Κακόβουλα σενάρια. Αναζητούμε και αφαιρούμε κακόβουλο κώδικα στο WordPress. Εξουδετέρωση σεναρίων διακομιστή
Το WordPress είναι ένα από τα πιο δημοφιλή συστήματα διαχείρισης περιεχομένου, που χρησιμοποιείται για διάφορους σκοπούς, από το blogging μέχρι το ηλεκτρονικό εμπόριο. Υπάρχει μια μεγάλη ποικιλία από πρόσθετα και θέματα WordPress. Συμβαίνει ορισμένες από αυτές τις επεκτάσεις να πέσουν στα χέρια των webmasters αφού κάποιος εισβολέας τις έχει δουλέψει.
Για δικό του όφελος, θα μπορούσε να αφήσει διαφημιστικούς συνδέσμους ή κώδικα σε αυτούς με τους οποίους θα διαχειρίζεται τον ιστότοπό σας. Πολλοί χρήστες του WordPress δεν έχουν μεγάλη εμπειρία στον προγραμματισμό ιστού και δεν ξέρουν πώς να χειριστούν αυτήν την κατάσταση.
Για αυτούς, εξέτασα εννέα από τα πιο αποτελεσματικά εργαλεία για τον εντοπισμό κακόβουλων αλλαγών στον κώδικα ενός ιστότοπου που εκτελείται ή εγκατεστημένων πρόσθετων.
1. Έλεγχος αυθεντικότητας θέματος (TAC)Έλεγχος αυθεντικότητας θέματος (TAC) – Προσθήκη WordPress που σαρώνει τα πάντα καθιερωμένο θέμαγια ύποπτα στοιχεία όπως αόρατοι σύνδεσμοι ή κρυπτογραφημένος κώδικας Base64.
Έχοντας εντοπίσει τέτοια στοιχεία, το TAC τα αναφέρει στον διαχειριστή του WordPress, επιτρέποντάς του να αναλύσει ανεξάρτητα και, εάν είναι απαραίτητο, να διορθώσει τα αρχεία θέματος προέλευσης:
2. Exploit ScannerΤο Exploit Scanner σαρώνει ολόκληρο τον πηγαίο κώδικα του ιστότοπού σας και τα περιεχόμενα της βάσης δεδομένων WordPress για αμφισβητήσιμες συμπεριλήψεις. Ακριβώς όπως το TAC, αυτό το πρόσθετο δεν αποτρέπει τις επιθέσεις ούτε καταπολεμά τις συνέπειές τους αυτόματα.
Εμφανίζει μόνο ανιχνευμένα συμπτώματα μόλυνσης στον διαχειριστή του ιστότοπου. Αν θέλετε να διαγράψετε κακόβουλος κώδικας, θα πρέπει να το κάνετε χειροκίνητα:
3. Sucuri SecurityΤο Sucuri είναι μια πολύ γνωστή λύση ασφαλείας του WordPress. Η προσθήκη Sucuri Security παρακολουθεί τα αρχεία που ανεβαίνουν σε έναν ιστότοπο WordPress, διατηρεί τη δική της λίστα με γνωστές απειλές και σας επιτρέπει επίσης να σαρώσετε εξ αποστάσεως τον ιστότοπο χρησιμοποιώντας τον δωρεάν σαρωτή Sucuri SiteCheck. Πίσω ποσό συνδρομήςΜπορείτε να ενισχύσετε περαιτέρω την προστασία του ιστότοπού σας εγκαθιστώντας το ισχυρό Τείχος προστασίας ιστότοπου Sucuri:
4. Anti-MalwareΤο Anti-Malware είναι ένα πρόσθετο για το WordPress που μπορεί να βρει και να αφαιρέσει σενάρια Trojan, backdoors και άλλο κακόβουλο κώδικα.
Οι ρυθμίσεις σάρωσης και διαγραφής μπορούν να προσαρμοστούν. Αυτό το πρόσθετο μπορεί να χρησιμοποιηθεί αφού εγγραφείτε δωρεάν στο gotmls.
Η προσθήκη έχει τακτική πρόσβαση στον ιστότοπο του κατασκευαστή, μεταδίδοντας στατιστικά στοιχεία εντοπισμού κακόβουλου λογισμικού και λαμβάνοντας ενημερώσεις. Επομένως, εάν δεν θέλετε να εγκαταστήσετε πρόσθετα στον ιστότοπό σας που παρακολουθούν τη λειτουργία του, τότε θα πρέπει να αποφύγετε τη χρήση Anti-Malware:
5. WP Antivirus Site ProtectionΤο WP Antivirus Site Protection είναι μια προσθήκη που σαρώνει όλα τα αρχεία που ανεβαίνουν σε έναν ιστότοπο, συμπεριλαμβανομένων των θεμάτων του WordPress.
Το πρόσθετο έχει τη δική του βάση δεδομένων υπογραφών, η οποία ενημερώνεται αυτόματα μέσω του Διαδικτύου. Μπορεί να αφαιρέσει τις απειλές αυτόματα, να ειδοποιήσει τον διαχειριστή του ιστότοπου ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗΚαι πολλα ΑΚΟΜΑ.
Το πρόσθετο είναι εγκατεστημένο και λειτουργεί δωρεάν, αλλά έχει πολλά πρόσθετα επί πληρωμή που αξίζει να προσέξετε:
6. AntiVirus για WordPressΤο AntiVirus for WordPress είναι ένα εύχρηστο πρόσθετο που μπορεί να σαρώνει τακτικά τον ιστότοπό σας και να σας ειδοποιεί για θέματα ασφαλείας μέσω email. Η προσθήκη έχει μια προσαρμόσιμη λίστα επιτρεπόμενων και άλλες δυνατότητες:
7. Quterra Web Malware ScannerΟ σαρωτής της Quterra ελέγχει έναν ιστότοπο για τρωτά σημεία, ενέσεις κώδικα τρίτων, ιούς, κερκόπορτες κ.λπ. Ο σαρωτής έχει τόσο ενδιαφέροντα χαρακτηριστικά όπως η ευρετική σάρωση και η ανίχνευση εξωτερικών συνδέσμων.
Οι βασικές λειτουργίες του σαρωτή είναι δωρεάν, ενώ ορισμένες πρόσθετες υπηρεσίες θα σας κοστίζουν 60 $ ετησίως:
8. WordfenceΑν αναζητάτε μια ολοκληρωμένη λύση στα προβλήματα ασφάλειας του ιστότοπού σας, μην ψάξετε περισσότερο από το Wordfence.
Αυτό το πρόσθετο παρέχει συνεχή προστασία για το WordPress από γνωστούς τύπους επιθέσεων, έλεγχο ταυτότητας δύο παραγόντων, υποστήριξη για μια «μαύρη λίστα» διευθύνσεων IP υπολογιστών και δικτύων που χρησιμοποιούνται από χάκερ και αποστολείς ανεπιθύμητης αλληλογραφίας και σάρωση του ιστότοπου για γνωστά backdoors.
Αυτό το πρόσθετο είναι δωρεάν στη βασική του έκδοση, αλλά έχει επίσης premium λειτουργικότητα, για την οποία ο κατασκευαστής ζητά μια μικρή συνδρομή:
9.WemahuΗ Wemahu παρακολουθεί τις αλλαγές στον κώδικα του ιστότοπού σας και αναζητά κακόβουλο κώδικα.
Η βάση δεδομένων στην οποία ανιχνεύεται κακόβουλο λογισμικό αναπληρώνεται χρησιμοποιώντας τη μέθοδο crowdsourcing: οι ίδιοι οι χρήστες την αναπληρώνουν στέλνοντας τα αποτελέσματα της σάρωσης μολυσμένων εγκαταστάσεων WordPress στον ιστότοπο του συγγραφέα της προσθήκης. Το πρόσθετο υποστηρίζει επίσης την αποστολή αναφορών μέσω email και άλλες χρήσιμες λειτουργίες.
Πρέπει να γίνει μαζί. Εάν εξαλείψετε την αρχική αιτία της εισβολής (για παράδειγμα, μια ευπάθεια στην επέκταση CMS), αλλά δεν καταργήσετε όλα τα κακόβουλα αρχεία, ο εισβολέας θα μπορέσει να αποκτήσει ξανά πρόσβαση στον ιστότοπο χρησιμοποιώντας ένα από τα σενάρια του. Εάν καταργήσετε όλα τα ληφθέντα κακόβουλα σενάρια, αλλά δεν εξαλείψετε την αιτία της εισβολής, ο εισβολέας θα μπορεί να χακάρει ξανά τον ιστότοπο και να πραγματοποιήσει ξανά λήψη σεναρίων σε αυτόν.
Ένας ειδικός με τις κατάλληλες γνώσεις και πείρα θα πρέπει να εκτελέσει εργασίες για την αφαίρεση κακόβουλων σεναρίων και την ανάλυση των αιτιών του hacking:
- Για να αφαιρέσετε κακόβουλα σενάρια, χρειάζεστε γνώση της γλώσσας προγραμματισμού PHP, καθώς και γνώση του «εσωτερικού» του δημοφιλούς CMS (Joomla, WordPress κ.λπ.) και των επεκτάσεων για αυτά. Αυτή η γνώση απαιτείται για τη διάκριση των σεναρίων απευθείας από το CMS και των επεκτάσεών του από τα εξωτερικά αρχεία, καθώς και για να μπορείτε να προσδιορίσετε με σαφήνεια ποιες ενέργειες εκτελούν όταν αντιμετωπίζουν αμφίβολα σενάρια.
- Για την ανάλυση των αιτιών του hacking, απαιτείται εμπειρία διαχείρισης διακομιστή. Αυτό είναι απαραίτητο για την ανάλυση της κατάστασης των αρχείων στο λογαριασμό, του χρόνου αλλαγής τους, καθώς και για τη σύγκριση αυτών των δεδομένων με τα αρχεία καταγραφής διακομιστή για να προσδιοριστεί ποιες ενέργειες του εισβολέα οδήγησαν στην παραβίαση τοποθεσιών.
Επομένως, εάν ο ιστότοπός σας έχει παραβιαστεί, συνιστάται, για να αποφύγετε επαναλαμβανόμενα hacks, να μην κάνετε τη δουλειά μόνοι σας, αλλά να επικοινωνήσετε με έναν ειδικό που θα πραγματοποιήσει τα απαραίτητα διαγνωστικά και θα συστήσει ή θα εκτελέσει απαραίτητες ενέργειεςγια την επίλυση του προβλήματος και ποιος μπορεί να εγγυηθεί την ποιότητα του ληφθέντος αποτελέσματος.
Ωστόσο, υπάρχει μια σειρά από μέτρα που σε ορισμένες περιπτώσεις βοηθούν στην αποκατάσταση της ασφαλούς λειτουργίας του ιστότοπου χωρίς ιδιαίτερες γνώσεις. Ο περιορισμός της παρακάτω μεθόδου είναι ότι για να συνεχιστεί η λειτουργία του ιστότοπου, απαιτείται ένα αντίγραφο ασφαλείας του που δημιουργήθηκε πριν από την εισβολή. Εάν η ημερομηνία της παραβίασης είναι άγνωστη, μπορείτε να δοκιμάσετε αυτήν τη μέθοδο χρησιμοποιώντας το παλαιότερο διαθέσιμο αντίγραφο ασφαλείας. Ο δεύτερος περιορισμός, ως συνέπεια του πρώτου, είναι ότι μετά την επαναφορά του ιστότοπου, τα δεδομένα προστέθηκαν στον ιστότοπο μετά τη δημιουργία του αντιγράφου ασφαλείας επαναφοράς (για παράδειγμα, νέα άρθρα, εικόνες ή έγγραφα). Εάν πρέπει να επαναφέρετε τον ιστότοπο ενώ διατηρείτε νέα δεδομένα, πρέπει να επικοινωνήσετε με έναν ειδικό.
Αυτά τα μέτρα δεν μας επιτρέπουν να προσδιορίσουμε την αιτία της παραβίασης του ιστότοπου, αλλά καθένα από αυτά στοχεύει στην εξάλειψη μιας από τις πιθανές αιτίες διείσδυσης. Δεδομένου ότι ο ακριβής λόγος για το hack είναι άγνωστος, είναι απαραίτητο να πραγματοποιηθούν όλα. Οι ενέργειες είναι οργανωμένες με τέτοια σειρά ώστε πρώτα να εξαλειφθεί εντελώς η πιθανότητα ο εισβολέας να συνεχίσει τις δραστηριότητές του στον ιστότοπο ή στον λογαριασμό φιλοξενίας επί του παρόντοςκαι, στη συνέχεια, αποτρέψτε την είσοδο ενός εισβολέα στον ιστότοπο στο μέλλον.
Τα παρακάτω βήματα προϋποθέτουν ότι έχετε μόνο έναν ιστότοπο στον λογαριασμό φιλοξενίας σας. Εάν υπάρχουν πολλοί ιστότοποι στον λογαριασμό, τότε θα μπορούσαν επίσης να παραβιαστούν και ο ιστότοπος θα μπορούσε να παραβιαστεί μέσω αυτών. Είναι απαραίτητο είτε να μεταφέρετε τον ιστότοπο με τον οποίο εκτελούνται εργασίες αποκατάστασης σε ξεχωριστό λογαριασμό είτε να πραγματοποιήσετε αποκατάσταση για όλους τους ιστότοπους που φιλοξενούνται στον λογαριασμό ταυτόχρονα.
Η σειρά των ενεργειών είναι σημαντική, επομένως είναι απαραίτητο να τις εκτελέσετε με την ακριβή σειρά με την οποία βρίσκονται παρακάτω.
Όλες οι παραπάνω ενέργειες πρέπει να εκτελούνται σύμφωνα με την καθορισμένη σειρά, χωρίς παραλείψεις ή αλλαγές. Εάν οι ενέργειες εκτελεστούν με ανακριβή τρόπο, ενδέχεται να παραμείνουν στον ιστότοπο κακόβουλα σενάρια ή ευπάθειες, με αποτέλεσμα να μπορεί να χακαριστεί ξανά από έναν εισβολέα μετά από σύντομο χρονικό διάστημα. Εάν για κάποιο λόγο δεν είναι δυνατό να εκτελέσετε τα παραπάνω βήματα στη μορφή με την οποία υποδεικνύονται, επικοινωνήστε με έναν ειδικό για να εκτελέσετε εργασίες για την αποκατάσταση του ιστότοπου μετά από μια παραβίαση.
Για να προστατεύσετε τον ιστότοπό σας από επαναλαμβανόμενες εισβολές στο μέλλον, πρέπει να τηρείτε τις ακόλουθες συστάσεις:Κακόβουλος κώδικας εισέρχεται στον ιστότοπο από αμέλεια ή κακόβουλη πρόθεση. Οι σκοποί του κακόβουλου κώδικα ποικίλλουν, αλλά ουσιαστικά βλάπτει ή παρεμποδίζει την κανονική λειτουργία ενός ιστότοπου. Για να αφαιρέσετε κακόβουλο κώδικα στο WordPress, πρέπει πρώτα να τον βρείτε.
Τι είναι ο κακόβουλος κώδικας σε έναν ιστότοπο WordPress;Με εμφάνιση, τις περισσότερες φορές, κακόβουλος κώδικας είναι ένα σύνολο γραμμάτων και συμβόλων του λατινικού αλφαβήτου. Στην πραγματικότητα, αυτός είναι ένας κρυπτογραφημένος κώδικας με τον οποίο εκτελείται αυτή ή αυτή η ενέργεια. Οι ενέργειες μπορεί να είναι πολύ διαφορετικές, για παράδειγμα, οι νέες αναρτήσεις σας δημοσιεύονται αμέσως σε έναν πόρο τρίτου μέρους. Αυτό ουσιαστικά κλέβει το περιεχόμενό σας. Οι κώδικες έχουν επίσης άλλες «καθήκοντες», για παράδειγμα, την τοποθέτηση εξερχόμενων συνδέσμων σε σελίδες ιστότοπου. Οι εργασίες μπορεί να είναι οι πιο περίπλοκες, αλλά ένα πράγμα είναι σαφές: οι κακόβουλοι κωδικοί πρέπει να αναζητηθούν και να αφαιρεθούν.
Πώς εισέρχονται κακόβουλοι κωδικοί σε έναν ιστότοπο;Υπάρχουν επίσης πολλά κενά για την είσοδο κωδικών στον ιστότοπο.
Επιτρέψτε μου να σημειώσω αμέσως ότι η καταπολέμηση τέτοιων ιών είναι δύσκολη και η μη αυτόματη αφαίρεση απαιτεί γνώση. Υπάρχουν τρεις λύσεις στο πρόβλημα: η πρώτη λύση είναι να χρησιμοποιήσετε πρόσθετα προστασίας από ιούς, για παράδειγμα, ένα πρόσθετο που ονομάζεται BulletProof Security.
Αυτή η λύση δίνει καλά αποτελέσματα, αλλά απαιτεί χρόνο, αν και λίγο. Υπάρχει μια πιο ριζική λύση για να απαλλαγείτε από κακόβουλους κώδικες, συμπεριλαμβανομένων πολύπλοκων ιών, η οποία είναι η επαναφορά του ιστότοπου από αντίγραφα ασφαλείας του ιστότοπου που είχαν δημιουργηθεί στο παρελθόν.
Εφόσον ένας καλός webmaster το κάνει αυτό περιοδικά, μπορείτε να επιστρέψετε σε μια μη μολυσμένη έκδοση χωρίς προβλήματα. Η τρίτη λύση είναι για τους πλούσιους και τεμπέληδες, απλά επικοινωνήστε με ένα εξειδικευμένο «γραφείο» ή έναν μεμονωμένο ειδικό.
Πώς να αναζητήσετε κακόβουλο κώδικα στο WordPressΕίναι σημαντικό να κατανοήσουμε ότι ο κακόβουλος κώδικας στο WordPress μπορεί να βρίσκεται σε οποιοδήποτε αρχείο στον ιστότοπο και όχι απαραίτητα στο θέμα εργασίας. Μπορεί να βρει ένα πρόσθετο, ένα θέμα ή έναν «σπιτικό» κώδικα από το Διαδίκτυο. Υπάρχουν διάφοροι τρόποι για να προσπαθήσετε να βρείτε κακόβουλο κώδικα.
Μέθοδος 1: Χειροκίνητα. Μπορείτε να κάνετε κύλιση σε όλα τα αρχεία του ιστότοπου και να τα συγκρίνετε με τα αρχεία ενός μη μολυσμένου αντιγράφου ασφαλείας. Εάν βρείτε τον κωδικό κάποιου άλλου, διαγράψτε τον.
Μέθοδος 2: Χρήση προσθηκών ασφαλείας WordPress. Για παράδειγμα, . Αυτή η προσθήκη έχει μια εξαιρετική δυνατότητα, τη σάρωση αρχείων ιστότοπου για την παρουσία του κώδικα άλλων ατόμων και η προσθήκη αντιμετωπίζει τέλεια αυτήν την εργασία.
Μέθοδος 3. Εάν έχετε εύλογη υποστήριξη φιλοξενίας και σας φαίνεται ότι υπάρχει κάποιος άλλος στον ιστότοπο, ζητήστε του να σαρώσει τον ιστότοπό σας με το πρόγραμμα προστασίας από ιούς. Η αναφορά τους θα περιλαμβάνει όλα τα μολυσμένα αρχεία. Στη συνέχεια, ανοίξτε αυτά τα αρχεία επεξεργαστής κειμένουκαι αφαιρέστε τον κακόβουλο κώδικα.
Μέθοδος 4. Εάν μπορείτε να εργαστείτε με πρόσβαση SSH στον κατάλογο του ιστότοπου, τότε προχωρήστε, έχει τη δική του κουζίνα.
Σπουδαίος! Ανεξάρτητα από το πώς αναζητάτε κακόβουλο κώδικα, πριν κάνετε αναζήτηση και στη συνέχεια διαγράψετε τον κώδικα, κλείστε την πρόσβαση στα αρχεία του ιστότοπου (ενεργοποιήστε τη λειτουργία συντήρησης). Θυμηθείτε τους κωδικούς που οι ίδιοι αποκαθίστανται όταν διαγράφονται.
Αναζητήστε κακόβουλους κωδικούς χρησιμοποιώντας τη λειτουργία evalΥπάρχει μια τέτοια συνάρτηση στην PHP που ονομάζεται eval. Σας επιτρέπει να εκτελέσετε οποιονδήποτε κώδικα στη γραμμή του. Επιπλέον, ο κώδικας μπορεί να κρυπτογραφηθεί. Λόγω της κωδικοποίησης, ο κακόβουλος κώδικας μοιάζει με ένα σύνολο γραμμάτων και συμβόλων. Δύο δημοφιλείς κωδικοποιήσεις είναι:
Συνεπώς, σε αυτές τις κωδικοποιήσεις η συνάρτηση eval μοιάζει με αυτό:
- eval(base64_decode(...))
- eval (str_rot13 (...)) //σε εσωτερικά εισαγωγικά, μεγάλα, ασαφή σύνολα γραμμάτων και συμβόλων..
Ο αλγόριθμος για την αναζήτηση κακόβουλου κώδικα χρησιμοποιώντας τη συνάρτηση eval είναι ο εξής (εργαζόμαστε από τον πίνακα διαχείρισης):
- μεταβείτε στον επεξεργαστή ιστότοπου (Εμφάνιση→Επεξεργαστής).
- αντιγράψτε το αρχείο functions.php.
- ανοίξτε το σε ένα πρόγραμμα επεξεργασίας κειμένου (για παράδειγμα, Notepad++) και αναζητήστε τη λέξη: eval.
- Αν το βρείτε, μην βιαστείτε να διαγράψετε τίποτα. Πρέπει να καταλάβετε τι «ζητά» να εκτελεστεί αυτή η λειτουργία. Για να γίνει κατανοητό αυτό, ο κώδικας πρέπει να αποκωδικοποιηθεί. Για την αποκωδικοποίηση υπάρχουν διαδικτυακά εργαλεία που ονομάζονται αποκωδικοποιητές.
Οι αποκωδικοποιητές λειτουργούν απλά. Αντιγράφετε τον κωδικό που θέλετε να αποκρυπτογραφήσετε, τον επικολλάτε στο πεδίο του αποκωδικοποιητή και τον αποκωδικοποιείτε.
Τη στιγμή της γραφής, δεν βρήκα ούτε έναν κρυπτογραφημένο κώδικα στο WordPress. Βρήκα τον κώδικα από τον ιστότοπο του Joomla. Κατ' αρχήν, δεν υπάρχει διαφορά στην κατανόηση της αποκωδικοποίησης. Ας δούμε τη φωτογραφία.
Όπως μπορείτε να δείτε στη φωτογραφία, η λειτουργία eval, μετά την αποκωδικοποίηση, δεν εμφάνισε έναν τρομερό κωδικό που απειλεί την ασφάλεια του ιστότοπου, αλλά έναν κρυπτογραφημένο σύνδεσμο πνευματικών δικαιωμάτων από τον συγγραφέα του προτύπου. Μπορεί επίσης να αφαιρεθεί, αλλά θα επανέλθει μετά την ενημέρωση του προτύπου εάν δεν χρησιμοποιήσετε .
Εν κατακλείδι, θα ήθελα να σημειώσω, για να μην κολλήσετε ιό στον ιστότοπο:
- Ο κακόβουλος κώδικας στο WordPress συχνά συνοδεύεται από θέματα και προσθήκες. Επομένως, μην εγκαθιστάτε πρότυπα και πρόσθετα από «αριστερούς», μη επαληθευμένους πόρους και, αν το κάνετε, ελέγξτε τα προσεκτικά για την παρουσία συνδέσμων και εκτελεστικών λειτουργιών της PHP. Αφού εγκαταστήσετε πρόσθετα και θέματα από «παράνομους» πόρους, ελέγξτε τον ιστότοπο με λογισμικό προστασίας από ιούς.
- Φροντίστε να δημιουργείτε περιοδικά αντίγραφα ασφαλείας και να εκτελείτε άλλα.
1. Αποσυσκευάστε το στο φάκελο της τοποθεσίας.
2. ακολουθήστε τον σύνδεσμο your_site/fscure/
3. τα πάντα
1. Αυτόματη αναζήτηση ιών με υπογραφές.
2. Αναζητήστε μια συμβολοσειρά σε αρχεία
3. Διαγραφή αρχείων
4. Επιδιορθώστε τον κακόβουλο κώδικα χρησιμοποιώντας κανονικές εκφράσεις
Το σενάριο δεν θα κάνει όλη τη δουλειά για εσάς και απαιτεί ελάχιστες γνώσεις. Συνιστάται να δημιουργήσετε αντίγραφο ασφαλείας του ιστότοπου πριν από την εργασία.
Πώς λειτουργεί;Κατά την πρώτη εκκίνηση, δημιουργεί ένα ευρετήριο αρχείων. Το αρχείο fscure.lst βρίσκεται στον φάκελο. Εμφανίζει μια λίστα αρχείων που περιέχουν δυνητικά κακόβουλες υπογραφές. "Δυνητικά κακόβουλο" σημαίνει ότι θα πρέπει να αποφασίσετε αν πρόκειται για ιό ή όχι. Η λίστα των υπογραφών διαμορφώνεται στο αρχείο config.php, σταθερό SCAN_SIGN. Με τις προεπιλεγμένες ρυθμίσεις, το σενάριο δεν ελέγχει τα αρχεία js και δεν περιέχει υπογραφές για αυτά.
1. δεν δημιουργεί το ευρετήριο fscure.lst. Μπορεί να συμβεί εάν δεν υπάρχουν αρκετά δικαιώματα. Βάλτε το 777 στο φάκελο fscure
2. Σφάλμα 5xx. Τις περισσότερες φορές "504 Gateway Time-out". Το σενάριο δεν έχει χρόνο για επεξεργασία και κολλάει λόγω χρονικού ορίου. Σε αυτή την περίπτωση, υπάρχουν διάφοροι τρόποι για να επιταχύνετε τη δουλειά του. Η ταχύτητα εξαρτάται κυρίως από το μέγεθος του δείκτη. Βρίσκεται στο αρχείο fscure.lst. Συνήθως, ένα αρχείο έως 5 MB μπορεί να υποβληθεί σε επεξεργασία στο 90% των περιπτώσεων. Εάν δεν έχει χρόνο, μπορείτε να μειώσετε την «απληστία» του σεναρίου απαγορεύοντας τη σάρωση *.jpg;*.png;*.css στη διαμόρφωση.
Στο αρχείο config.php.
// οριοθέτης; define("FILES_EXCLUDE","*.js;*.jpg;*.png;*.css");
3. Η φιλοξενία εκδίδει μια προειδοποίηση όπως
(HEX)base64.inject.unclassed.6: u56565656: /var/www/u65656565/data/www/34535335353.ru/fscure/index.php
Δεν υπάρχει ιός στο σενάριο και δεν υπήρξε ποτέ. Και το (HEX)base64.inject.unclassed.6 είναι μια κατασκευή όπως το "echo base64_decode(" , το οποίο συναντάται συχνά και από μόνο του είναι αρκετά ακίνδυνο. Ωστόσο, σε τελευταία έκδοση, αντικατέστησα αυτόν τον κωδικό.
Τι να κάνετε εάν δεν μπορέσατε να βρείτε μόνοι σας τον ιό;Μπορείτε να επικοινωνήσετε μαζί μου για βοήθεια. Οι τιμές μου είναι μέτριες. Εγγυώμαι την εργασία μου για 6 μήνες. Το κόστος της εργασίας είναι 800 ρούβλια. για 1 ιστότοπο. Εάν υπάρχουν πολλοί ιστότοποι στον λογαριασμό σας, η τιμή καθορίζεται ξεχωριστά.
Εάν καταφέρατε να κάνετε τα πάντα μόνοι σας, θα σας ήμουν ευγνώμων για μια οικονομική ανταμοιβή ή έναν σύνδεσμο προς τον ιστότοπό μου.
Οι προϋποθέσεις μου:
yandex
41001151597934
webmoney
Z959263622242
R356304765617
E172301357329
Η αλήθεια της ζωής είναι ότι ο ιστότοπος μπορεί να χακαριστεί αργά ή γρήγορα. Αφού εκμεταλλευτεί επιτυχώς την ευπάθεια, ο χάκερ προσπαθεί να αποκτήσει βάση στον ιστότοπο τοποθετώντας κελύφη ιστού και προγράμματα λήψης χάκερ σε καταλόγους συστήματος και εισάγοντας backdoors στον κώδικα σεναρίου και στη βάση δεδομένων CMS.
Οι σαρωτές βοηθούν στον εντοπισμό φορτωμένων κελυφών ιστού, κερκόπορτων, σελίδων phishing, spam email και άλλων τύπων κακόβουλων σεναρίων - όλα όσα γνωρίζουν και έχουν προ-προστεθεί στη βάση δεδομένων υπογραφών κακόβουλου κώδικα. Ορισμένοι σαρωτές, όπως το AI-BOLIT, διαθέτουν ένα σύνολο ευρετικών κανόνων που μπορούν να ανιχνεύσουν αρχεία με ύποπτο κώδικα που χρησιμοποιείται συχνά σε κακόβουλα σενάρια ή αρχεία με ύποπτα χαρακτηριστικά που μπορούν να ληφθούν από χάκερ. Όμως, δυστυχώς, ακόμα κι αν χρησιμοποιούνται αρκετοί σαρωτές στη φιλοξενία, μπορεί να υπάρξουν περιπτώσεις όπου ορισμένα σενάρια χάκερ παραμένουν απαρατήρητα, πράγμα που σημαίνει στην πραγματικότητα ότι ο εισβολέας μένει με μια "πίσω πόρτα" και μπορεί να χακάρει τον ιστότοπο και να αποκτήσει τον έλεγχό του πλήρης έλεγχοςοποτεδήποτε.
Τα σύγχρονα σενάρια κακόβουλου λογισμικού και χάκερ διαφέρουν σημαντικά από αυτά πριν από 4-5 χρόνια. Επί του παρόντος, οι προγραμματιστές κακόβουλου κώδικα συνδυάζουν συσκότιση, κρυπτογράφηση, αποσύνθεση, εξωτερική φόρτωση κακόβουλου κώδικα και άλλα κόλπα για να ξεγελάσουν το λογισμικό προστασίας από ιούς. Επομένως, η πιθανότητα απώλειας νέου κακόβουλου λογισμικού είναι πολύ μεγαλύτερη από ό,τι πριν.
Τι μπορεί να γίνει σε αυτή την περίπτωση για να ανιχνεύσει αποτελεσματικότερα ιούς στον ιστότοπο και σενάρια χάκερ στη φιλοξενία; Είναι απαραίτητο να χρησιμοποιηθεί μια ολοκληρωμένη προσέγγιση: αρχική αυτοματοποιημένη σάρωση και περαιτέρω χειροκίνητη ανάλυση. Αυτό το άρθρο θα συζητήσει επιλογές για τον εντοπισμό κακόβουλου κώδικα χωρίς σαρωτές.
Αρχικά, ας δούμε τι ακριβώς πρέπει να αναζητήσετε κατά τη διάρκεια ενός hack.
Τις περισσότερες φορές, κατά την παραβίαση, τα αρχεία που λαμβάνονται είναι κελύφη ιστού, backdoors, "uploaders", σενάρια για μηνύματα ανεπιθύμητης αλληλογραφίας, σελίδες ηλεκτρονικού "ψαρέματος" + χειριστές φορμών, πόρτες και αρχεία δεικτών εισβολής (εικόνες από το λογότυπο της ομάδας χάκερ, αρχεία κειμένουμε ένα «μήνυμα» από χάκερ κ.λπ.)
Ο δεύτερος πιο δημοφιλής τύπος φιλοξενίας κακόβουλου κώδικα και κώδικα χάκερ είναι οι ενέσεις. Οι ανακατευθύνσεις για κινητά και αναζήτησης μπορούν να εγχυθούν σε υπάρχοντα αρχεία .htaccess ιστότοπου, τα backdoors μπορούν να εγχυθούν σε σενάρια php/perl και τα τμήματα javascript από ιούς ή οι ανακατευθύνσεις σε πόρους τρίτων μπορούν να ενσωματωθούν σε πρότυπα .js και .html. Οι ενέσεις είναι επίσης δυνατές σε αρχεία πολυμέσων, για παράδειγμα.jpg ή. Συχνά ο κακόβουλος κώδικας αποτελείται από πολλά στοιχεία: ο ίδιος ο κακόβουλος κώδικας αποθηκεύεται στην κεφαλίδα exif του αρχείου jpg και εκτελείται χρησιμοποιώντας ένα μικρό σενάριο ελέγχου, ο κώδικας του οποίου δεν φαίνεται ύποπτος στον σαρωτή.
Η βάση δεδομένων είναι ο τρίτος στόχος για έναν χάκερ. Εδώ, είναι δυνατά στατικά ένθετα, , , , τα οποία ανακατευθύνουν τους επισκέπτες σε πόρους τρίτου μέρους, τους «κατασκοπεύουν» ή μολύνουν τον υπολογιστή/τη κινητή συσκευή του επισκέπτη ως αποτέλεσμα μιας επίθεσης μέσω οδήγησης.
Επιπλέον, σε πολλά σύγχρονα CMS (IPB, vBulletin, modx, κ.λπ.) οι μηχανές προτύπων σάς επιτρέπουν να εκτελέσετε κώδικα php, και τα ίδια τα πρότυπα αποθηκεύονται στη βάση δεδομένων, έτσι ώστε ο κώδικας PHP των κελύφους ιστού και των κερκόπορτων να μπορεί να ενσωματωθεί απευθείας στη βάση δεδομένων.
Ως αποτέλεσμα λανθασμένης ή μη ασφαλούς διαμόρφωσης των υπηρεσιών προσωρινής αποθήκευσης, για παράδειγμα, memcached, είναι δυνατές οι εγχύσεις σε προσωρινά αποθηκευμένα δεδομένα "on the fly". Σε ορισμένες περιπτώσεις, ένας χάκερ μπορεί να εισάγει κακόβουλο κώδικα στις σελίδες ενός ιστότοπου χωρίς να παραβιάσει απευθείας τον ιστότοπο.
Εάν ένας χάκερ έχει αποκτήσει προνομιακή (root) πρόσβαση στον διακομιστή, μπορεί να αντικαταστήσει στοιχεία του διακομιστή web ή του διακομιστή προσωρινής αποθήκευσης με μολυσμένα. Ένας τέτοιος διακομιστής ιστού, αφενός, θα παρέχει έλεγχο στον διακομιστή χρησιμοποιώντας εντολές ελέγχου και, αφετέρου, θα εισάγει από καιρό σε καιρό δυναμικές ανακατευθύνσεις και κακόβουλο κώδικα στις σελίδες του ιστότοπου. Όπως και στην περίπτωση μιας ένεσης σε μια υπηρεσία προσωρινής αποθήκευσης, ο διαχειριστής του ιστότοπου πιθανότατα δεν θα είναι σε θέση να εντοπίσει το γεγονός ότι ο ιστότοπος έχει παραβιαστεί, καθώς όλα τα αρχεία και η βάση δεδομένων θα είναι πρωτότυπα. Αυτή η επιλογή είναι η πιο δύσκολη στη θεραπεία.
Λοιπόν, ας υποθέσουμε ότι έχετε ήδη ελέγξει τα αρχεία στη φιλοξενία και την απόρριψη της βάσης δεδομένων με σαρωτές, αλλά δεν βρήκαν τίποτα και ο ιός είναι ακόμα στη σελίδα ή η ανακατεύθυνση για κινητά συνεχίζει να λειτουργεί κατά το άνοιγμα σελίδων. Πώς να αναζητήσετε περαιτέρω;
Μη αυτόματη αναζήτησηΣτο unix, είναι δύσκολο να βρείτε ένα πιο πολύτιμο ζευγάρι εντολών για την εύρεση αρχείων και τμημάτων από το find / grep.
εύρημα . -όνομα "*.ph*" -mtime -7
θα βρει όλα τα αρχεία που έχουν αλλάξει την τελευταία εβδομάδα. Μερικές φορές οι χάκερ «στρίβουν» την ημερομηνία τροποποίησης των σεναρίων για να μην εντοπίσουν νέα σενάρια. Στη συνέχεια, μπορείτε να αναζητήσετε αρχεία php/phtml των οποίων τα χαρακτηριστικά έχουν αλλάξει
εύρημα . -όνομα '*.ph*' -сtime -7
Εάν πρέπει να βρείτε αλλαγές σε ένα συγκεκριμένο χρονικό διάστημα, μπορείτε να χρησιμοποιήσετε την ίδια εύρεση
εύρημα . -όνομα «*.ph*» -νέο 25-01-2015 ! -νεότερο 2015-01-30 -ls
Για την αναζήτηση αρχείων, το grep είναι απαραίτητο. Μπορεί να αναζητήσει αναδρομικά μέσα από αρχεία για ένα καθορισμένο τμήμα
grep -ril «stummann.net/steffen/google-analytics/jquery-1.6.5.min.js» *
Όταν παραβιάζετε έναν διακομιστή, είναι χρήσιμο να αναλύετε αρχεία που έχουν οριστεί η σημαία οδηγού/suid
εύρεση / -perm -4000 -o -perm -2000
Για να προσδιορίσετε ποια σενάρια εκτελούνται αυτήν τη στιγμή και φορτώνουν τη CPU φιλοξενίας, μπορείτε να καλέσετε
lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ‘ ( if(!str) ( str= ) else (str=str””))END(print str)” | grep vhosts | grep php
Χρησιμοποιούμε το μυαλό και τα χέρια μας για να αναλύσουμε αρχεία σχετικά με τη φιλοξενίαΓια το WordPress, είναι λογικό να ελέγχετε τον κατάλογο wp-content/uploads, τους καταλόγους θεμάτων αντιγράφων ασφαλείας και προσωρινής αποθήκευσης για σενάρια.
Για παράδειγμα, php, fyi.php, n2fd2.php. Τα αρχεία μπορούν να αναζητηθούν
- - από μη τυπικούς συνδυασμούς χαρακτήρων,
- - η παρουσία των αριθμών 3,4,5,6,7,8,9 στο όνομα αρχείου
Ας υποθέσουμε ότι έχετε έναν ιστότοπο στο WordPress ή για αυτούς αρχεία με επεκτάσεις .py, .pl, .cgi, .so, .c, .phtml, .php3 δεν θα είναι αρκετά συνηθισμένα. Εάν εντοπιστούν σενάρια και αρχεία με αυτές τις επεκτάσεις, πιθανότατα θα είναι εργαλεία χάκερ. Το ποσοστό των ψευδών ανιχνεύσεων είναι πιθανό, αλλά δεν είναι υψηλό.
Η υποψία μπορεί να προκληθεί από αρχεία με χαρακτηριστικά που διαφέρουν από αυτά που υπάρχουν στον διακομιστή. Για παράδειγμα, όλα τα σενάρια .php μεταφορτώθηκαν μέσω ftp/sftp και έχουν τον χρήστη χρήστη, και μερικά δημιουργήθηκαν από τον χρήστη www-data. Είναι λογικό να ελέγξετε τα πιο πρόσφατα. Ή εάν η ημερομηνία δημιουργίας αρχείου σεναρίου είναι προγενέστερη από την ημερομηνία δημιουργίας τοποθεσίας.
Για να επιταχύνετε την αναζήτηση αρχείων με ύποπτα χαρακτηριστικά, είναι βολικό να χρησιμοποιήσετε την εντολή Unix find.
Εάν υπάρχουν πολλές χιλιάδες αρχεία .php ή .html στον κατάλογο, αυτό είναι πιθανότατα μια πόρτα.
Διακομιστής Ιστού, υπηρεσία email και αρχεία καταγραφής FTP μπορούν να χρησιμοποιηθούν για τον εντοπισμό κακόβουλων σεναρίων και σεναρίων χάκερ.
- Συσχέτιση της ημερομηνίας και της ώρας αποστολής της επιστολής (που μπορείτε να βρείτε από το αρχείο καταγραφής διακομιστή αλληλογραφίαςή κεφαλίδα υπηρεσίας μιας επιστολής ανεπιθύμητης αλληλογραφίας) με αιτήματα από το access_log βοήθεια για τον προσδιορισμό της μεθόδου αποστολής ανεπιθύμητης αλληλογραφίας ή για την εύρεση του σεναρίου αποστολέα ανεπιθύμητης αλληλογραφίας.
- Η ανάλυση του αρχείου καταγραφής μεταφοράς FTP xferlog σάς επιτρέπει να κατανοήσετε ποια αρχεία λήφθηκαν τη στιγμή της εισβολής, ποια άλλαξαν και από ποιον.
- Σε ένα σωστά διαμορφωμένο αρχείο καταγραφής διακομιστή αλληλογραφίας ή στην κεφαλίδα υπηρεσίας ενός ανεπιθύμητου email, εάν η PHP έχει ρυθμιστεί σωστά, θα υπάρχει ένα όνομα ή μια πλήρης διαδρομή προς το σενάριο αποστολής, το οποίο βοηθά στον προσδιορισμό της προέλευσης των ανεπιθύμητων μηνυμάτων.
- Χρησιμοποιώντας τα αρχεία καταγραφής προληπτικής προστασίας των σύγχρονων CMS και προσθηκών, μπορείτε να προσδιορίσετε ποιες επιθέσεις πραγματοποιήθηκαν στον ιστότοπο και εάν το CMS ήταν σε θέση να τις αντισταθεί.
- Χρησιμοποιώντας τα access_log και error_log, μπορείτε να αναλύσετε τις ενέργειες ενός χάκερ εάν γνωρίζετε τα ονόματα των σεναρίων που κάλεσε, τη διεύθυνση IP ή τον παράγοντα χρήστη. Ως έσχατη λύση, μπορείτε να προβάλετε αιτήματα POST την ημέρα που ο ιστότοπος παραβιάστηκε και μολύνθηκε. Συχνά η ανάλυση σάς επιτρέπει να βρείτε άλλα σενάρια χάκερ που λήφθηκαν ή βρίσκονταν ήδη στον διακομιστή τη στιγμή της εισβολής.
Είναι πολύ πιο εύκολο να αναλύσετε ένα hack και να αναζητήσετε κακόβουλα σενάρια σε έναν ιστότοπο, εάν φροντίζετε εκ των προτέρων για την ασφάλειά του. Η διαδικασία ελέγχου ακεραιότητας βοηθά στον έγκαιρο εντοπισμό αλλαγών στη φιλοξενία και στον προσδιορισμό του γεγονότος της εισβολής. Ένα από τα πιο απλά και αποτελεσματικούς τρόπους– βάλτε τον ιστότοπο σε σύστημα ελέγχου έκδοσης (git, svn, cvs). Εάν διαμορφώσετε σωστά το .gitignore, η διαδικασία ελέγχου αλλαγής μοιάζει με την κλήση της εντολής κατάστασης git και η αναζήτηση για κακόβουλα σενάρια και αλλαγμένα αρχεία μοιάζει με git diff.
Επίσης θα έχετε πάντα Αντίγραφο ασφαλείαςαρχεία στα οποία μπορείτε να "επαναφέρετε" τον ιστότοπο μέσα σε λίγα δευτερόλεπτα. Οι διαχειριστές διακομιστών και οι προηγμένοι webmasters μπορούν να χρησιμοποιούν μηχανισμούς inotify, tripwire, audited και άλλους μηχανισμούς για να παρακολουθούν την πρόσβαση σε αρχεία και καταλόγους και να παρακολουθούν τις αλλαγές στο σύστημα αρχείων.
Δυστυχώς, δεν είναι πάντα δυνατή η διαμόρφωση ενός συστήματος ελέγχου έκδοσης ή υπηρεσιών τρίτων στο διακομιστή. Στην περίπτωση της κοινόχρηστης φιλοξενίας, δεν θα είναι δυνατή η εγκατάσταση συστήματος ελέγχου έκδοσης και υπηρεσιών συστήματος. Αλλά δεν πειράζει, υπάρχουν πολλές έτοιμες λύσεις για το CMS. Μπορείτε να εγκαταστήσετε ένα πρόσθετο ή ένα ξεχωριστό σενάριο στον ιστότοπο που θα παρακολουθεί τις αλλαγές στα αρχεία. Ορισμένα CMS εφαρμόζουν ήδη αποτελεσματική παρακολούθηση αλλαγών και μηχανισμό ελέγχου ακεραιότητας (Για παράδειγμα, Bitrix, DLE). Ως έσχατη λύση, εάν η φιλοξενία έχει ssh, μπορείτε να δημιουργήσετε ένα cast αναφοράς σύστημα αρχείωνομάδα
Προσφορά "2 στην τιμή του 1"Η προσφορά ισχύει μέχρι το τέλος του μήνα.
Όταν ενεργοποιείτε την υπηρεσία "Ιστότοπος υπό επιτήρηση" για έναν ιστότοπο, ο δεύτερος στον ίδιο λογαριασμό συνδέεται δωρεάν. Επόμενοι ιστότοποι στο λογαριασμό - 1.500 ρούβλια το μήνα για κάθε ιστότοπο.