξενία εκδίδει μια προειδοποίηση όπως
(HEX)base64.inject.unclassed.6: u56565656: /var/www/u65656565/data/www/34535335353.ru/fscure/index.php

Δεν υπάρχει ιός στο σενάριο και δεν υπήρξε ποτέ. Και το (HEX)base64.inject.unclassed.6 είναι μια κατασκευή όπως το "echo base64_decode(" , το οποίο βρίσκεται συχνά και είναι αρκετά ακίνδυνο από μόνο του. Ωστόσο, στην τελευταία έκδοση, αντικατέστησα αυτόν τον κωδικό.

Τι να κάνετε εάν δεν μπορείτε να βρείτε μόνοι σας τον ιό;

Μπορείτε να επικοινωνήσετε μαζί μου για βοήθεια. Οι τιμές μου είναι μέτριες. Δίνω 6 μήνες εγγύηση για την εργασία μου. Το κόστος εργασίας είναι 800 ρούβλια. για 1 ιστότοπο. Εάν υπάρχουν πολλοί ιστότοποι στον λογαριασμό, η τιμή καθορίζεται ξεχωριστά.

Εάν καταφέρατε να κάνετε τα πάντα μόνοι σας, θα σας είμαι ευγνώμων για μια οικονομική ανταμοιβή ή έναν σύνδεσμο προς τον ιστότοπό μου.

Οι προϋποθέσεις μου:
yandex
41001151597934

webmoney
Z959263622242
R356304765617
E172301357329

Πρέπει να γίνει από κοινού. Εάν εξαλείψετε την αρχική αιτία της εισβολής (για παράδειγμα, μια ευπάθεια στην επέκταση CMS), αλλά μην καταργήσετε όλα κακόβουλα αρχεία, ο εισβολέας θα μπορεί να αποκτήσει ξανά πρόσβαση στον ιστότοπο χρησιμοποιώντας ένα από τα σενάρια του. Εάν διαγράψετε όλα τα ληφθέντα κακόβουλα σενάρια, αλλά χωρίς να εξαλείψει την αιτία της εισβολής, ο εισβολέας θα μπορεί να χακάρει ξανά τον ιστότοπο και να ανεβάσει ξανά σενάρια σε αυτόν.

Εκτελέστε εργασίες για την αφαίρεση κακόβουλων σεναρίων και αναλύστε τα αίτια του hacking ειδικός με σχετική γνώση και εμπειρία:

  • Για να αφαιρέσετε κακόβουλα σενάρια, πρέπει γνώση γλώσσας προγραμματισμού PHP, και γνώση "από μέσα" του δημοφιλούς CMS(Joomla, WordPress κ.λπ.) και επεκτάσεις για αυτά. Αυτή η γνώση απαιτείται για να διακρίνει τα σενάρια απευθείας από το CMS και τις επεκτάσεις του από τα ξένα αρχεία, καθώς και για να μπορεί να προσδιορίζει με σαφήνεια ποιες ενέργειες εκτελούν όταν αντιμετωπίζουν αμφίβολα σενάρια.
  • Για να αναλυθούν τα αίτια του hacking, απαιτείται εμπειρία διαχείρισης διακομιστή. Αυτό είναι απαραίτητο για την ανάλυση της κατάστασης των αρχείων στο λογαριασμό, του χρόνου τροποποίησης και για τη σύγκριση αυτών των δεδομένων με τα αρχεία καταγραφής διακομιστή για να προσδιοριστεί ποιες ενέργειες του εισβολέα οδήγησαν στην παραβίαση τοποθεσιών.

Επομένως, εάν ο ιστότοπός σας έχει παραβιαστεί, συνιστάται, για να αποφύγετε επαναλαμβανόμενα hacks, να μην κάνετε τη δουλειά μόνοι σας, αλλά να επικοινωνήσετε με έναν ειδικό που θα κάνει τα απαραίτητα διαγνωστικά και θα σας συστήσει ή θα εκτελέσει απαραίτητες ενέργειεςνα λύσει το πρόβλημα, και ποιος μπορεί να εγγυηθεί την ποιότητα του αποτελέσματος.

Ωστόσο, υπάρχει μια σειρά από μέτρα που σε ορισμένες περιπτώσειςβοηθούν στην αποκατάσταση της ασφαλούς λειτουργίας του ιστότοπου χωρίς ιδιαίτερες γνώσεις. Ο περιορισμός της παρακάτω μεθόδου είναι ότι για να συνεχιστεί η λειτουργία του ιστότοπου, απαιτείται να δημιουργηθεί ένα αντίγραφο ασφαλείας τη στιγμή πριν από την εισβολή. Εάν η ημερομηνία της παραβίασης δεν είναι γνωστή, μπορείτε να δοκιμάσετε αυτήν τη μέθοδο χρησιμοποιώντας το παλαιότερο διαθέσιμο αντίγραφο ασφαλείας. Ο δεύτερος περιορισμός, ως συνέπεια του πρώτου, είναι ότι μετά την επαναφορά του ιστότοπου, τα δεδομένα που προστέθηκαν στον ιστότοπο μετά τη δημιουργία του αντιγράφου ασφαλείας (για παράδειγμα, νέα άρθρα, εικόνες ή έγγραφα) θα χαθούν. Εάν πρέπει να επαναφέρετε τον ιστότοπο, ενώ διατηρείτε τα νέα δεδομένα, πρέπει να επικοινωνήσετε με έναν ειδικό.

Αυτά τα μέτρα δεν επιτρέπουν να εξακριβωθεί ο λόγος για την παραβίαση του ιστότοπου, ωστόσο, καθένα από αυτά στοχεύει στην εξάλειψη μιας από τις πιθανές αιτίες διείσδυσης. Δεδομένου ότι ο ακριβής λόγος για το hack είναι άγνωστος, πρέπει να τα ολοκληρώσετε όλα. Οι ενέργειες είναι οργανωμένες με τέτοια σειρά ώστε πρώτα να αποκλείεται εντελώς η πιθανότητα ο εισβολέας να συνεχίσει να εργάζεται στον ιστότοπο ή στον λογαριασμό φιλοξενίας στο επί του παρόντοςκαι, στη συνέχεια, αποτρέψτε την είσοδο ενός εισβολέα στον ιστότοπο στο μέλλον.

Τα παρακάτω βήματα προϋποθέτουν ότι ο λογαριασμός φιλοξενίας σας έχει μόνο ένας ιστότοπος. Εάν υπάρχουν πολλοί ιστότοποι στον λογαριασμό, τότε θα μπορούσαν επίσης να παραβιαστούν και ο ιστότοπος θα μπορούσε να παραβιαστεί μέσω αυτών. Είναι απαραίτητο είτε να μεταφέρετε τον ιστότοπο με τον οποίο εκτελούνται εργασίες αποκατάστασης σε ξεχωριστό λογαριασμό είτε να πραγματοποιήσετε αποκατάσταση για όλους τους ιστότοπους που φιλοξενούνται στον λογαριασμό ταυτόχρονα.

Η σειρά των ενεργειών είναι σημαντική, επομένως πρέπει να τις εκτελέσετε με τη σειρά με την οποία βρίσκονται παρακάτω.

  1. Αμέσως μετά την ανακάλυψη ενός χακαρισμένου ιστότοπου, είναι απαραίτητο αποκλείει εντελώς τους επισκέπτες από την πρόσβαση σε αυτό. Αυτό, πρώτον, θα εμποδίσει τον εισβολέα να πραγματοποιήσει κακόβουλες δραστηριότητες στον ιστότοπο και, δεύτερον, δεν θα του επιτρέψει να παρέμβει στις εργασίες αποκατάστασης. Αυτό το βήμα είναι πολύ σημαντικό, επειδή η αφαίρεση κακόβουλων σεναρίων και η εξάλειψη της αιτίας του hack δεν συμβαίνει ταυτόχρονα - κατά κανόνα, διαρκεί αρκετές ώρες. Εάν ο ιστότοπος παραμένει προσβάσιμος από έξω, ο εισβολέας θα μπορεί να ανεβάσει εκ νέου σενάρια στην ενότητα του ιστότοπου που έχει ήδη καθαριστεί. Σε αυτήν την περίπτωση, ένας εισβολέας μπορεί να χρησιμοποιήσει διαφορετικές διευθύνσεις IP για να συνδεθεί, επομένως η άρνηση πρόσβασης μόνο σε μια λίστα διευθύνσεων IP δεν θα λειτουργήσει. Για να διασφαλιστεί ότι ο ιστότοπος καθαρίζεται από κακόβουλα σενάρια που βρέθηκαν, είναι απαραίτητο να αποκλείσετε πλήρως την πρόσβαση του εισβολέα στον ιστότοπο, κάτι που μπορεί να γίνει μόνο με τον πλήρη αποκλεισμό του ιστότοπου για τυχόν επισκέπτες. Επικοινωνήστε με την τεχνική υποστήριξη του hosting που φιλοξενεί τον ιστότοπό σας για να τον αποκλείσετε.
  2. Αφού αποκλείσετε τον ιστότοπο, πρέπει ελέγξτε τους υπολογιστές, από το οποίο πραγματοποιήθηκε η εργασία με τον ιστότοπο, ένα σύγχρονο antivirus με ενημερωμένες βάσεις δεδομένων ιών. Εάν ο ιστότοπος παραβιάστηκε με κλοπή κωδικών πρόσβασης λογαριασμού χρησιμοποιώντας ιό, πρέπει να βεβαιωθείτε ότι η περαιτέρω εργασία με τον παραβιασμένο ιστότοπο πραγματοποιείται από υπολογιστή στον οποίο δεν υπάρχουν ιοί, διαφορετικά, μετά την αλλαγή κωδικών πρόσβασης, μπορούν να κλαπούν ξανά .
  3. Αφού αποκλείσετε τον ιστότοπο και ελέγξετε για ιούς, πρέπει αλλάξτε όλους τους κωδικούς πρόσβασηςπρόσβαση λογαριασμού: πρόσβαση μέσω FTP, μέσω SSH, καθώς και πρόσβαση στον πίνακα ελέγχου φιλοξενίας. Εάν ένας εισβολέας απέκτησε πρόσβαση σε αρχεία λογαριασμού χρησιμοποιώντας μία από αυτές τις μεθόδους, αφού αλλάξει τους κωδικούς πρόσβασης, δεν θα μπορεί πλέον να το κάνει αυτό.
  4. Μετά την αλλαγή κωδικών πρόσβασης, σκοτώσει όλες τις διαδικασίες διακομιστή, που εργάζεται για λογαριασμό του λογαριασμού που φιλοξενεί τον ιστότοπο. Οι διαδικασίες που ξεκινούν από έναν εισβολέα στο παρασκήνιο, χωρίς να καταστραφούν, θα μπορούν να επανατοποθετήσουν κακόβουλα σενάρια στον ιστότοπο μετά από εργασίες αποκατάστασης. Για να μην συμβεί αυτό, όλες οι διεργασίες που εκτελούνται πριν από τον αποκλεισμό του ιστότοπου πρέπει να σκοτωθούν. Ο ιστότοπος σε αυτό το σημείο θα πρέπει να είναι ήδη αποκλεισμένος, έτσι ώστε ο εισβολέας να μην μπορεί να ξεκινήσει νέες διεργασίες ανατρέχοντας σε ένα από τα σενάρια του στον ιστότοπο. Για να καταστρέψετε τις διαδικασίες που εκτελούνται στον λογαριασμό σας, επικοινωνήστε με την υπηρεσία τεχνικής υποστήριξης της φιλοξενίας που φιλοξενεί τον ιστότοπό σας.
  5. Τώρα είναι αδύνατο να διεισδύσετε στον ιστότοπο από έξω και μπορείτε να ξεκινήσετε την επαναφορά του.
  6. Πριν από περαιτέρω δράση διαγράψτε όλα τα υπάρχοντα αρχεία ιστότοπου, έτσι ώστε να μην έχουν μείνει κακόβουλα σενάρια ανάμεσά τους ή σενάρια CMS στα οποία ο εισβολέας έχει εισάγει κακόβουλο κώδικα. Αυτό το βήμα είναι επίσης σημαντικό επειδή η επαναφορά ενός ιστότοπου από ένα αντίγραφο ασφαλείας δεν καταργεί πάντα τα αρχεία που υπήρχαν πριν από την επαναφορά. Εάν παλιά κακόβουλα σενάρια παραμένουν στον ιστότοπο μετά την επαναφορά από ένα αντίγραφο ασφαλείας, ένας εισβολέας θα μπορεί να διεισδύσει ξανά στον ιστότοπο. Μπορείτε να το αποφύγετε διαγράφοντας όλα τα αρχεία του ιστότοπου πριν πραγματοποιήσετε επαναφορά.
  7. Μετά τη διαγραφή όλων των αρχείων του ιστότοπου επαναφορά ιστότοπου από αντίγραφο ασφαλείαςδημιουργήθηκε πριν από την παραβίαση. Συχνά αρκεί να επαναφέρετε μόνο τα αρχεία του ιστότοπου, ωστόσο, εάν παρατηρηθούν σφάλματα στη λειτουργία του ιστότοπου μετά την επαναφορά τους, είναι απαραίτητο να επαναφέρετε πλήρως τον ιστότοπο: τόσο τα αρχεία όσο και τη βάση δεδομένων.
  8. Μετά την επαναφορά από ένα αντίγραφο ασφαλείας ενημερώστε τις εκδόσεις του συστήματος διαχείρισης περιεχομένου σας (CMS) και οι επεκτάσεις τουμέχρι το τελευταίο. Αυτό είναι απαραίτητο για να αποκλειστεί η παρουσία γνωστών τρωτών σημείων στον ιστότοπο μέσω των οποίων μπορεί να παραβιαστεί. Κατά κανόνα, η ενημέρωση μπορεί να γίνει μέσω της ενότητας διαχείρισης του CMS. Για να πάρεις πλήρεις οδηγίεςγια να ενημερώσετε το CMS, πρέπει να επικοινωνήσετε με τον ιστότοπο του προγραμματιστή του συστήματος. Είναι σημαντικό να ενημερώνετε όχι μόνο το ίδιο το CMS, αλλά και όλες τις επεκτάσεις του, καθώς η παραβίαση συμβαίνει συχνά μέσω μιας ευπάθειας που υπάρχει σε μία από τις επεκτάσεις CMS (για παράδειγμα, πρόσθετα, θέματα, γραφικά στοιχεία κ.λπ.). Σε αυτό το σημείο, δεν είναι ακόμη δυνατή η άρση του αποκλεισμού του ιστότοπου για τους επισκέπτες, καθώς ενδέχεται να εξακολουθεί να είναι ευάλωτος. Για να αποκτήσετε πρόσβαση στον ιστότοπο για ενημέρωση, επικοινωνήστε με την τεχνική υποστήριξη της φιλοξενίας που φιλοξενεί τον ιστότοπό σας και ζητήστε να επιτρέπεται η πρόσβαση στον ιστότοπο μόνο από τη διεύθυνση IP του υπολογιστή σας. Μπορείτε να μάθετε τη διεύθυνση IP σας, για παράδειγμα, στο inet.yandex.ru.
  9. Αφού ενημερώσετε το σύστημα διαχείρισης ιστότοπου και τις επεκτάσεις του, μεταβείτε στην ενότητα διαχείρισης ιστότοπου και αλλάξτε τον κωδικό πρόσβασης διαχειριστήσε αυτόν. Βεβαιωθείτε ότι δεν υπάρχουν άλλοι χρήστες με δικαιώματα διαχειριστή μεταξύ των χρηστών του ιστότοπου (θα μπορούσαν να προστεθούν από έναν εισβολέα) και εάν εντοπιστούν, διαγράψτε τους.
  10. Τώρα που ο ιστότοπος έχει αποκατασταθεί από ένα αντίγραφο ασφαλείας και δεν περιέχει κακόβουλα σενάρια, το CMS και οι επεκτάσεις του έχουν ενημερωθεί σε πιο πρόσφατες εκδόσεις, στην οποία δεν υπάρχουν ευπάθειες και οι κωδικοί πρόσβασης για την πρόσβαση στον ιστότοπο και τον λογαριασμό φιλοξενίας έχουν αλλάξει, μπορείτε να ανοίξετε ξανά τον ιστότοπο για επισκέπτες.

Όλες οι παραπάνω ενέργειες πρέπει να εκτελούνται σύμφωνα με την καθορισμένη σειρά, χωρίς παραλείψεις ή αλλαγές. Εάν οι ενέργειες εκτελεστούν ανακριβώς, ενδέχεται να παραμείνουν στον ιστότοπο κακόβουλα σενάρια ή ευπάθειες, με αποτέλεσμα, μετά από σύντομο χρονικό διάστημα, να μπορεί να χακαριστεί ξανά από έναν εισβολέα. Εάν για κάποιο λόγο δεν είναι δυνατό να εκτελέσετε τα παραπάνω βήματα στη μορφή με την οποία υποδεικνύονται, επικοινωνήστε με έναν ειδικό για να εκτελέσετε εργασίες για την αποκατάσταση του ιστότοπου μετά από μια παραβίαση.

Για να προστατεύσετε τον ιστότοπό σας από επαναλαμβανόμενες εισβολές στο μέλλον, πρέπει να τηρείτε τις ακόλουθες συστάσεις:

  1. Ακολουθήστε τις ενημερώσεις του CMS και τις επεκτάσεις του στους ιστότοπους των προγραμματιστών και ενημερώστε τις έγκαιρα στις πιο πρόσφατες εκδόσεις. Εάν το σχόλιο σχετικά με μια ενημέρωση περιέχει πληροφορίες ότι διορθώνει ένα θέμα ευπάθειας, εγκαταστήστε την ενημέρωση το συντομότερο δυνατό.
  2. Εργαστείτε με τον ιστότοπο και με τον λογαριασμό φιλοξενίας μόνο από υπολογιστές που προστατεύονται από ιούς από σύγχρονα προγράμματα προστασίας από ιούς με συνεχώς ενημερωμένες βάσεις δεδομένων ιών.
  3. Χρησιμοποιήστε σύνθετους κωδικούς πρόσβασης, ώστε να μην μπορούν να μαντευτούν χρησιμοποιώντας ένα λεξικό.
  4. Μην αποθηκεύετε τους κωδικούς πρόσβασης FTP και SSH στα προγράμματα σύνδεσης στον ιστότοπο και μην αποθηκεύετε στο πρόγραμμα περιήγησης τον κωδικό πρόσβασης για πρόσβαση στην ενότητα διαχείρισης του ιστότοπου και στον πίνακα ελέγχου φιλοξενίας.
  5. Κατά καιρούς (για παράδειγμα, μία φορά κάθε τρεις μήνες) αλλάζετε τους κωδικούς πρόσβασης για την πρόσβαση στον ιστότοπο και τον λογαριασμό φιλοξενίας.
  6. Εάν εντοπίστηκαν ιοί στον υπολογιστή από τον οποίο έγινε πρόσβαση στον ιστότοπο, αλλάξτε τους κωδικούς πρόσβασης για την πρόσβαση στον ιστότοπο και τον λογαριασμό φιλοξενίας το συντομότερο δυνατό. Είναι απαραίτητο να αλλάξετε όλους τους κωδικούς πρόσβασης: κωδικούς πρόσβασης μέσω FTP, SSH, κωδικό πρόσβασης από τον πίνακα διαχείρισης του ιστότοπου, καθώς και τον κωδικό πρόσβασης από τον πίνακα ελέγχου φιλοξενίας.
  7. Μην παρέχετε πρόσβαση στον ιστότοπο σε τρίτους εάν δεν είστε βέβαιοι ότι θα ακολουθήσουν επίσης τις συστάσεις που δίνονται.

Κακόβουλος κώδικας εισέρχεται στον ιστότοπο από αμέλεια ή κακόβουλη πρόθεση. Ο σκοπός του κακόβουλου κώδικα είναι διαφορετικός, αλλά, στην ουσία, βλάπτει ή παρεμβαίνει στην κανονική λειτουργία του ιστότοπου. Για να αφαιρέσετε κακόβουλο κώδικα στο WordPress, πρέπει πρώτα να τον βρείτε.

Τι είναι ο κακόβουλος κώδικας σε έναν ιστότοπο WordPress

Με εμφάνιση, τις περισσότερες φορές, κακόβουλος κώδικας είναι ένα σύνολο γραμμάτων και συμβόλων του λατινικού αλφαβήτου. Στην πραγματικότητα, αυτός είναι ένας κρυπτογραφημένος κώδικας με τον οποίο εκτελείται η μία ή η άλλη ενέργεια. Οι ενέργειες μπορεί να είναι πολύ διαφορετικές, για παράδειγμα, οι νέες αναρτήσεις σας δημοσιεύονται αμέσως σε έναν πόρο τρίτου μέρους. Στην ουσία πρόκειται για κλοπή του περιεχομένου σας. Οι κώδικες έχουν επίσης άλλες «καθήκοντες», για παράδειγμα, τοποθέτηση εξερχόμενων συνδέσμων σε σελίδες ιστότοπου. Οι εργασίες μπορεί να είναι οι πιο εξελιγμένες, αλλά ένα πράγμα είναι σαφές ότι οι κακόβουλοι κωδικοί πρέπει να αναζητηθούν και να αφαιρεθούν.

Πώς εμφανίζονται κακόβουλοι κωδικοί στον ιστότοπο

Υπάρχουν επίσης πολλά κενά για τη λήψη κωδικών στον ιστότοπο.

  1. Τις περισσότερες φορές, αυτά είναι θέματα και προσθήκες που λαμβάνονται από τους "αριστερούς" πόρους. Ωστόσο, μια τέτοια διείσδυση είναι χαρακτηριστική για τους λεγόμενους κρυπτογραφημένους συνδέσμους. Ο ρητός κώδικας δεν φτάνει στον ιστότοπο.
  2. Η διείσδυση ενός ιού όταν ένας ιστότοπος παραβιάζεται είναι η πιο επικίνδυνη. Κατά κανόνα, η παραβίαση ενός ιστότοπου σάς επιτρέπει να τοποθετήσετε όχι μόνο "κωδικό μιας χρήσης", αλλά και να εγκαταστήσετε έναν κώδικα με στοιχεία κακόβουλου λογισμικού (κακόβουλο πρόγραμμα). Για παράδειγμα, βρίσκετε έναν κωδικό, τον διαγράφετε και αποκαθίσταται μετά από λίγο. Και πάλι, υπάρχουν πολλές επιλογές.

Θα σημειώσω αμέσως ότι η καταπολέμηση τέτοιων ιών είναι δύσκολη και η μη αυτόματη αφαίρεση απαιτεί γνώση. Υπάρχουν τρεις λύσεις στο πρόβλημα: πρώτη απόφαση- χρησιμοποιήστε πρόσθετα προστασίας από ιούς, για παράδειγμα, ένα πρόσθετο που ονομάζεται BulletProof Security.

Αυτή η λύση δίνει καλά αποτελέσματα, αλλά χρειάζεται χρόνο, αν και λίγο. Υπάρχει μια πιο ριζική λύση, η απαλλαγή από κακόβουλους κωδικούς, συμπεριλαμβανομένων σύνθετων ιών, είναι να επαναφέρετε τον ιστότοπο από προκατασκευασμένους αντίγραφα ασφαλείαςιστοσελίδα.

Εφόσον ένας καλός webmaster το κάνει περιοδικά, θα είναι δυνατή η επαναφορά σε μια μη μολυσμένη έκδοση χωρίς προβλήματα. Τρίτη απόφασηγια τους πλούσιους και τεμπέληδες, απλά επικοινωνήστε με ένα εξειδικευμένο «γραφείο» ή με έναν ειδικό.

Πώς να βρείτε κακόβουλο κώδικα στο WordPress

Είναι σημαντικό να κατανοήσουμε ότι ο κακόβουλος κώδικας WordPress μπορεί να βρίσκεται σε οποιοδήποτε αρχείο ιστότοπου και όχι απαραίτητα στο θέμα εργασίας. Μπορεί να εισαχθεί με ένα πρόσθετο, με ένα θέμα, με "σπιτικό" κώδικα που λαμβάνεται από το Διαδίκτυο. Υπάρχουν διάφοροι τρόποι για να προσπαθήσετε να βρείτε κακόβουλο κώδικα.

Μέθοδος 1.Χειροκίνητα. Κάντε κύλιση σε όλα τα αρχεία του ιστότοπου και συγκρίνετε τα με τα αρχεία ενός μη μολυσμένου αντιγράφου ασφαλείας. Βρείτε τον κωδικό κάποιου άλλου - διαγράψτε τον.

Μέθοδος 2.Με πρόσθετα ασφαλείας WordPress. Για παράδειγμα, . Αυτή η προσθήκη έχει μια εξαιρετική δυνατότητα, τη σάρωση αρχείων ιστότοπου για την παρουσία του κώδικα κάποιου άλλου και η προσθήκη κάνει εξαιρετική δουλειά με αυτήν την εργασία.

Μέθοδος 3.Εάν έχετε λογική υποστήριξη φιλοξενίας και σας φαίνεται ότι ο ιστότοπος είναι "ξένος", ζητήστε τους να σαρώσουν τον ιστότοπό σας με το πρόγραμμα προστασίας από ιούς. Η αναφορά τους θα περιλαμβάνει όλα τα μολυσμένα αρχεία. Στη συνέχεια, ανοίξτε αυτά τα αρχεία επεξεργαστής κειμένουκαι αφαιρέστε τον κακόβουλο κώδικα.

Μέθοδος 4.Εάν μπορείτε να εργαστείτε με πρόσβαση SSH στον κατάλογο του ιστότοπου, τότε προχωρήστε, υπάρχει μια κουζίνα.

Σπουδαίος! Ανεξάρτητα από το πώς αναζητάτε κακόβουλο κώδικα, προτού αναζητήσετε και στη συνέχεια διαγράψετε τον κώδικα, αποκλείστε την πρόσβαση στα αρχεία του ιστότοπου (ενεργοποιήστε τη λειτουργία συντήρησης). Θυμηθείτε τους κωδικούς που αποκαθίστανται οι ίδιοι όταν διαγράφονται.

Αναζητήστε κακόβουλους κωδικούς από τη συνάρτηση eval

Υπάρχει κάτι τέτοιο στο php συνάρτηση αξιολόγησης. Σας επιτρέπει να εκτελέσετε οποιονδήποτε κώδικα στη γραμμή του. Επιπλέον, ο κώδικας μπορεί να κωδικοποιηθεί. Λόγω της κωδικοποίησης, ο κακόβουλος κώδικας μοιάζει με ένα σύνολο γραμμάτων και συμβόλων. Υπάρχουν δύο δημοφιλείς κωδικοποιήσεις:

  1. βάση64;
  2. Rot13.

Συνεπώς, σε αυτές τις κωδικοποιήσεις, η συνάρτηση eval μοιάζει με αυτό:

  • eval(base64_decode(...))
  • eval (str_rot13 (...)) //σε εσωτερικά εισαγωγικά, μεγάλα ακατανόητα σύνολα γραμμάτων και συμβόλων..

Ο αλγόριθμος για την αναζήτηση κακόβουλου κώδικα από τη συνάρτηση eval είναι ο εξής (εργαζόμαστε από τον πίνακα διαχείρισης):

  • μεταβείτε στον επεξεργαστή ιστότοπου (Εμφάνιση→Επεξεργαστής).
  • αντιγράψτε το αρχείο functions.php.
  • ανοίξτε το σε ένα πρόγραμμα επεξεργασίας κειμένου (για παράδειγμα, Notepad++) και αναζητήστε τη λέξη: ισοτιμία.
  • αν βρεθεί, μην βιαστείτε να διαγράψετε τίποτα. Είναι απαραίτητο να κατανοήσουμε τι «ζητάει» να εκτελεστεί αυτή η συνάρτηση. Για να γίνει κατανοητό αυτό, ο κώδικας πρέπει να αποκωδικοποιηθεί. Για την αποκωδικοποίηση υπάρχουν διαδικτυακά εργαλεία που ονομάζονται αποκωδικοποιητές.

Αποκωδικοποιητές/Κωδικοποιητές

Οι αποκωδικοποιητές λειτουργούν απλά. Αντιγράψτε τον κωδικό που πρόκειται να αποκρυπτογραφηθεί, επικολλήστε τον στο πεδίο του αποκωδικοποιητή και αποκωδικοποιήστε.

Τη στιγμή που γράφω αυτό το άρθρο, δεν βρήκα κανένα κρυπτογραφημένο κώδικα στο WordPress. Βρήκα τον κώδικα από τον ιστότοπο Joomla. Κατ 'αρχήν, δεν υπάρχει διαφορά για την κατανόηση της αποκωδικοποίησης. Κοιτάμε τη φωτογραφία.

Όπως βλέπετε στη φωτογραφία, η λειτουργία eval μετά την αποκωδικοποίηση δεν εμφάνισε κάποιον τρομερό κωδικό που απειλεί την ασφάλεια του ιστότοπου, αλλά κρυπτογραφημένος σύνδεσμος πνευματικών δικαιωμάτων, ο συγγραφέας του προτύπου. Μπορείτε επίσης να το διαγράψετε, αλλά θα επανέλθει μετά την ενημέρωση του προτύπου εάν δεν χρησιμοποιήσετε .

Εν κατακλείδι, θα σημειώσω για να μην κολλήσετε ιό στον ιστότοπο:

  • Ο κακόβουλος κώδικας στο WordPress έρχεται συχνά με θέματα και πρόσθετα. Επομένως, μην εγκαθιστάτε πρότυπα και πρόσθετα από «αριστερούς», μη επαληθευμένους πόρους και, εάν τα εγκαταστήσετε, αντλήστε τα προσεκτικά για την παρουσία συνδέσμων και εκτελεστικών λειτουργιών php. Αφού εγκαταστήσετε πρόσθετα και θέματα από "παράνομους" πόρους, ελέγξτε τον ιστότοπο με προγράμματα προστασίας από ιούς.
  • Φροντίστε να δημιουργείτε περιοδικά αντίγραφα ασφαλείας και να εκτελείτε άλλα.

Κακόβουλο JavaScript

Η άποψή μου, η οποία συνίσταται στο γεγονός ότι είναι ευκολότερη και πιο αποτελεσματική η προστασία από κακόβουλα σενάρια προγράμματος περιήγησης (αποθηκευμένες επιθέσεις XSS) μέσω προγραμμάτων περιήγησης, αναφέρθηκε νωρίτερα: . Η προστασία του προγράμματος περιήγησης από JavaScript, η οποία συνίσταται στην προσθήκη κώδικα φιλτραρίσματος στις σελίδες html του ιστότοπου, υποτίθεται ότι είναι αξιόπιστη, ωστόσο, η παρουσία τέτοιας προστασίας δεν εξαλείφει την ανάγκη χρήσης και φίλτρου από την πλευρά του διακομιστή. Ενάντια στις ίδιες επιθέσεις XSS στον διακομιστή, μπορείτε να οργανώσετε μια πρόσθετη γραμμή άμυνας. Πρέπει επίσης να θυμόμαστε την πιθανότητα ένας εισβολέας να εισάγει το μήνυμα html που αποστέλλεται από τον ιστότοπο, όχι από το πρόγραμμα περιήγησης, αλλά από scripts διακομιστή (php), αναγνωρίζοντας ποια από το πρόγραμμα περιήγησης δεν θα είναι ισχυρή.

Ένα σενάριο επίθεσης, είτε είναι σενάριο προγράμματος περιήγησης είτε σενάριο διακομιστή, είναι ένα πρόγραμμα και πρέπει να σκεφτεί κανείς ότι το πρόγραμμα θα έχει πάντα κάποιες συμβολικές διαφορές από την "καθαρή" html. Ας προσπαθήσουμε να βρούμε τέτοιες διαφορές και να τις χρησιμοποιήσουμε για να δημιουργήσουμε ένα φίλτρο html στον διακομιστή. Παρακάτω είναι παραδείγματα κακόβουλης JavaScript.

XSS:

κάποιο κείμενο


κάποιο κείμενο

Κρυπτογραφημένο XSS:

κάποιο κείμενο


κάποιο κείμενο

Τα προγράμματα περιήγησης επαναφέρουν κείμενο από πρωτόγονους χαρακτήρες όχι μόνο μέσα σε κοντέινερ html (μεταξύ των ετικετών ανοίγματος και κλεισίματος), αλλά και μέσα στις ίδιες τις ετικέτες (μεταξύ< и >). Η κωδικοποίηση URL επιτρέπεται στις διευθύνσεις http. Αυτό περιπλέκει την αναγνώριση κακόβουλου κώδικα από την πλευρά του διακομιστή, καθώς η ίδια ακολουθία χαρακτήρων μπορεί να αναπαρασταθεί με διαφορετικούς τρόπους.

σκουλήκια XSS:

"+innerHTML.slice(action= (method="post")+".php",155)))">