Κακόβουλα σενάρια. Αναζητούμε και αφαιρούμε κακόβουλο κώδικα στο WordPress. Εξουδετέρωση σεναρίων διακομιστή

Κακόβουλα σενάρια. Αναζητούμε και αφαιρούμε κακόβουλο κώδικα στο WordPress. Εξουδετέρωση σεναρίων διακομιστή

Το WordPress είναι ένα από τα πιο δημοφιλή συστήματα διαχείρισης περιεχομένου, που χρησιμοποιείται για διάφορους σκοπούς, από το blogging μέχρι το ηλεκτρονικό εμπόριο. Υπάρχει μια μεγάλη ποικιλία από πρόσθετα και θέματα WordPress. Συμβαίνει ορισμένες από αυτές τις επεκτάσεις να πέσουν στα χέρια των webmasters αφού κάποιος εισβολέας τις έχει δουλέψει.

Για δικό του όφελος, θα μπορούσε να αφήσει διαφημιστικούς συνδέσμους ή κώδικα σε αυτούς με τους οποίους θα διαχειρίζεται τον ιστότοπό σας. Πολλοί χρήστες του WordPress δεν έχουν μεγάλη εμπειρία στον προγραμματισμό ιστού και δεν ξέρουν πώς να χειριστούν αυτήν την κατάσταση.

Για αυτούς, εξέτασα εννέα από τα πιο αποτελεσματικά εργαλεία για τον εντοπισμό κακόβουλων αλλαγών στον κώδικα ενός ιστότοπου που εκτελείται ή εγκατεστημένων πρόσθετων.

1. Έλεγχος αυθεντικότητας θέματος (TAC)

Έλεγχος αυθεντικότητας θέματος (TAC) – Προσθήκη WordPress που σαρώνει τα πάντα καθιερωμένο θέμαγια ύποπτα στοιχεία όπως αόρατοι σύνδεσμοι ή κρυπτογραφημένος κώδικας Base64.

Έχοντας εντοπίσει τέτοια στοιχεία, το TAC τα αναφέρει στον διαχειριστή του WordPress, επιτρέποντάς του να αναλύσει ανεξάρτητα και, εάν είναι απαραίτητο, να διορθώσει τα αρχεία θέματος προέλευσης:

2. Exploit Scanner

Το Exploit Scanner σαρώνει ολόκληρο τον πηγαίο κώδικα του ιστότοπού σας και τα περιεχόμενα της βάσης δεδομένων WordPress για αμφισβητήσιμες συμπεριλήψεις. Ακριβώς όπως το TAC, αυτό το πρόσθετο δεν αποτρέπει τις επιθέσεις ούτε καταπολεμά τις συνέπειές τους αυτόματα.

Εμφανίζει μόνο ανιχνευμένα συμπτώματα μόλυνσης στον διαχειριστή του ιστότοπου. Αν θέλετε να διαγράψετε κακόβουλος κώδικας, θα πρέπει να το κάνετε χειροκίνητα:

3. Sucuri Security

Το Sucuri είναι μια πολύ γνωστή λύση ασφαλείας του WordPress. Η προσθήκη Sucuri Security παρακολουθεί τα αρχεία που ανεβαίνουν σε έναν ιστότοπο WordPress, διατηρεί τη δική της λίστα με γνωστές απειλές και σας επιτρέπει επίσης να σαρώσετε εξ αποστάσεως τον ιστότοπο χρησιμοποιώντας τον δωρεάν σαρωτή Sucuri SiteCheck. Πίσω ποσό συνδρομήςΜπορείτε να ενισχύσετε περαιτέρω την προστασία του ιστότοπού σας εγκαθιστώντας το ισχυρό Τείχος προστασίας ιστότοπου Sucuri:

4. Anti-Malware

Το Anti-Malware είναι ένα πρόσθετο για το WordPress που μπορεί να βρει και να αφαιρέσει σενάρια Trojan, backdoors και άλλο κακόβουλο κώδικα.

Οι ρυθμίσεις σάρωσης και διαγραφής μπορούν να προσαρμοστούν. Αυτό το πρόσθετο μπορεί να χρησιμοποιηθεί αφού εγγραφείτε δωρεάν στο gotmls.

Η προσθήκη έχει τακτική πρόσβαση στον ιστότοπο του κατασκευαστή, μεταδίδοντας στατιστικά στοιχεία εντοπισμού κακόβουλου λογισμικού και λαμβάνοντας ενημερώσεις. Επομένως, εάν δεν θέλετε να εγκαταστήσετε πρόσθετα στον ιστότοπό σας που παρακολουθούν τη λειτουργία του, τότε θα πρέπει να αποφύγετε τη χρήση Anti-Malware:

5. WP Antivirus Site Protection

Το WP Antivirus Site Protection είναι μια προσθήκη που σαρώνει όλα τα αρχεία που ανεβαίνουν σε έναν ιστότοπο, συμπεριλαμβανομένων των θεμάτων του WordPress.

Το πρόσθετο έχει τη δική του βάση δεδομένων υπογραφών, η οποία ενημερώνεται αυτόματα μέσω του Διαδικτύου. Μπορεί να αφαιρέσει τις απειλές αυτόματα, να ειδοποιήσει τον διαχειριστή του ιστότοπου ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗΚαι πολλα ΑΚΟΜΑ.

Το πρόσθετο είναι εγκατεστημένο και λειτουργεί δωρεάν, αλλά έχει πολλά πρόσθετα επί πληρωμή που αξίζει να προσέξετε:

6. AntiVirus για WordPress

Το AntiVirus for WordPress είναι ένα εύχρηστο πρόσθετο που μπορεί να σαρώνει τακτικά τον ιστότοπό σας και να σας ειδοποιεί για θέματα ασφαλείας μέσω email. Η προσθήκη έχει μια προσαρμόσιμη λίστα επιτρεπόμενων και άλλες δυνατότητες:

7. Quterra Web Malware Scanner

Ο σαρωτής της Quterra ελέγχει έναν ιστότοπο για τρωτά σημεία, ενέσεις κώδικα τρίτων, ιούς, κερκόπορτες κ.λπ. Ο σαρωτής έχει τόσο ενδιαφέροντα χαρακτηριστικά όπως η ευρετική σάρωση και η ανίχνευση εξωτερικών συνδέσμων.

Οι βασικές λειτουργίες του σαρωτή είναι δωρεάν, ενώ ορισμένες πρόσθετες υπηρεσίες θα σας κοστίζουν 60 $ ετησίως:

8. Wordfence

Αν αναζητάτε μια ολοκληρωμένη λύση στα προβλήματα ασφάλειας του ιστότοπού σας, μην ψάξετε περισσότερο από το Wordfence.

Αυτό το πρόσθετο παρέχει συνεχή προστασία για το WordPress από γνωστούς τύπους επιθέσεων, έλεγχο ταυτότητας δύο παραγόντων, υποστήριξη για μια «μαύρη λίστα» διευθύνσεων IP υπολογιστών και δικτύων που χρησιμοποιούνται από χάκερ και αποστολείς ανεπιθύμητης αλληλογραφίας και σάρωση του ιστότοπου για γνωστά backdoors.

Αυτό το πρόσθετο είναι δωρεάν στη βασική του έκδοση, αλλά έχει επίσης premium λειτουργικότητα, για την οποία ο κατασκευαστής ζητά μια μικρή συνδρομή:

9.Wemahu

Η Wemahu παρακολουθεί τις αλλαγές στον κώδικα του ιστότοπού σας και αναζητά κακόβουλο κώδικα.

Η βάση δεδομένων στην οποία ανιχνεύεται κακόβουλο λογισμικό αναπληρώνεται χρησιμοποιώντας τη μέθοδο crowdsourcing: οι ίδιοι οι χρήστες την αναπληρώνουν στέλνοντας τα αποτελέσματα της σάρωσης μολυσμένων εγκαταστάσεων WordPress στον ιστότοπο του συγγραφέα της προσθήκης. Το πρόσθετο υποστηρίζει επίσης την αποστολή αναφορών μέσω email και άλλες χρήσιμες λειτουργίες.

Πρέπει να γίνει μαζί. Εάν εξαλείψετε την αρχική αιτία της εισβολής (για παράδειγμα, μια ευπάθεια στην επέκταση CMS), αλλά δεν καταργήσετε όλα τα κακόβουλα αρχεία, ο εισβολέας θα μπορέσει να αποκτήσει ξανά πρόσβαση στον ιστότοπο χρησιμοποιώντας ένα από τα σενάρια του. Εάν καταργήσετε όλα τα ληφθέντα κακόβουλα σενάρια, αλλά δεν εξαλείψετε την αιτία της εισβολής, ο εισβολέας θα μπορεί να χακάρει ξανά τον ιστότοπο και να πραγματοποιήσει ξανά λήψη σεναρίων σε αυτόν.

Ένας ειδικός με τις κατάλληλες γνώσεις και πείρα θα πρέπει να εκτελέσει εργασίες για την αφαίρεση κακόβουλων σεναρίων και την ανάλυση των αιτιών του hacking:

  • Για να αφαιρέσετε κακόβουλα σενάρια, χρειάζεστε γνώση της γλώσσας προγραμματισμού PHP, καθώς και γνώση του «εσωτερικού» του δημοφιλούς CMS (Joomla, WordPress κ.λπ.) και των επεκτάσεων για αυτά. Αυτή η γνώση απαιτείται για τη διάκριση των σεναρίων απευθείας από το CMS και των επεκτάσεών του από τα εξωτερικά αρχεία, καθώς και για να μπορείτε να προσδιορίσετε με σαφήνεια ποιες ενέργειες εκτελούν όταν αντιμετωπίζουν αμφίβολα σενάρια.
  • Για την ανάλυση των αιτιών του hacking, απαιτείται εμπειρία διαχείρισης διακομιστή. Αυτό είναι απαραίτητο για την ανάλυση της κατάστασης των αρχείων στο λογαριασμό, του χρόνου αλλαγής τους, καθώς και για τη σύγκριση αυτών των δεδομένων με τα αρχεία καταγραφής διακομιστή για να προσδιοριστεί ποιες ενέργειες του εισβολέα οδήγησαν στην παραβίαση τοποθεσιών.

Επομένως, εάν ο ιστότοπός σας έχει παραβιαστεί, συνιστάται, για να αποφύγετε επαναλαμβανόμενα hacks, να μην κάνετε τη δουλειά μόνοι σας, αλλά να επικοινωνήσετε με έναν ειδικό που θα πραγματοποιήσει τα απαραίτητα διαγνωστικά και θα συστήσει ή θα εκτελέσει απαραίτητες ενέργειεςγια την επίλυση του προβλήματος και ποιος μπορεί να εγγυηθεί την ποιότητα του ληφθέντος αποτελέσματος.

Ωστόσο, υπάρχει μια σειρά από μέτρα που σε ορισμένες περιπτώσεις βοηθούν στην αποκατάσταση της ασφαλούς λειτουργίας του ιστότοπου χωρίς ιδιαίτερες γνώσεις. Ο περιορισμός της παρακάτω μεθόδου είναι ότι για να συνεχιστεί η λειτουργία του ιστότοπου, απαιτείται ένα αντίγραφο ασφαλείας του που δημιουργήθηκε πριν από την εισβολή. Εάν η ημερομηνία της παραβίασης είναι άγνωστη, μπορείτε να δοκιμάσετε αυτήν τη μέθοδο χρησιμοποιώντας το παλαιότερο διαθέσιμο αντίγραφο ασφαλείας. Ο δεύτερος περιορισμός, ως συνέπεια του πρώτου, είναι ότι μετά την επαναφορά του ιστότοπου, τα δεδομένα προστέθηκαν στον ιστότοπο μετά τη δημιουργία του αντιγράφου ασφαλείας επαναφοράς (για παράδειγμα, νέα άρθρα, εικόνες ή έγγραφα). Εάν πρέπει να επαναφέρετε τον ιστότοπο ενώ διατηρείτε νέα δεδομένα, πρέπει να επικοινωνήσετε με έναν ειδικό.

Αυτά τα μέτρα δεν μας επιτρέπουν να προσδιορίσουμε την αιτία της παραβίασης του ιστότοπου, αλλά καθένα από αυτά στοχεύει στην εξάλειψη μιας από τις πιθανές αιτίες διείσδυσης. Δεδομένου ότι ο ακριβής λόγος για το hack είναι άγνωστος, είναι απαραίτητο να πραγματοποιηθούν όλα. Οι ενέργειες είναι οργανωμένες με τέτοια σειρά ώστε πρώτα να εξαλειφθεί εντελώς η πιθανότητα ο εισβολέας να συνεχίσει τις δραστηριότητές του στον ιστότοπο ή στον λογαριασμό φιλοξενίας επί του παρόντοςκαι, στη συνέχεια, αποτρέψτε την είσοδο ενός εισβολέα στον ιστότοπο στο μέλλον.

Τα παρακάτω βήματα προϋποθέτουν ότι έχετε μόνο έναν ιστότοπο στον λογαριασμό φιλοξενίας σας. Εάν υπάρχουν πολλοί ιστότοποι στον λογαριασμό, τότε θα μπορούσαν επίσης να παραβιαστούν και ο ιστότοπος θα μπορούσε να παραβιαστεί μέσω αυτών. Είναι απαραίτητο είτε να μεταφέρετε τον ιστότοπο με τον οποίο εκτελούνται εργασίες αποκατάστασης σε ξεχωριστό λογαριασμό είτε να πραγματοποιήσετε αποκατάσταση για όλους τους ιστότοπους που φιλοξενούνται στον λογαριασμό ταυτόχρονα.

Η σειρά των ενεργειών είναι σημαντική, επομένως είναι απαραίτητο να τις εκτελέσετε με την ακριβή σειρά με την οποία βρίσκονται παρακάτω.

  • Αμέσως μετά την ανακάλυψη ότι ένας ιστότοπος έχει παραβιαστεί, είναι απαραίτητο να αποκλειστεί πλήρως η πρόσβαση των επισκεπτών σε αυτόν. Αυτό, πρώτον, θα εμποδίσει τον εισβολέα να πραγματοποιήσει κακόβουλες δραστηριότητες στον ιστότοπο και, δεύτερον, δεν θα του επιτρέψει να παρέμβει στις εργασίες αποκατάστασης. Αυτό το βήμα είναι πολύ σημαντικό, καθώς η κατάργηση κακόβουλων σεναρίων και η εξάλειψη της αιτίας της εισβολής δεν γίνεται από τη μια μέρα στην άλλη - κατά κανόνα, χρειάζονται αρκετές ώρες. Εάν ο ιστότοπος παραμένει προσβάσιμος από έξω, ο εισβολέας θα μπορεί να ανεβάσει εκ νέου σενάρια στην ενότητα του ιστότοπου που έχει ήδη εκκαθαριστεί. Σε αυτήν την περίπτωση, ένας εισβολέας μπορεί να χρησιμοποιήσει διαφορετικές διευθύνσεις IP για να συνδεθεί, επομένως η άρνηση πρόσβασης μόνο σε μια λίστα διευθύνσεων IP δεν θα λειτουργήσει. Για να διασφαλιστεί ότι ο ιστότοπος καθαρίζεται από εντοπισμένα κακόβουλα σενάρια, είναι απαραίτητο να αποκλειστεί πλήρως η δυνατότητα του εισβολέα να έχει πρόσβαση στον ιστότοπο, κάτι που μπορεί να γίνει μόνο με τον πλήρη αποκλεισμό του ιστότοπου για τυχόν επισκέπτες. Επικοινωνήστε με την υπηρεσία τεχνικής υποστήριξης του hosting που φιλοξενεί τον ιστότοπό σας για να τον αποκλείσετε.
  • Αφού αποκλείσετε τον ιστότοπο, πρέπει να ελέγξετε τους υπολογιστές από τους οποίους εργαζόσασταν με τον ιστότοπο με ένα σύγχρονο πρόγραμμα προστασίας από ιούς με ενημερωμένες βάσεις δεδομένων ιών. Εάν ο ιστότοπος παραβιάστηκε με κλοπή κωδικών πρόσβασης λογαριασμού χρησιμοποιώντας ιό, πρέπει να βεβαιωθείτε ότι η περαιτέρω εργασία με τον παραβιασμένο ιστότοπο πραγματοποιείται από υπολογιστή που δεν έχει ιούς, διαφορετικά μετά την αλλαγή των κωδικών πρόσβασης ενδέχεται να κλαπούν ξανά.
  • Μετά τον αποκλεισμό του ιστότοπου και τον έλεγχο για ιούς, πρέπει να αλλάξετε όλους τους κωδικούς πρόσβασης στον λογαριασμό σας: πρόσβαση μέσω FTP, μέσω SSH, καθώς και πρόσβαση στον πίνακα ελέγχου φιλοξενίας. Εάν ένας εισβολέας είχε πρόσβαση στα αρχεία λογαριασμού χρησιμοποιώντας μία από αυτές τις μεθόδους, αφού αλλάξουν οι κωδικοί πρόσβασης, δεν θα μπορεί πλέον να το κάνει.
  • Αφού αλλάξετε τους κωδικούς πρόσβασης, πρέπει να καταστρέψετε όλες τις διεργασίες διακομιστή που εκτελούνται στον λογαριασμό στον οποίο διατηρείται ο ιστότοπος. Οι διαδικασίες που ξεκινούν από έναν εισβολέα στο παρασκήνιο, χωρίς να καταστραφούν, θα μπορούν να επανατοποθετήσουν κακόβουλα σενάρια στον ιστότοπο μετά την εκτέλεση εργασιών αποκατάστασης. Για να μην συμβεί αυτό, όλες οι διεργασίες που εκτελούνται πριν από τον αποκλεισμό του ιστότοπου πρέπει να καταστραφούν. Ο ιστότοπος θα πρέπει να είναι ήδη αποκλεισμένος αυτή τη στιγμή, έτσι ώστε ο εισβολέας να μην μπορεί να ξεκινήσει νέες διαδικασίες με πρόσβαση σε ένα από τα σενάρια του στον ιστότοπο. Για να καταστρέψετε τις διαδικασίες που εκτελούνται στον λογαριασμό σας, επικοινωνήστε με την υπηρεσία τεχνικής υποστήριξης της φιλοξενίας που φιλοξενεί τον ιστότοπό σας.
  • Τώρα είναι αδύνατο να διεισδύσετε στον ιστότοπο από έξω και μπορείτε να αρχίσετε να τον επαναφέρετε.
  • Πριν από περαιτέρω ενέργειες, διαγράψτε όλα τα υπάρχοντα αρχεία τοποθεσίας για να βεβαιωθείτε ότι δεν υπάρχουν κακόβουλα σενάρια ή σενάρια CMS στα οποία ο εισβολέας έχει εισαγάγει κακόβουλο κώδικα. Αυτό το βήμα είναι επίσης σημαντικό επειδή κατά την επαναφορά ενός ιστότοπου από ένα αντίγραφο ασφαλείας, τα αρχεία που υπήρχαν πριν από την επαναφορά δεν διαγράφονται πάντα. Εάν, μετά την επαναφορά από ένα αντίγραφο ασφαλείας, παλιά κακόβουλα σενάρια παραμένουν στον ιστότοπο, ο εισβολέας θα μπορεί να εισέλθει ξανά στον ιστότοπο. Μπορείτε να το αποφύγετε διαγράφοντας όλα τα αρχεία του ιστότοπου πριν πραγματοποιήσετε ανάκτηση.
  • Αφού διαγράψετε όλα τα αρχεία του ιστότοπου, επαναφέρετε τον ιστότοπο από ένα αντίγραφο ασφαλείας που δημιουργήθηκε πριν από την παραβίαση. Συχνά αρκεί να επαναφέρετε μόνο τα αρχεία του ιστότοπου, αλλά εάν, μετά την επαναφορά τους, παρατηρηθούν σφάλματα στη λειτουργία του ιστότοπου, είναι απαραίτητο να επαναφέρετε πλήρως τον ιστότοπο: τόσο τα αρχεία όσο και τη βάση δεδομένων.
  • Μετά την επαναφορά από ένα αντίγραφο ασφαλείας, ενημερώστε το σύστημα διαχείρισης περιεχομένου (CMS) και τις επεκτάσεις στις πιο πρόσφατες εκδόσεις. Αυτό είναι απαραίτητο για να αποκλειστεί η παρουσία γνωστών τρωτών σημείων στον ιστότοπο μέσω των οποίων θα μπορούσε να παραβιαστεί. Κατά κανόνα, η ενημέρωση μπορεί να γίνει μέσω της ενότητας διαχείρισης CMS. Για να πάρεις πλήρεις οδηγίεςΓια να ενημερώσετε το CMS, πρέπει να μεταβείτε στον ιστότοπο του προγραμματιστή του συστήματος. Είναι σημαντικό να ενημερώνετε όχι μόνο το ίδιο το CMS, αλλά και όλες τις επεκτάσεις του, καθώς η παραβίαση συμβαίνει συχνά μέσω μιας ευπάθειας που υπάρχει σε μία από τις επεκτάσεις CMS (για παράδειγμα, πρόσθετα, θέματα, γραφικά στοιχεία κ.λπ.). Αυτή τη στιγμή, εξακολουθεί να είναι αδύνατο να ξεμπλοκάρετε τον ιστότοπο για τους επισκέπτες, καθώς μπορεί να εξακολουθεί να είναι ευάλωτος. Για να αποκτήσετε πρόσβαση στον ιστότοπό σας για ενημέρωση, επικοινωνήστε με την τεχνική υποστήριξη της φιλοξενίας που φιλοξενεί τον ιστότοπό σας και ζητήστε να επιτρέπεται η πρόσβαση στον ιστότοπο μόνο από τη διεύθυνση IP του υπολογιστή σας. Μπορείτε να μάθετε τη διεύθυνση IP σας, για παράδειγμα, στο inet.yandex.ru.
  • Αφού ενημερώσετε το σύστημα διαχείρισης ιστότοπου και τις επεκτάσεις του, μεταβείτε στην ενότητα διαχείρισης ιστότοπου και αλλάξτε τον κωδικό πρόσβασης διαχειριστή σε αυτό. Βεβαιωθείτε ότι μεταξύ των χρηστών του ιστότοπου δεν υπάρχουν άλλοι χρήστες με δικαιώματα διαχειριστή (θα μπορούσαν να έχουν προστεθεί από εισβολέα) και εάν εντοπιστούν, διαγράψτε τους.
  • Τώρα που ο ιστότοπος έχει αποκατασταθεί από αντίγραφο ασφαλείας και δεν περιέχει κακόβουλα σενάρια, το CMS και οι επεκτάσεις του έχουν ενημερωθεί στις πιο πρόσφατες εκδόσεις που δεν περιέχουν ευπάθειες και οι κωδικοί πρόσβασης για πρόσβαση στον ιστότοπο και τον λογαριασμό φιλοξενίας έχουν αλλάξει, μπορεί να ανοίξει ξανά τον ιστότοπο στους επισκέπτες.

    • Όλες οι παραπάνω ενέργειες πρέπει να εκτελούνται σύμφωνα με την καθορισμένη σειρά, χωρίς παραλείψεις ή αλλαγές. Εάν οι ενέργειες εκτελεστούν με ανακριβή τρόπο, ενδέχεται να παραμείνουν στον ιστότοπο κακόβουλα σενάρια ή ευπάθειες, με αποτέλεσμα να μπορεί να χακαριστεί ξανά από έναν εισβολέα μετά από σύντομο χρονικό διάστημα. Εάν για κάποιο λόγο δεν είναι δυνατό να εκτελέσετε τα παραπάνω βήματα στη μορφή με την οποία υποδεικνύονται, επικοινωνήστε με έναν ειδικό για να εκτελέσετε εργασίες για την αποκατάσταση του ιστότοπου μετά από μια παραβίαση.

    Για να προστατεύσετε τον ιστότοπό σας από επαναλαμβανόμενες εισβολές στο μέλλον, πρέπει να τηρείτε τις ακόλουθες συστάσεις:
  • Παρακολουθήστε τις ενημερώσεις του CMS και τις επεκτάσεις για αυτό στους ιστότοπους των προγραμματιστών και ενημερώστε τους αμέσως στις πιο πρόσφατες εκδόσεις. Εάν ένα σχόλιο ενημέρωσης αναφέρει ότι διορθώνει ένα θέμα ευπάθειας, εγκαταστήστε την ενημέρωση το συντομότερο δυνατό.
  • Εργαστείτε με τον ιστότοπο και τον λογαριασμό φιλοξενίας μόνο από υπολογιστές που προστατεύονται από ιούς από σύγχρονα προγράμματα προστασίας από ιούς με συνεχώς ενημερωμένες βάσεις δεδομένων ιών.
  • Χρησιμοποιήστε σύνθετους κωδικούς πρόσβασης ώστε να μην μπορούν να μαντευτούν μέσω αναζήτησης λεξικού.
  • Μην αποθηκεύετε κωδικούς πρόσβασης FTP και SSH σε προγράμματα για σύνδεση στον ιστότοπο και μην αποθηκεύετε τον κωδικό πρόσβασης στη διαχειριστική περιοχή του ιστότοπου και στον πίνακα ελέγχου φιλοξενίας στο πρόγραμμα περιήγησής σας.
  • Από καιρό σε καιρό (για παράδειγμα, μία φορά κάθε τρεις μήνες), αλλάξτε τους κωδικούς πρόσβασης για την πρόσβαση στον ιστότοπο και τον λογαριασμό φιλοξενίας.
  • Εάν εντοπίστηκαν ιοί στον υπολογιστή από τον οποίο εργαζόσασταν με τον ιστότοπο, αλλάξτε τους κωδικούς πρόσβασης στον ιστότοπο και τον λογαριασμό φιλοξενίας το συντομότερο δυνατό. Είναι απαραίτητο να αλλάξετε όλους τους κωδικούς πρόσβασης: πρόσβαση στους κωδικούς πρόσβασης μέσω FTP, SSH, τον κωδικό πρόσβασης από τον πίνακα διαχείρισης του ιστότοπου, καθώς και τον κωδικό πρόσβασης από τον πίνακα ελέγχου φιλοξενίας.
  • Μην παρέχετε πρόσβαση στον ιστότοπο σε τρίτους, εκτός εάν είστε βέβαιοι ότι θα ακολουθήσουν επίσης αυτές τις οδηγίες.

    • Κακόβουλος κώδικας εισέρχεται στον ιστότοπο από αμέλεια ή κακόβουλη πρόθεση. Οι σκοποί του κακόβουλου κώδικα ποικίλλουν, αλλά ουσιαστικά βλάπτει ή παρεμποδίζει την κανονική λειτουργία ενός ιστότοπου. Για να αφαιρέσετε κακόβουλο κώδικα στο WordPress, πρέπει πρώτα να τον βρείτε.

    Τι είναι ο κακόβουλος κώδικας σε έναν ιστότοπο WordPress;

    Με εμφάνιση, τις περισσότερες φορές, κακόβουλος κώδικας είναι ένα σύνολο γραμμάτων και συμβόλων του λατινικού αλφαβήτου. Στην πραγματικότητα, αυτός είναι ένας κρυπτογραφημένος κώδικας με τον οποίο εκτελείται αυτή ή αυτή η ενέργεια. Οι ενέργειες μπορεί να είναι πολύ διαφορετικές, για παράδειγμα, οι νέες αναρτήσεις σας δημοσιεύονται αμέσως σε έναν πόρο τρίτου μέρους. Αυτό ουσιαστικά κλέβει το περιεχόμενό σας. Οι κώδικες έχουν επίσης άλλες «καθήκοντες», για παράδειγμα, την τοποθέτηση εξερχόμενων συνδέσμων σε σελίδες ιστότοπου. Οι εργασίες μπορεί να είναι οι πιο περίπλοκες, αλλά ένα πράγμα είναι σαφές: οι κακόβουλοι κωδικοί πρέπει να αναζητηθούν και να αφαιρεθούν.

    Πώς εισέρχονται κακόβουλοι κωδικοί σε έναν ιστότοπο;

    Υπάρχουν επίσης πολλά κενά για την είσοδο κωδικών στον ιστότοπο.

  • Τις περισσότερες φορές, αυτά είναι θέματα και προσθήκες που λαμβάνονται από "αριστερούς" πόρους. Ωστόσο, μια τέτοια διείσδυση είναι χαρακτηριστική για τους λεγόμενους κρυπτογραφημένους συνδέσμους. Ο ρητός κώδικας δεν καταλήγει στον ιστότοπο.
  • Η διείσδυση ενός ιού όταν ένας ιστότοπος παραβιάζεται είναι η πιο επικίνδυνη. Κατά κανόνα, η παραβίαση ενός ιστότοπου σάς επιτρέπει να τοποθετήσετε όχι μόνο έναν "κωδικό μιας χρήσης", αλλά και να εγκαταστήσετε κώδικα με στοιχεία κακόβουλου λογισμικού ( κακόβουλο λογισμικό). Για παράδειγμα, βρίσκετε έναν κωδικό και τον διαγράφετε, αλλά αποκαθίσταται μετά από κάποιο χρονικό διάστημα. Υπάρχουν, πάλι, πολλές επιλογές.

    • Επιτρέψτε μου να σημειώσω αμέσως ότι η καταπολέμηση τέτοιων ιών είναι δύσκολη και η μη αυτόματη αφαίρεση απαιτεί γνώση. Υπάρχουν τρεις λύσεις στο πρόβλημα: η πρώτη λύση είναι να χρησιμοποιήσετε πρόσθετα προστασίας από ιούς, για παράδειγμα, ένα πρόσθετο που ονομάζεται BulletProof Security.

    Αυτή η λύση δίνει καλά αποτελέσματα, αλλά απαιτεί χρόνο, αν και λίγο. Υπάρχει μια πιο ριζική λύση για να απαλλαγείτε από κακόβουλους κώδικες, συμπεριλαμβανομένων πολύπλοκων ιών, η οποία είναι η επαναφορά του ιστότοπου από αντίγραφα ασφαλείας του ιστότοπου που είχαν δημιουργηθεί στο παρελθόν.

    Εφόσον ένας καλός webmaster το κάνει αυτό περιοδικά, μπορείτε να επιστρέψετε σε μια μη μολυσμένη έκδοση χωρίς προβλήματα. Η τρίτη λύση είναι για τους πλούσιους και τεμπέληδες, απλά επικοινωνήστε με ένα εξειδικευμένο «γραφείο» ή έναν μεμονωμένο ειδικό.

    Πώς να αναζητήσετε κακόβουλο κώδικα στο WordPress

    Είναι σημαντικό να κατανοήσουμε ότι ο κακόβουλος κώδικας στο WordPress μπορεί να βρίσκεται σε οποιοδήποτε αρχείο στον ιστότοπο και όχι απαραίτητα στο θέμα εργασίας. Μπορεί να βρει ένα πρόσθετο, ένα θέμα ή έναν «σπιτικό» κώδικα από το Διαδίκτυο. Υπάρχουν διάφοροι τρόποι για να προσπαθήσετε να βρείτε κακόβουλο κώδικα.

    Μέθοδος 1: Χειροκίνητα. Μπορείτε να κάνετε κύλιση σε όλα τα αρχεία του ιστότοπου και να τα συγκρίνετε με τα αρχεία ενός μη μολυσμένου αντιγράφου ασφαλείας. Εάν βρείτε τον κωδικό κάποιου άλλου, διαγράψτε τον.

    Μέθοδος 2: Χρήση προσθηκών ασφαλείας WordPress. Για παράδειγμα, . Αυτή η προσθήκη έχει μια εξαιρετική δυνατότητα, τη σάρωση αρχείων ιστότοπου για την παρουσία του κώδικα άλλων ατόμων και η προσθήκη αντιμετωπίζει τέλεια αυτήν την εργασία.

    Μέθοδος 3. Εάν έχετε εύλογη υποστήριξη φιλοξενίας και σας φαίνεται ότι υπάρχει κάποιος άλλος στον ιστότοπο, ζητήστε του να σαρώσει τον ιστότοπό σας με το πρόγραμμα προστασίας από ιούς. Η αναφορά τους θα περιλαμβάνει όλα τα μολυσμένα αρχεία. Στη συνέχεια, ανοίξτε αυτά τα αρχεία επεξεργαστής κειμένουκαι αφαιρέστε τον κακόβουλο κώδικα.

    Μέθοδος 4. Εάν μπορείτε να εργαστείτε με πρόσβαση SSH στον κατάλογο του ιστότοπου, τότε προχωρήστε, έχει τη δική του κουζίνα.

    Σπουδαίος! Ανεξάρτητα από το πώς αναζητάτε κακόβουλο κώδικα, πριν κάνετε αναζήτηση και στη συνέχεια διαγράψετε τον κώδικα, κλείστε την πρόσβαση στα αρχεία του ιστότοπου (ενεργοποιήστε τη λειτουργία συντήρησης). Θυμηθείτε τους κωδικούς που οι ίδιοι αποκαθίστανται όταν διαγράφονται.

    Αναζητήστε κακόβουλους κωδικούς χρησιμοποιώντας τη λειτουργία eval

    Υπάρχει μια τέτοια συνάρτηση στην PHP που ονομάζεται eval. Σας επιτρέπει να εκτελέσετε οποιονδήποτε κώδικα στη γραμμή του. Επιπλέον, ο κώδικας μπορεί να κρυπτογραφηθεί. Λόγω της κωδικοποίησης, ο κακόβουλος κώδικας μοιάζει με ένα σύνολο γραμμάτων και συμβόλων. Δύο δημοφιλείς κωδικοποιήσεις είναι:

  • Βάση64;
  • Rot13.

    • Συνεπώς, σε αυτές τις κωδικοποιήσεις η συνάρτηση eval μοιάζει με αυτό:

    • eval(base64_decode(...))
    • eval (str_rot13 (...)) //σε εσωτερικά εισαγωγικά, μεγάλα, ασαφή σύνολα γραμμάτων και συμβόλων..

    Ο αλγόριθμος για την αναζήτηση κακόβουλου κώδικα χρησιμοποιώντας τη συνάρτηση eval είναι ο εξής (εργαζόμαστε από τον πίνακα διαχείρισης):

    • μεταβείτε στον επεξεργαστή ιστότοπου (Εμφάνιση→Επεξεργαστής).
    • αντιγράψτε το αρχείο functions.php.
    • ανοίξτε το σε ένα πρόγραμμα επεξεργασίας κειμένου (για παράδειγμα, Notepad++) και αναζητήστε τη λέξη: eval.
    • Αν το βρείτε, μην βιαστείτε να διαγράψετε τίποτα. Πρέπει να καταλάβετε τι «ζητά» να εκτελεστεί αυτή η λειτουργία. Για να γίνει κατανοητό αυτό, ο κώδικας πρέπει να αποκωδικοποιηθεί. Για την αποκωδικοποίηση υπάρχουν διαδικτυακά εργαλεία που ονομάζονται αποκωδικοποιητές.
    Αποκωδικοποιητές/Κωδικοποιητές

    Οι αποκωδικοποιητές λειτουργούν απλά. Αντιγράφετε τον κωδικό που θέλετε να αποκρυπτογραφήσετε, τον επικολλάτε στο πεδίο του αποκωδικοποιητή και τον αποκωδικοποιείτε.

    Τη στιγμή της γραφής, δεν βρήκα ούτε έναν κρυπτογραφημένο κώδικα στο WordPress. Βρήκα τον κώδικα από τον ιστότοπο του Joomla. Κατ' αρχήν, δεν υπάρχει διαφορά στην κατανόηση της αποκωδικοποίησης. Ας δούμε τη φωτογραφία.

    Όπως μπορείτε να δείτε στη φωτογραφία, η λειτουργία eval, μετά την αποκωδικοποίηση, δεν εμφάνισε έναν τρομερό κωδικό που απειλεί την ασφάλεια του ιστότοπου, αλλά έναν κρυπτογραφημένο σύνδεσμο πνευματικών δικαιωμάτων από τον συγγραφέα του προτύπου. Μπορεί επίσης να αφαιρεθεί, αλλά θα επανέλθει μετά την ενημέρωση του προτύπου εάν δεν χρησιμοποιήσετε .

    Εν κατακλείδι, θα ήθελα να σημειώσω, για να μην κολλήσετε ιό στον ιστότοπο:

    • Ο κακόβουλος κώδικας στο WordPress συχνά συνοδεύεται από θέματα και προσθήκες. Επομένως, μην εγκαθιστάτε πρότυπα και πρόσθετα από «αριστερούς», μη επαληθευμένους πόρους και, αν το κάνετε, ελέγξτε τα προσεκτικά για την παρουσία συνδέσμων και εκτελεστικών λειτουργιών της PHP. Αφού εγκαταστήσετε πρόσθετα και θέματα από «παράνομους» πόρους, ελέγξτε τον ιστότοπο με λογισμικό προστασίας από ιούς.
    • Φροντίστε να δημιουργείτε περιοδικά αντίγραφα ασφαλείας και να εκτελείτε άλλα.

    1. Αποσυσκευάστε το στο φάκελο της τοποθεσίας.
    2. ακολουθήστε τον σύνδεσμο your_site/fscure/
    3. τα πάντα

    Τι μπορεί να κάνει?

    1. Αυτόματη αναζήτηση ιών με υπογραφές.
    2. Αναζητήστε μια συμβολοσειρά σε αρχεία
    3. Διαγραφή αρχείων
    4. Επιδιορθώστε τον κακόβουλο κώδικα χρησιμοποιώντας κανονικές εκφράσεις

    Το σενάριο δεν θα κάνει όλη τη δουλειά για εσάς και απαιτεί ελάχιστες γνώσεις. Συνιστάται να δημιουργήσετε αντίγραφο ασφαλείας του ιστότοπου πριν από την εργασία.

    Πώς λειτουργεί;

    Κατά την πρώτη εκκίνηση, δημιουργεί ένα ευρετήριο αρχείων. Το αρχείο fscure.lst βρίσκεται στον φάκελο. Εμφανίζει μια λίστα αρχείων που περιέχουν δυνητικά κακόβουλες υπογραφές. "Δυνητικά κακόβουλο" σημαίνει ότι θα πρέπει να αποφασίσετε αν πρόκειται για ιό ή όχι. Η λίστα των υπογραφών διαμορφώνεται στο αρχείο config.php, σταθερό SCAN_SIGN. Με τις προεπιλεγμένες ρυθμίσεις, το σενάριο δεν ελέγχει τα αρχεία js και δεν περιέχει υπογραφές για αυτά.

    Τα πιο κοινά προβλήματα

    1. δεν δημιουργεί το ευρετήριο fscure.lst. Μπορεί να συμβεί εάν δεν υπάρχουν αρκετά δικαιώματα. Βάλτε το 777 στο φάκελο fscure

    2. Σφάλμα 5xx. Τις περισσότερες φορές "504 Gateway Time-out". Το σενάριο δεν έχει χρόνο για επεξεργασία και κολλάει λόγω χρονικού ορίου. Σε αυτή την περίπτωση, υπάρχουν διάφοροι τρόποι για να επιταχύνετε τη δουλειά του. Η ταχύτητα εξαρτάται κυρίως από το μέγεθος του δείκτη. Βρίσκεται στο αρχείο fscure.lst. Συνήθως, ένα αρχείο έως 5 MB μπορεί να υποβληθεί σε επεξεργασία στο 90% των περιπτώσεων. Εάν δεν έχει χρόνο, μπορείτε να μειώσετε την «απληστία» του σεναρίου απαγορεύοντας τη σάρωση *.jpg;*.png;*.css στη διαμόρφωση.
    Στο αρχείο config.php.

    // οριοθέτης; define("FILES_EXCLUDE","*.js;*.jpg;*.png;*.css");

    3. Η φιλοξενία εκδίδει μια προειδοποίηση όπως
    (HEX)base64.inject.unclassed.6: u56565656: /var/www/u65656565/data/www/34535335353.ru/fscure/index.php

    Δεν υπάρχει ιός στο σενάριο και δεν υπήρξε ποτέ. Και το (HEX)base64.inject.unclassed.6 είναι μια κατασκευή όπως το "echo base64_decode(" , το οποίο συναντάται συχνά και από μόνο του είναι αρκετά ακίνδυνο. Ωστόσο, σε τελευταία έκδοση, αντικατέστησα αυτόν τον κωδικό.

    Τι να κάνετε εάν δεν μπορέσατε να βρείτε μόνοι σας τον ιό;

    Μπορείτε να επικοινωνήσετε μαζί μου για βοήθεια. Οι τιμές μου είναι μέτριες. Εγγυώμαι την εργασία μου για 6 μήνες. Το κόστος της εργασίας είναι 800 ρούβλια. για 1 ιστότοπο. Εάν υπάρχουν πολλοί ιστότοποι στον λογαριασμό σας, η τιμή καθορίζεται ξεχωριστά.

    Εάν καταφέρατε να κάνετε τα πάντα μόνοι σας, θα σας ήμουν ευγνώμων για μια οικονομική ανταμοιβή ή έναν σύνδεσμο προς τον ιστότοπό μου.

    Οι προϋποθέσεις μου:
    yandex
    41001151597934

    webmoney
    Z959263622242
    R356304765617
    E172301357329

    Η αλήθεια της ζωής είναι ότι ο ιστότοπος μπορεί να χακαριστεί αργά ή γρήγορα. Αφού εκμεταλλευτεί επιτυχώς την ευπάθεια, ο χάκερ προσπαθεί να αποκτήσει βάση στον ιστότοπο τοποθετώντας κελύφη ιστού και προγράμματα λήψης χάκερ σε καταλόγους συστήματος και εισάγοντας backdoors στον κώδικα σεναρίου και στη βάση δεδομένων CMS.

    Οι σαρωτές βοηθούν στον εντοπισμό φορτωμένων κελυφών ιστού, κερκόπορτων, σελίδων phishing, spam email και άλλων τύπων κακόβουλων σεναρίων - όλα όσα γνωρίζουν και έχουν προ-προστεθεί στη βάση δεδομένων υπογραφών κακόβουλου κώδικα. Ορισμένοι σαρωτές, όπως το AI-BOLIT, διαθέτουν ένα σύνολο ευρετικών κανόνων που μπορούν να ανιχνεύσουν αρχεία με ύποπτο κώδικα που χρησιμοποιείται συχνά σε κακόβουλα σενάρια ή αρχεία με ύποπτα χαρακτηριστικά που μπορούν να ληφθούν από χάκερ. Όμως, δυστυχώς, ακόμα κι αν χρησιμοποιούνται αρκετοί σαρωτές στη φιλοξενία, μπορεί να υπάρξουν περιπτώσεις όπου ορισμένα σενάρια χάκερ παραμένουν απαρατήρητα, πράγμα που σημαίνει στην πραγματικότητα ότι ο εισβολέας μένει με μια "πίσω πόρτα" και μπορεί να χακάρει τον ιστότοπο και να αποκτήσει τον έλεγχό του πλήρης έλεγχοςοποτεδήποτε.

    Τα σύγχρονα σενάρια κακόβουλου λογισμικού και χάκερ διαφέρουν σημαντικά από αυτά πριν από 4-5 χρόνια. Επί του παρόντος, οι προγραμματιστές κακόβουλου κώδικα συνδυάζουν συσκότιση, κρυπτογράφηση, αποσύνθεση, εξωτερική φόρτωση κακόβουλου κώδικα και άλλα κόλπα για να ξεγελάσουν το λογισμικό προστασίας από ιούς. Επομένως, η πιθανότητα απώλειας νέου κακόβουλου λογισμικού είναι πολύ μεγαλύτερη από ό,τι πριν.

    Τι μπορεί να γίνει σε αυτή την περίπτωση για να ανιχνεύσει αποτελεσματικότερα ιούς στον ιστότοπο και σενάρια χάκερ στη φιλοξενία; Είναι απαραίτητο να χρησιμοποιηθεί μια ολοκληρωμένη προσέγγιση: αρχική αυτοματοποιημένη σάρωση και περαιτέρω χειροκίνητη ανάλυση. Αυτό το άρθρο θα συζητήσει επιλογές για τον εντοπισμό κακόβουλου κώδικα χωρίς σαρωτές.

    Αρχικά, ας δούμε τι ακριβώς πρέπει να αναζητήσετε κατά τη διάρκεια ενός hack.

  • Σενάρια χάκερ.
    Τις περισσότερες φορές, κατά την παραβίαση, τα αρχεία που λαμβάνονται είναι κελύφη ιστού, backdoors, "uploaders", σενάρια για μηνύματα ανεπιθύμητης αλληλογραφίας, σελίδες ηλεκτρονικού "ψαρέματος" + χειριστές φορμών, πόρτες και αρχεία δεικτών εισβολής (εικόνες από το λογότυπο της ομάδας χάκερ, αρχεία κειμένουμε ένα «μήνυμα» από χάκερ κ.λπ.)
  • Ενέσεις (ενέσεις κώδικα) σε υπάρχοντα .
    Ο δεύτερος πιο δημοφιλής τύπος φιλοξενίας κακόβουλου κώδικα και κώδικα χάκερ είναι οι ενέσεις. Οι ανακατευθύνσεις για κινητά και αναζήτησης μπορούν να εγχυθούν σε υπάρχοντα αρχεία .htaccess ιστότοπου, τα backdoors μπορούν να εγχυθούν σε σενάρια php/perl και τα τμήματα javascript από ιούς ή οι ανακατευθύνσεις σε πόρους τρίτων μπορούν να ενσωματωθούν σε πρότυπα .js και .html. Οι ενέσεις είναι επίσης δυνατές σε αρχεία πολυμέσων, για παράδειγμα.jpg ή. Συχνά ο κακόβουλος κώδικας αποτελείται από πολλά στοιχεία: ο ίδιος ο κακόβουλος κώδικας αποθηκεύεται στην κεφαλίδα exif του αρχείου jpg και εκτελείται χρησιμοποιώντας ένα μικρό σενάριο ελέγχου, ο κώδικας του οποίου δεν φαίνεται ύποπτος στον σαρωτή.
  • Ενέσεις βάσεων δεδομένων.
    Η βάση δεδομένων είναι ο τρίτος στόχος για έναν χάκερ. Εδώ, είναι δυνατά στατικά ένθετα, , , , τα οποία ανακατευθύνουν τους επισκέπτες σε πόρους τρίτου μέρους, τους «κατασκοπεύουν» ή μολύνουν τον υπολογιστή/τη κινητή συσκευή του επισκέπτη ως αποτέλεσμα μιας επίθεσης μέσω οδήγησης.
    Επιπλέον, σε πολλά σύγχρονα CMS (IPB, vBulletin, modx, κ.λπ.) οι μηχανές προτύπων σάς επιτρέπουν να εκτελέσετε κώδικα php, και τα ίδια τα πρότυπα αποθηκεύονται στη βάση δεδομένων, έτσι ώστε ο κώδικας PHP των κελύφους ιστού και των κερκόπορτων να μπορεί να ενσωματωθεί απευθείας στη βάση δεδομένων.
  • Ενέσεις σε υπηρεσίες προσωρινής αποθήκευσης.
    Ως αποτέλεσμα λανθασμένης ή μη ασφαλούς διαμόρφωσης των υπηρεσιών προσωρινής αποθήκευσης, για παράδειγμα, memcached, είναι δυνατές οι εγχύσεις σε προσωρινά αποθηκευμένα δεδομένα "on the fly". Σε ορισμένες περιπτώσεις, ένας χάκερ μπορεί να εισάγει κακόβουλο κώδικα στις σελίδες ενός ιστότοπου χωρίς να παραβιάσει απευθείας τον ιστότοπο.
  • Ενέσεις/αρχικά στοιχεία σε στοιχεία του συστήματος διακομιστή.
    Εάν ένας χάκερ έχει αποκτήσει προνομιακή (root) πρόσβαση στον διακομιστή, μπορεί να αντικαταστήσει στοιχεία του διακομιστή web ή του διακομιστή προσωρινής αποθήκευσης με μολυσμένα. Ένας τέτοιος διακομιστής ιστού, αφενός, θα παρέχει έλεγχο στον διακομιστή χρησιμοποιώντας εντολές ελέγχου και, αφετέρου, θα εισάγει από καιρό σε καιρό δυναμικές ανακατευθύνσεις και κακόβουλο κώδικα στις σελίδες του ιστότοπου. Όπως και στην περίπτωση μιας ένεσης σε μια υπηρεσία προσωρινής αποθήκευσης, ο διαχειριστής του ιστότοπου πιθανότατα δεν θα είναι σε θέση να εντοπίσει το γεγονός ότι ο ιστότοπος έχει παραβιαστεί, καθώς όλα τα αρχεία και η βάση δεδομένων θα είναι πρωτότυπα. Αυτή η επιλογή είναι η πιο δύσκολη στη θεραπεία.

    • Λοιπόν, ας υποθέσουμε ότι έχετε ήδη ελέγξει τα αρχεία στη φιλοξενία και την απόρριψη της βάσης δεδομένων με σαρωτές, αλλά δεν βρήκαν τίποτα και ο ιός είναι ακόμα στη σελίδα ή η ανακατεύθυνση για κινητά συνεχίζει να λειτουργεί κατά το άνοιγμα σελίδων. Πώς να αναζητήσετε περαιτέρω;

    Μη αυτόματη αναζήτηση

    Στο unix, είναι δύσκολο να βρείτε ένα πιο πολύτιμο ζευγάρι εντολών για την εύρεση αρχείων και τμημάτων από το find / grep.

    εύρημα . -όνομα "*.ph*" -mtime -7

    θα βρει όλα τα αρχεία που έχουν αλλάξει την τελευταία εβδομάδα. Μερικές φορές οι χάκερ «στρίβουν» την ημερομηνία τροποποίησης των σεναρίων για να μην εντοπίσουν νέα σενάρια. Στη συνέχεια, μπορείτε να αναζητήσετε αρχεία php/phtml των οποίων τα χαρακτηριστικά έχουν αλλάξει

    εύρημα . -όνομα '*.ph*' -сtime -7

    Εάν πρέπει να βρείτε αλλαγές σε ένα συγκεκριμένο χρονικό διάστημα, μπορείτε να χρησιμοποιήσετε την ίδια εύρεση

    εύρημα . -όνομα «*.ph*» -νέο 25-01-2015 ! -νεότερο 2015-01-30 -ls

    Για την αναζήτηση αρχείων, το grep είναι απαραίτητο. Μπορεί να αναζητήσει αναδρομικά μέσα από αρχεία για ένα καθορισμένο τμήμα

    grep -ril «stummann.net/steffen/google-analytics/jquery-1.6.5.min.js» *

    Όταν παραβιάζετε έναν διακομιστή, είναι χρήσιμο να αναλύετε αρχεία που έχουν οριστεί η σημαία οδηγού/suid

    εύρεση / -perm -4000 -o -perm -2000

    Για να προσδιορίσετε ποια σενάρια εκτελούνται αυτήν τη στιγμή και φορτώνουν τη CPU φιλοξενίας, μπορείτε να καλέσετε

    lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ‘ ( if(!str) ( str= ) else (str=str””))END(print str)” | grep vhosts | grep php

    Χρησιμοποιούμε το μυαλό και τα χέρια μας για να αναλύσουμε αρχεία σχετικά με τη φιλοξενία
  • Πηγαίνουμε στους καταλόγους upload, cache, tmp, backup, log, images, στους οποίους γράφεται κάτι από σενάρια ή μεταφορτώνεται από χρήστες και σαρώνουμε τα περιεχόμενα για νέα αρχεία με ύποπτες επεκτάσεις. Για παράδειγμα, για το joomla μπορείτε να ελέγξετε τα αρχεία .php στον κατάλογο images:find ./images -name '*.ph*' Το πιθανότερο είναι ότι αν βρεθεί κάτι, θα είναι κακόβουλο λογισμικό.
    Για το WordPress, είναι λογικό να ελέγχετε τον κατάλογο wp-content/uploads, τους καταλόγους θεμάτων αντιγράφων ασφαλείας και προσωρινής αποθήκευσης για σενάρια.
  • Ψάχνω για αρχεία με περίεργα ονόματα
    Για παράδειγμα, php, fyi.php, n2fd2.php. Τα αρχεία μπορούν να αναζητηθούν
    • - από μη τυπικούς συνδυασμούς χαρακτήρων,
    • - η παρουσία των αριθμών 3,4,5,6,7,8,9 στο όνομα αρχείου
  • Αναζητούμε αρχεία με ασυνήθιστες επεκτάσεις
    Ας υποθέσουμε ότι έχετε έναν ιστότοπο στο WordPress ή για αυτούς αρχεία με επεκτάσεις .py, .pl, .cgi, .so, .c, .phtml, .php3 δεν θα είναι αρκετά συνηθισμένα. Εάν εντοπιστούν σενάρια και αρχεία με αυτές τις επεκτάσεις, πιθανότατα θα είναι εργαλεία χάκερ. Το ποσοστό των ψευδών ανιχνεύσεων είναι πιθανό, αλλά δεν είναι υψηλό.
  • Αναζητούμε αρχεία με μη τυπικά χαρακτηριστικά ή ημερομηνία δημιουργίας
    Η υποψία μπορεί να προκληθεί από αρχεία με χαρακτηριστικά που διαφέρουν από αυτά που υπάρχουν στον διακομιστή. Για παράδειγμα, όλα τα σενάρια .php μεταφορτώθηκαν μέσω ftp/sftp και έχουν τον χρήστη χρήστη, και μερικά δημιουργήθηκαν από τον χρήστη www-data. Είναι λογικό να ελέγξετε τα πιο πρόσφατα. Ή εάν η ημερομηνία δημιουργίας αρχείου σεναρίου είναι προγενέστερη από την ημερομηνία δημιουργίας τοποθεσίας.
    Για να επιταχύνετε την αναζήτηση αρχείων με ύποπτα χαρακτηριστικά, είναι βολικό να χρησιμοποιήσετε την εντολή Unix find.
  • Ψάχνουμε για πόρτες χρησιμοποιώντας μεγάλο αριθμό αρχείων .html ή .php
    Εάν υπάρχουν πολλές χιλιάδες αρχεία .php ή .html στον κατάλογο, αυτό είναι πιθανότατα μια πόρτα.
    • Αρχεία καταγραφής για βοήθεια

    Διακομιστής Ιστού, υπηρεσία email και αρχεία καταγραφής FTP μπορούν να χρησιμοποιηθούν για τον εντοπισμό κακόβουλων σεναρίων και σεναρίων χάκερ.

    • Συσχέτιση της ημερομηνίας και της ώρας αποστολής της επιστολής (που μπορείτε να βρείτε από το αρχείο καταγραφής διακομιστή αλληλογραφίαςή κεφαλίδα υπηρεσίας μιας επιστολής ανεπιθύμητης αλληλογραφίας) με αιτήματα από το access_log βοήθεια για τον προσδιορισμό της μεθόδου αποστολής ανεπιθύμητης αλληλογραφίας ή για την εύρεση του σεναρίου αποστολέα ανεπιθύμητης αλληλογραφίας.
    • Η ανάλυση του αρχείου καταγραφής μεταφοράς FTP xferlog σάς επιτρέπει να κατανοήσετε ποια αρχεία λήφθηκαν τη στιγμή της εισβολής, ποια άλλαξαν και από ποιον.
    • Σε ένα σωστά διαμορφωμένο αρχείο καταγραφής διακομιστή αλληλογραφίας ή στην κεφαλίδα υπηρεσίας ενός ανεπιθύμητου email, εάν η PHP έχει ρυθμιστεί σωστά, θα υπάρχει ένα όνομα ή μια πλήρης διαδρομή προς το σενάριο αποστολής, το οποίο βοηθά στον προσδιορισμό της προέλευσης των ανεπιθύμητων μηνυμάτων.
    • Χρησιμοποιώντας τα αρχεία καταγραφής προληπτικής προστασίας των σύγχρονων CMS και προσθηκών, μπορείτε να προσδιορίσετε ποιες επιθέσεις πραγματοποιήθηκαν στον ιστότοπο και εάν το CMS ήταν σε θέση να τις αντισταθεί.
    • Χρησιμοποιώντας τα access_log και error_log, μπορείτε να αναλύσετε τις ενέργειες ενός χάκερ εάν γνωρίζετε τα ονόματα των σεναρίων που κάλεσε, τη διεύθυνση IP ή τον παράγοντα χρήστη. Ως έσχατη λύση, μπορείτε να προβάλετε αιτήματα POST την ημέρα που ο ιστότοπος παραβιάστηκε και μολύνθηκε. Συχνά η ανάλυση σάς επιτρέπει να βρείτε άλλα σενάρια χάκερ που λήφθηκαν ή βρίσκονταν ήδη στον διακομιστή τη στιγμή της εισβολής.
    Έλεγχος ακεραιότητας

    Είναι πολύ πιο εύκολο να αναλύσετε ένα hack και να αναζητήσετε κακόβουλα σενάρια σε έναν ιστότοπο, εάν φροντίζετε εκ των προτέρων για την ασφάλειά του. Η διαδικασία ελέγχου ακεραιότητας βοηθά στον έγκαιρο εντοπισμό αλλαγών στη φιλοξενία και στον προσδιορισμό του γεγονότος της εισβολής. Ένα από τα πιο απλά και αποτελεσματικούς τρόπους– βάλτε τον ιστότοπο σε σύστημα ελέγχου έκδοσης (git, svn, cvs). Εάν διαμορφώσετε σωστά το .gitignore, η διαδικασία ελέγχου αλλαγής μοιάζει με την κλήση της εντολής κατάστασης git και η αναζήτηση για κακόβουλα σενάρια και αλλαγμένα αρχεία μοιάζει με git diff.

    Επίσης θα έχετε πάντα Αντίγραφο ασφαλείαςαρχεία στα οποία μπορείτε να "επαναφέρετε" τον ιστότοπο μέσα σε λίγα δευτερόλεπτα. Οι διαχειριστές διακομιστών και οι προηγμένοι webmasters μπορούν να χρησιμοποιούν μηχανισμούς inotify, tripwire, audited και άλλους μηχανισμούς για να παρακολουθούν την πρόσβαση σε αρχεία και καταλόγους και να παρακολουθούν τις αλλαγές στο σύστημα αρχείων.

    Δυστυχώς, δεν είναι πάντα δυνατή η διαμόρφωση ενός συστήματος ελέγχου έκδοσης ή υπηρεσιών τρίτων στο διακομιστή. Στην περίπτωση της κοινόχρηστης φιλοξενίας, δεν θα είναι δυνατή η εγκατάσταση συστήματος ελέγχου έκδοσης και υπηρεσιών συστήματος. Αλλά δεν πειράζει, υπάρχουν πολλές έτοιμες λύσεις για το CMS. Μπορείτε να εγκαταστήσετε ένα πρόσθετο ή ένα ξεχωριστό σενάριο στον ιστότοπο που θα παρακολουθεί τις αλλαγές στα αρχεία. Ορισμένα CMS εφαρμόζουν ήδη αποτελεσματική παρακολούθηση αλλαγών και μηχανισμό ελέγχου ακεραιότητας (Για παράδειγμα, Bitrix, DLE). Ως έσχατη λύση, εάν η φιλοξενία έχει ssh, μπορείτε να δημιουργήσετε ένα cast αναφοράς σύστημα αρχείωνομάδα

    Προσφορά "2 στην τιμή του 1"

    Η προσφορά ισχύει μέχρι το τέλος του μήνα.

    Όταν ενεργοποιείτε την υπηρεσία "Ιστότοπος υπό επιτήρηση" για έναν ιστότοπο, ο δεύτερος στον ίδιο λογαριασμό συνδέεται δωρεάν. Επόμενοι ιστότοποι στο λογαριασμό - 1.500 ρούβλια το μήνα για κάθε ιστότοπο.

    Δημοφιλή στην κατηγορία:
    Σχέδιο δράσης για τη δημιουργία τερματικού από τη Sberbank - zolnirt — LiveJournal Περιοδικό σφάλμα του συστήματος απόκτησης 4309 σε 1s
    Σχέδιο δράσης για τη δημιουργία τερματικού σταθμού από τη Sberbank - zolnirt -...
    ανάγνωση
    Λογισμικό για εργασία με KKM stroke-m
    Λογισμικό για εργασία με KKM stroke-m
    ανάγνωση
    Εγκατάσταση του Microsoft Office σε υπολογιστή με Windows
    Εγκατάσταση του Microsoft Office σε υπολογιστή με Windows
    ανάγνωση
    Τι είναι το DVDRip, CAMRip, TS, TC, DVDSrc κ.λπ.
    Τι είναι το DVDRip, CAMRip, TS, TC, DVDSrc κ.λπ.
    ανάγνωση
    
    πρόσφατα άρθρα
    Ava σε επαφή: τι είναι; Τι είναι το awk; Πως...
    ανάγνωση
    Δυνατότητα αγοράς: τι είναι και πώς είναι...
    ανάγνωση
    Πολυαναμενόμενες ανταμοιβές για παίκτες του παλιού κόσμου...
    ανάγνωση
    Το Wifi Analyzer είναι μια εφαρμογή για την ανάλυση WiFi...
    ανάγνωση
    Πέντε λόγοι για να μην πετάξετε τον παλιό σας σκληρό δίσκο
    ανάγνωση
    VirusTotal: Διαδικτυακή σάρωση ιών...
    ανάγνωση
    Πώς να απαγορεύσετε τις συνδρομές επί πληρωμή από τους παρόχους...
    ανάγνωση
    Τρόποι κατάθεσης χρημάτων στο Skype Top up...
    ανάγνωση
    Μπλουζα