Haitalliset skriptit. Etsimme ja poistamme haitallista koodia WordPressistä. Palvelimen komentosarjojen neutralointi

WordPress on yksi suosituimmista sisällönhallintajärjestelmistä, jota käytetään moniin tarkoituksiin bloggaamisesta sähköiseen kaupankäyntiin. WordPressissä on laaja valikoima laajennuksia ja teemoja. On mahdollista, että jotkut näistä laajennuksista joutuvat verkkovastaavien käsiin, kun joku hyökkääjä on työskennellyt niiden parissa.

Omaksi hyödykseen hän voisi jättää niihin mainoslinkkejä tai -koodin, jolla hän hallinnoi sivustoasi. Monilla WordPress-käyttäjillä ei ole paljoa kokemusta web-ohjelmoinnista, eivätkä he tiedä miten käsitellä tätä tilannetta.

Tarkastin heille yhdeksää tehokkainta työkalua haitallisten muutosten havaitsemiseen käynnissä olevan verkkosivuston tai asennettujen lisäosien koodissa.

1. Teeman aitouden tarkistus (TAC)

Theme Authenticity Checker (TAC) – WordPress-laajennus, joka tarkistaa jokaisen vakiintunut teema epäilyttäviä elementtejä, kuten näkymättömiä linkkejä tai Base64-salattua koodia varten.

Havaittuaan tällaiset elementit TAC raportoi ne WordPress-järjestelmänvalvojalle, jolloin hän voi itsenäisesti analysoida ja tarvittaessa korjata lähdeteematiedostoja:

2. Hyödynnä Scanner

Exploit Scanner tarkistaa koko sivustosi lähdekoodin ja WordPress-tietokannan sisällön kyseenalaisten sisällyttämien varalta. Aivan kuten TAC, tämä laajennus ei estä hyökkäyksiä tai torju niiden seurauksia automaattisesti.

Se näyttää havaitut infektiooireet vain sivuston ylläpitäjälle. Jos haluat poistaa vahingoittava koodi, sinun on tehtävä se manuaalisesti:

3. Sucuri Security

Sucuri on tunnettu WordPress-tietoturvaratkaisu. Sucuri Security -laajennus valvoo WordPress-sivustolle ladattuja tiedostoja, ylläpitää omaa luetteloaan tunnetuista uhista ja mahdollistaa myös sivuston etätarkistuksen ilmaisella Sucuri SiteCheck Scannerilla. Takana tilausmaksu Voit vahvistaa sivustosi suojausta entisestään asentamalla tehokkaan Sucuri Website Firewallin:

4. Haittaohjelmien torjunta

Anti-Malware on WordPressin laajennus, joka voi löytää ja poistaa troijalaisia ​​skriptejä, takaovia ja muuta haitallista koodia.

Skannaus- ja poistoasetuksia voidaan mukauttaa. Tätä laajennusta voidaan käyttää rekisteröitymisen jälkeen ilmaiseksi gotmls-sivustolla.

Laajennus vierailee säännöllisesti valmistajan verkkosivustolla, lähettää haittaohjelmien havaitsemistilastoja ja vastaanottaa päivityksiä. Siksi, jos et halua asentaa sivustollesi laajennuksia, jotka valvovat sen toimintaa, sinun tulee välttää Anti-Malwaren käyttöä:

5. WP Antivirus Site Protection

WP Antivirus Site Protection on laajennus, joka tarkistaa kaikki sivustolle ladatut tiedostot, mukaan lukien WordPress-teemat.

Lisäosalla on oma allekirjoitustietokanta, joka päivittyy automaattisesti Internetin kautta. Se voi poistaa uhat automaattisesti, ilmoittaa siitä sivuston ylläpitäjälle sähköposti Ja paljon enemmän.

Laajennus on asennettu ja toimii ilmaiseksi, mutta siinä on useita maksullisia lisäosia, joihin kannattaa kiinnittää huomiota:

6. Virustorjunta WordPressille

AntiVirus for WordPress on helppokäyttöinen laajennus, joka voi tarkistaa sivustosi säännöllisesti ja ilmoittaa tietoturvaongelmista sähköpostitse. Laajennuksella on mukautettava sallittujen luettelo ja muita ominaisuuksia:

7. Quterra Web Malware Scanner

Quterran skanneri tarkistaa verkkosivustolta haavoittuvuuksia, kolmannen osapuolen koodin lisäyksiä, viruksia, takaovia jne. Skannerissa on mielenkiintoisia ominaisuuksia, kuten heuristinen skannaus ja ulkoisten linkkien havaitseminen.

Skannerin perusominaisuudet ovat ilmaisia, kun taas jotkin lisäpalvelut maksavat sinulle 60 dollaria vuodessa:

8. Wordfence

Jos etsit kattavaa ratkaisua verkkosivustosi tietoturvaongelmiin, etsi Wordfence.

Tämä laajennus tarjoaa jatkuvan suojan WordPressille tunnettuja hyökkäyksiä vastaan, kaksivaiheisen todennuksen, tuen hakkereiden ja roskapostittajien käyttämien tietokoneiden ja verkkojen IP-osoitteiden "mustalle listalle" sekä sivuston skannauksen tunnettujen takaovien varalta.

Tämä laajennus on ilmainen perusversiossaan, mutta siinä on myös premium-toimintoja, joista valmistaja pyytää vaatimattoman tilausmaksun:

9. Wemahu

Wemahu tarkkailee sivustosi koodin muutoksia ja etsii haitallista koodia.

Tietokanta, josta haittaohjelmat havaitaan, täydennetään joukkolähdemenetelmällä: käyttäjät itse täydentävät sitä lähettämällä tartunnan saaneiden WordPress-asennusten tarkistustulokset laajennuksen tekijän verkkosivustolle. Laajennus tukee myös raporttien lähettämistä sähköpostitse ja muita hyödyllisiä ominaisuuksia.

On tehtävä yhdessä. Jos poistat hakkeroinnin alkuperäisen syyn (esimerkiksi CMS-laajennuksen haavoittuvuuden), mutta et poista kaikkia haitallisia tiedostoja, hyökkääjä voi päästä sivustolle uudelleen jollakin skriptillään. Jos poistat kaikki ladatut haitalliset skriptit, mutta et poista hakkeroinnin syytä, hyökkääjä voi hakkeroida sivuston uudelleen ja ladata skriptejä sille uudelleen.

Asiantuntijan, jolla on asianmukaiset tiedot ja kokemus, tulee poistaa haitalliset skriptit ja analysoida hakkeroinnin syitä:

• Haitallisten komentosarjojen poistaminen edellyttää PHP-ohjelmointikielen tuntemusta sekä suosittujen sisällönhallintajärjestelmien (Joomla, WordPress jne.) ja niiden laajennusten "sisäpuolen" tuntemusta. Tätä tietoa tarvitaan, jotta voidaan erottaa komentosarjat suoraan CMS:stä ja sen laajennukset ylimääräisistä tiedostoista, ja myös voidakseen määrittää yksiselitteisesti, mitä toimia ne suorittavat kohtaaessaan epäilyttäviä skriptejä.
• Hakkeroinnin syiden analysointi edellyttää kokemusta palvelimen hallinnasta. Tämä on tarpeen tilin tiedostojen tilan, niiden muuttamisajan analysoimiseksi ja näiden tietojen vertaamiseksi palvelimen lokeihin sen määrittämiseksi, mitkä hyökkääjän toimet johtivat sivustojen hakkerointiin.

Siksi, jos sivustollesi on hakkeroitu, toistuvien hakkerointien välttämiseksi on suositeltavaa olla tekemättä työtä itse, vaan ottaa yhteyttä asiantuntijaan, joka suorittaa tarvittavat diagnoosit ja suosittelee tai suorittaa Tarvittavat toimet ratkaisemaan ongelman ja kuka voi taata saadun tuloksen laadun.

On kuitenkin olemassa useita toimenpiteitä, jotka joissakin tapauksissa auttavat palauttamaan sivuston turvallisen toiminnan ilman erityistä tietämystä. Alla olevan menetelmän rajoitus on, että sivuston toiminnan jatkaminen vaatii varmuuskopion, joka on luotu ennen hakkerointia. Jos tietomurron päivämäärä ei ole tiedossa, voit kokeilla tätä menetelmää vanhimmalla saatavilla olevalla varmuuskopiolla. Toinen rajoitus, joka johtuu ensimmäisestä, on se, että sivuston palauttamisen jälkeen sivustolle palautetun varmuuskopion jälkeen lisätyt tiedot (esimerkiksi uudet artikkelit, kuvat tai asiakirjat) on luotu. Jos sinun on palautettava sivusto säilyttäen samalla uusia tietoja, sinun on otettava yhteyttä asiantuntijaan.

Näiden toimenpiteiden avulla emme pysty määrittämään sivuston hakkeroinnin syytä, mutta jokainen niistä on tarkoitettu poistamaan yksi mahdollisista tunkeutumisen syistä. Koska hakkeroinnin tarkkaa syytä ei tiedetä, on välttämätöntä suorittaa ne kaikki. Toimenpiteet on järjestetty sellaiseen järjestykseen, että hyökkääjän mahdollisuus jatkaa toimintaansa sivustolla tai isännöintitilillä estetään ensin kokonaan. tällä hetkellä ja estää sitten hyökkääjän pääsyn sivustolle tulevaisuudessa.

Alla olevissa vaiheissa oletetaan, että hosting-tililläsi on vain yksi verkkosivusto. Jos tilillä on useita sivustoja, ne voidaan myös hakkeroida ja sivusto voidaan hakkeroida niiden kautta. On tarpeen joko siirtää paikka, jossa kunnostustöitä tehdään, erilliselle tilille tai suorittaa kunnostus kaikille tilillä oleville kohteille samanaikaisesti.

Toimintojen järjestys on tärkeä, joten ne on suoritettava täsmälleen siinä järjestyksessä, jossa ne sijaitsevat alla.

Välittömästi sen jälkeen, kun havaitaan, että sivusto on hakkeroitu, on välttämätöntä estää vierailijoiden pääsy siihen kokonaan. Tämä ensinnäkin estää hyökkääjää suorittamasta haitallisia toimia sivustolla, ja toiseksi se ei anna hänen häiritä palautustöitä. Tämä vaihe on erittäin tärkeä, koska haitallisten komentosarjojen poistaminen ja hakkeroinnin syyn poistaminen ei tapahdu yhdessä yössä - yleensä se kestää useita tunteja. Jos sivusto on edelleen käytettävissä ulkopuolelta, hyökkääjä voi ladata skriptejä uudelleen sivuston jo tyhjennetylle osalle. Tässä tapauksessa hyökkääjä voi käyttää eri IP-osoitteita yhteyden muodostamiseen, joten pääsyn estäminen vain IP-osoitteiden luetteloon ei toimi. Sen varmistamiseksi, että sivusto puhdistetaan havaituista haitallisista skripteistä, on välttämätöntä estää hyökkääjän pääsy sivustolle kokonaan, mikä voidaan tehdä vain estämällä sivusto kokonaan vierailijoilta. Ota yhteyttä sivustoasi isännöivän isännöinnin tekniseen tukipalveluun estääksesi sen.

Kun olet estänyt sivuston, sinun on tarkistettava tietokoneet, joista työskentelit sivuston kanssa nykyaikaisella virustorjuntaohjelmalla, jossa on päivitetyt virustietokannat. Jos sivusto on hakkeroitu varastamalla tilin salasanat viruksen avulla, sinun on varmistettava, että hakkeroidun sivuston kanssa tehdään jatkotyötä tietokoneelta, jossa ei ole viruksia, muuten pääsysalasanojen vaihtamisen jälkeen ne voidaan varastaa uudelleen.

Kun olet estänyt sivuston ja tarkistanut virusten varalta, sinun on vaihdettava kaikki tilisi salasanat: pääsy FTP:n kautta, SSH:n kautta sekä pääsy hosting-ohjauspaneeliin. Jos hyökkääjä on päässyt tilitiedostoihin jollakin näistä tavoista, hän ei voi enää tehdä niin salasanan vaihtamisen jälkeen.

Salasanojen vaihtamisen jälkeen sinun on tuhottava kaikki palvelinprosessit, jotka ovat käynnissä sillä tilillä, jolla sivustoa ylläpidetään. Hyökkääjän taustalla käynnistämät prosessit voivat tuhoutumatta sijoittaa uudelleen haitallisia skriptejä sivustolle palautustyön jälkeen. Tämän estämiseksi kaikki ennen sivuston estämistä käynnissä olleet prosessit on tuhottava. Sivuston pitäisi olla estetty jo tällä hetkellä, jotta hyökkääjä ei voi käynnistää uusia prosesseja käyttämällä jotakin sivustolla olevista skripteistään. Jos haluat tuhota tililläsi käynnissä olevat prosessit, ota yhteyttä sivustoasi isännöivän isännöinnin tekniseen tukipalveluun.

Nyt on mahdotonta tunkeutua sivustoon ulkopuolelta ja voit aloittaa sen palauttamisen.

Ennen kuin jatkat toimia, poista kaikki olemassa olevat sivustotiedostot varmistaaksesi, ettei niissä ole haitallisia komentosarjoja tai CMS-komentosarjoja, joihin hyökkääjä on lisännyt haitallista koodia. Tämä vaihe on myös tärkeä, koska kun sivusto palautetaan varmuuskopiosta, ennen palautusta olemassa olevia tiedostoja ei aina poisteta. Jos sivustolle jää vanhoja haitallisia komentosarjoja varmuuskopiosta palauttamisen jälkeen, hyökkääjä voi palata sivustolle. Voit välttää tämän poistamalla kaikki sivuston tiedostot ennen palautuksen suorittamista.

Kun olet poistanut kaikki sivuston tiedostot, palauta sivusto varmuuskopiosta, joka on luotu ennen sen hakkerointia. Usein riittää, että palautetaan vain sivuston tiedostot, mutta jos niiden palauttamisen jälkeen havaitaan virheitä sivuston toiminnassa, on sivusto palautettava kokonaan: sekä tiedostot että tietokanta.

Kun olet palauttanut varmuuskopiosta, päivitä sisällönhallintajärjestelmä (CMS) ja laajennukset uusimpiin versioihin. Tämä on välttämätöntä, jotta sivustolla ei ole tunnettuja haavoittuvuuksia, joiden kautta se voidaan hakkeroida. Pääsääntöisesti päivitys voidaan tehdä CMS-hallintaosion kautta. Saadakseen täydelliset ohjeet Päivittääksesi sisällönhallintajärjestelmän, sinun on mentävä järjestelmän kehittäjän verkkosivustolle. On tärkeää päivittää paitsi itse CMS, myös kaikki sen laajennukset, koska hakkerointi tapahtuu usein yhdessä CMS-laajennuksessa (esimerkiksi laajennukset, teemat, widgetit jne.) olevan haavoittuvuuden kautta. Tällä hetkellä on vielä mahdotonta poistaa sivuston estoa vierailijoilta, koska se voi silti olla haavoittuvainen. Pääset sivustollesi päivitystä varten ottamalla yhteyttä sivustoasi isännöivän isännöinnin tekniseen tukeen ja pyytämällä lupaa päästä sivustolle vain tietokoneesi IP-osoitteesta. Voit selvittää IP-osoitteesi esimerkiksi osoitteesta inet.yandex.ru.

Kun olet päivittänyt sivuston hallintajärjestelmän ja sen laajennukset, siirry sivuston hallintaosioon ja vaihda järjestelmänvalvojan salasana siihen. Varmista, että sivuston käyttäjien joukossa ei ole muita käyttäjiä, joilla on järjestelmänvalvojan oikeudet (hyökkääjä on voinut lisätä heidät), ja jos sellaisia ​​löytyy, poista ne.

Nyt kun sivusto on palautettu varmuuskopiosta eikä se sisällä haitallisia komentosarjoja, CMS ja sen laajennukset on päivitetty uusimpiin versioihin, jotka eivät sisällä haavoittuvuuksia, ja sivuston ja isännöintitilin salasanat on vaihdettu. voi avata sivuston uudelleen vierailijoille.

Kaikki edellä mainitut toimenpiteet on suoritettava määritetyn järjestyksen mukaisesti ilman laiminlyöntejä tai muutoksia. Jos toimet suoritetaan virheellisesti, sivustolle voi jäädä haitallisia komentosarjoja tai haavoittuvuuksia, minkä seurauksena hyökkääjä voi hakkeroida sen uudelleen lyhyen ajan kuluttua. Jos yllä olevia vaiheita ei jostain syystä ole mahdollista suorittaa siinä muodossa, jossa ne on ilmoitettu, ota yhteyttä asiantuntijaan sivuston palauttamiseksi hakkeroinnin jälkeen.

Jotta voit suojata sivustosi toistuvilta hakkeroilta tulevaisuudessa, sinun on noudatettava seuraavia suosituksia:

Seuraa sisällönhallintajärjestelmän päivityksiä ja sen laajennuksia kehittäjien verkkosivustoilla ja päivitä ne viipymättä uusimpiin versioihin. Jos päivityksen kommentissa kerrotaan, että se korjaa haavoittuvuuden, asenna päivitys mahdollisimman pian.

Työskentele sivuston ja isännöintitilin kanssa vain tietokoneista, jotka on suojattu viruksilta nykyaikaisilla virustorjuntaohjelmilla, joissa on jatkuvasti päivitetyt virustietokannat.

Käytä monimutkaisia ​​salasanoja, jotta niitä ei voi arvata sanakirjahaun avulla.

Älä tallenna FTP- ja SSH-salasanoja ohjelmiin, joilla voit muodostaa yhteyden sivustoon, äläkä tallenna pääsysalasanaa sivuston hallinta-alueelle ja selaimesi isännöinnin ohjauspaneeliin.

Vaihda ajoittain (esimerkiksi kolmen kuukauden välein) sivuston ja isännöintitilin salasanat.

Jos tietokoneessa, josta työskentelit sivuston kanssa, havaittiin viruksia, vaihda sivuston ja isännöintitilin salasanat mahdollisimman nopeasti. Sinun on vaihdettava kaikki salasanat: pääsy salasanat FTP:n, SSH:n kautta, salasana sivuston hallintapaneelista sekä salasana hosting-ohjauspaneelista.

Älä anna pääsyä sivustolle kolmansille osapuolille, ellet ole varma, että myös he noudattavat näitä ohjeita.

Haitallinen koodi päätyy sivustolle huolimattomuudesta tai ilkivaltaisesta tarkoituksesta. Haitallisen koodin tarkoitukset vaihtelevat, mutta olennaisesti se vahingoittaa tai häiritsee verkkosivuston normaalia toimintaa. Jos haluat poistaa haitallisen koodin WordPressistä, sinun on ensin löydettävä se.

Mikä on haitallinen koodi WordPress-sivustolla?

Tekijä: ulkomuoto, haitallinen koodi on useimmiten joukko latinalaisten aakkosten kirjaimia ja symboleja. Itse asiassa tämä on salattu koodi, jolla tämä tai tuo toiminto suoritetaan. Toiminnot voivat olla hyvin erilaisia, esimerkiksi uudet viestisi julkaistaan ​​välittömästi kolmannen osapuolen resurssissa. Tämä on pohjimmiltaan sisältösi varastamista. Koodilla on myös muita "tehtäviä", esimerkiksi lähtevien linkkien sijoittaminen sivuston sivuille. Tehtävät voivat olla kaikkein kehittyneimpiä, mutta yksi asia on selvä: haitalliset koodit on etsittävä ja poistettava.

Miten haitalliset koodit pääsevät verkkosivustolle?

Sivustolla on myös monia porsaanreikiä koodien pääsylle sivustolle.

Useimmiten nämä ovat teemoja ja laajennuksia, jotka on ladattu "vasemmista" resursseista. Tällainen tunkeutuminen on kuitenkin tyypillistä niin sanotuille salatuille linkeille. Selkeä koodi ei päädy sivustolle.

Viruksen tunkeutuminen sivustoon hakkeroinnin yhteydessä on vaarallisinta. Pääsääntöisesti sivuston hakkeroinnin avulla voit sijoittaa "kertakoodin" lisäksi myös koodin, jossa on haittaohjelmaelementtejä ( haittaohjelma). Löydät esimerkiksi koodin ja poistat sen, mutta se palautetaan jonkin ajan kuluttua. Vaihtoehtoja on taas monia.

Haluan heti huomauttaa, että tällaisten virusten torjunta on vaikeaa ja manuaalinen poistaminen vaatii tietoa. Ongelmaan on kolme ratkaisua: ensimmäinen ratkaisu on käyttää virustorjuntalaajennuksia, esimerkiksi BulletProof Security -nimistä laajennusta.

Tämä ratkaisu antaa hyviä tuloksia, mutta vie aikaa, vaikkakin vähän. Haitallisista koodeista, mukaan lukien monimutkaisista viruksista, poistamiseen on olemassa radikaalimpi ratkaisu, joka on palauttaa sivusto aiemmin tehdyistä varmuuskopioista.

Koska hyvä verkkovastaava tekee tämän säännöllisesti, voit palata ei-tartunnan saaneeseen versioon ilman ongelmia. Kolmas ratkaisu on rikkaille ja laiskoille, ota yhteyttä erikoistuneeseen "toimistoon" tai yksittäiseen asiantuntijaan.

Kuinka etsiä haitallista koodia WordPressissä

On tärkeää ymmärtää, että WordPressin haitallinen koodi voi olla missä tahansa sivuston tiedostossa, ei välttämättä työteemassa. Hän voi keksiä laajennuksen, teeman tai "kotitekoisen" koodin, joka on otettu Internetistä. On olemassa useita tapoja yrittää löytää haitallista koodia.

Tapa 1: Manuaalisesti. Selaat kaikkia sivuston tiedostoja ja vertaat niitä tartuttamattoman varmuuskopion tiedostoihin. Jos löydät jonkun toisen koodin, poista se.

Tapa 2: WordPressin suojauslaajennusten käyttäminen. Esimerkiksi, . Tällä laajennuksella on loistava ominaisuus, joka tarkistaa sivuston tiedostot muiden ihmisten koodin varalta ja laajennus selviää tästä tehtävästä täydellisesti.

Tapa 3. Jos sinulla on kohtuullinen isännöintituki ja sinusta vaikuttaa siltä, ​​että sivustolla on joku muu, pyydä häntä tarkistamaan sivustosi virustorjuntaohjelmallaan. Heidän raportissaan luetellaan kaikki tartunnan saaneet tiedostot. Avaa seuraavaksi nämä tiedostot sisään tekstieditori ja poista haitallinen koodi.

Tapa 4. Jos voit työskennellä SSH-yhteydellä sivustohakemistoon, mene eteenpäin, sillä on oma keittiö.

Tärkeä! Riippumatta siitä, kuinka etsit haitallista koodia, sulje pääsy sivuston tiedostoihin ennen koodin etsimistä ja poistamista (ota ylläpitotila käyttöön). Muista koodit, jotka itse palautetaan, kun ne poistetaan.

Etsi haitallisia koodeja eval-toiminnolla

PHP:ssä on sellainen toiminto nimeltä eval. Sen avulla voit suorittaa minkä tahansa koodin rivillään. Lisäksi koodi voidaan salata. Koodauksesta johtuen haitallinen koodi näyttää kirjaimien ja symbolien joukolta. Kaksi suosittua koodausta ovat:

Base64;

Rot13.

Vastaavasti näissä koodauksissa eval-funktio näyttää tältä:

• eval(base64_decode(...))
• eval (str_rot13 (...)) //sisäisissä lainausmerkeissä, pitkiä, epäselviä kirjain- ja symbolijoukkoja..

Algoritmi haitallisen koodin etsimiseen eval-toiminnolla on seuraava (työskentely hallintapaneelista):

• mene sivuston editoriin (Ulkoasu→Muokkaaja).
• kopioi functions.php-tiedosto.
• avaa se tekstieditorissa (esimerkiksi Notepad++) ja etsi sana: eval.
• Jos löydät sen, älä kiirehdi poistamaan mitään. Sinun on ymmärrettävä, mitä tämä toiminto "pyytää" suoritettavan. Tämän ymmärtämiseksi koodi on purettava. Koodauksen purkamiseen on olemassa online-työkaluja, joita kutsutaan dekoodereiksi.

Dekooderit/Enkooderit

Dekooderit toimivat yksinkertaisesti. Kopioit koodin, jonka salauksen haluat purkaa, liität sen dekooderikenttään ja purat sen.

Tätä kirjoittaessani en löytänyt WordPressistä yhtään salattua koodia. Löysin koodin Joomlan sivuilta. Periaatteessa dekoodauksen ymmärtämisessä ei ole eroa. Katsotaanpa valokuvaa.

Kuten kuvasta näkyy, eval-toiminto ei näyttänyt dekoodauksen jälkeen kauheaa koodia, joka uhkaa sivuston turvallisuutta, vaan salatun tekijänoikeuslinkin mallin kirjoittajalta. Se voidaan myös poistaa, mutta se tulee takaisin mallin päivityksen jälkeen, jos et käytä .

Lopuksi haluan huomauttaa, jotta virus ei pääse sivustolle:

• WordPressin haitallinen koodi sisältää usein teemoja ja laajennuksia. Siksi älä asenna malleja ja laajennuksia "vasemmalta", vahvistamattomista resursseista, ja jos asennat, tarkista ne huolellisesti PHP:n linkkien ja johtavien toimintojen varalta. Kun olet asentanut laajennuksia ja teemoja "laittomista" lähteistä, tarkista sivusto virustorjuntaohjelmistolla.
• Muista tehdä ajoittain varmuuskopioita ja tehdä muita.

1. Pura se sivuston kansioon.
2. seuraa linkkiä your_site/fscure/
3. kaikki

Mitä hän voi tehdä?

1. Automaattinen virusten haku allekirjoitusten perusteella.
2. Etsi tiedostoista merkkijono
3. Tiedostojen poistaminen
4. Korjaa haitallinen koodi käyttämällä säännöllisiä lausekkeita

Käsikirjoitus ei tee kaikkea työtä puolestasi ja vaatii vähän tietoa. On suositeltavaa tehdä varmuuskopio sivustosta ennen työtä.

Kuinka se toimii?

Kun se käynnistetään ensimmäisen kerran, se luo tiedostohakemiston. Fscure.lst-tiedosto on kansiossa. Näyttää luettelon tiedostoista, jotka sisältävät mahdollisesti haitallisia allekirjoituksia. "Mahdollisesti haitallinen" tarkoittaa, että sinun on päätettävä, onko se virus vai ei. Allekirjoitusten luettelo on määritetty config.php-tiedostossa, vakio SCAN_SIGN. Oletusasetuksissa komentosarja ei tarkista js-tiedostoja eikä sisällä niiden allekirjoituksia.

Yleisimmät ongelmat

1. ei luo fscure.lst-indeksiä. Voi tapahtua, jos oikeuksia ei ole riittävästi. Laita 777 fscure-kansioon

2. 5xx virhe. Useimmiten "504 Gateway Time-out". Skriptillä ei ole aikaa käsitellä ja se kaatuu aikakatkaisun vuoksi. Tässä tapauksessa on useita tapoja nopeuttaa sen työtä. Nopeus riippuu ensisijaisesti indeksin koosta. Se on fscure.lst-tiedostossa. Tyypillisesti jopa 5 Mt:n tiedosto voidaan käsitellä 90 prosentissa tapauksista. Jos sillä ei ole aikaa, voit vähentää komentosarjan "ahneutta" kieltämällä konfiguraatiossa skannauksen *.jpg;*.png;*.css.
Config.php-tiedostossa.

// erotin; define("TIEDOSTOT_POIS","*.js;*.jpg;*.png;*.css");

3. Hosting antaa varoituksen, kuten
(HEX)base64.inject.unclassed.6: u56565656: /var/www/u65656565/data/www/34535335353.ru/fscure/index.php

Käsikirjoituksessa ei ole virusta, eikä koskaan ollutkaan. Ja (HEX)base64.inject.unclassed.6 on konstruktio, kuten "echo base64_decode(" , jota kohdataan usein ja joka on itsessään melko vaaraton. Kuitenkin uusin versio, Vaihdoin tämän koodin.

Mitä tehdä, jos et löytänyt virusta itse?

Voit ottaa minuun yhteyttä saadaksesi apua. Hintani ovat vaatimattomat. Annan työlleni 6 kuukauden takuun. Työn hinta on 800 ruplaa. 1 sivustolle. Jos tililläsi on useita sivustoja, hinta määräytyy yksilöllisesti.

Jos onnistuit tekemään kaiken itse, olisin kiitollinen rahallisesta palkkiosta tai linkistä sivustolleni.

Omat varusteet:
yandex
41001151597934

webmoney
Z959263622242
R356304765617
E172301357329

Elämän totuus on, että sivusto voidaan hakkeroida ennemmin tai myöhemmin. Hyödynnettyään onnistuneesti haavoittuvuutta, hakkeri yrittää saada jalansijaa sivustolla sijoittamalla hakkereiden web-kuoret ja latausohjelmat järjestelmähakemistoihin ja ottamalla käyttöön takaovia komentosarjakoodiin ja CMS-tietokantaan.

Skannerit auttavat havaitsemaan ladatut web-suojat, takaovet, phishing-sivut, roskapostin lähettäjät ja muun tyyppiset haitalliset skriptit – kaikki, mitä he tietävät ja jotka on lisätty valmiiksi haitallisen koodin allekirjoitustietokantaan. Joillakin skannereilla, kuten AI-BOLITilla, on joukko heuristisia sääntöjä, jotka voivat havaita tiedostot, joissa on epäilyttävää koodia, jota käytetään usein haitallisissa komentosarjoissa, tai tiedostot, joilla on epäilyttäviä määritteitä ja jotka hakkerit voivat ladata. Mutta valitettavasti, vaikka isännöinnissä käytettäisiin useita skannereita, saattaa esiintyä tilanteita, joissa jotkut hakkerin skriptit jäävät huomaamatta, mikä tarkoittaa itse asiassa sitä, että hyökkääjälle jää "takaovi" ja hän voi hakkeroida sivuston ja saada sen hallintaansa. täysi hallinta milloin tahansa.

Nykyaikaiset haittaohjelmat ja hakkeriohjelmat eroavat merkittävästi 4–5 vuoden takaisista. Tällä hetkellä haitallisen koodin kehittäjät yhdistävät hämärtämistä, salausta, hajottamista, haitallisen koodin ulkoista lataamista ja muita temppuja huijatakseen virustorjuntaohjelmistoa. Siksi uusien haittaohjelmien puuttumisen todennäköisyys on paljon suurempi kuin ennen.

Mitä tässä tapauksessa voidaan tehdä, jotta sivustolla olevat virukset ja isännöinnissä olevat hakkeriohjelmat havaitaan tehokkaammin? On tarpeen käyttää integroitua lähestymistapaa: ensimmäinen automaattinen skannaus ja manuaalinen jatkoanalyysi. Tässä artikkelissa käsitellään vaihtoehtoja haitallisen koodin havaitsemiseen ilman skannereita.

Katsotaanpa ensin, mitä tarkalleen sinun pitäisi etsiä hakkeroinnin aikana.

Hakkeri skriptit.
Useimmiten hakkeroinnin yhteydessä ladattavat tiedostot ovat web-shellejä, takaovia, "lataajia", roskapostiskriptejä, phishing-sivuja + lomakkeiden käsittelijöitä, oviaukoja ja hakkerointimerkkitiedostoja (kuvia hakkeriryhmän logosta, tekstitiedostoja"viestillä" hakkereilta jne.)

Injektiot (koodiinjektiot) olemassa oleviin .
Toiseksi suosituin haitallisen ja hakkerikoodin isännöintityyppi on injektiot. Mobiili- ja hakuuudelleenohjaukset voidaan lisätä olemassa oleviin sivuston .htaccess-tiedostoihin, takaovet voidaan lisätä php/perl-skripteihin ja virusten JavaScript-fragmentteja tai uudelleenohjauksia kolmannen osapuolen resursseihin voidaan upottaa .js- ja .html-malleihin. Injektiot ovat mahdollisia myös mediatiedostoissa, esimerkiksi.jpg tai. Usein haitallinen koodi koostuu useista komponenteista: itse haitallinen koodi tallennetaan jpg-tiedoston exif-otsikkoon ja suoritetaan pienellä ohjausskriptillä, jonka koodi ei näytä skannerin silmissä epäilyttävältä.

Tietokanta-injektiot.
Tietokanta on hakkerin kolmas kohde. Täällä ovat mahdollisia staattiset lisäykset, , , , jotka ohjaavat vierailijat kolmannen osapuolen resursseihin, "vakoilevat" niitä tai tartuttavat vierailijan tietokoneen/mobiililaitteen drive-by-hyökkäyksen seurauksena.
Lisäksi monissa nykyaikaisissa CMS-järjestelmissä (IPB, vBulletin, modx jne.) mallimoottorit antavat sinun suorittaa php koodi, ja itse mallipohjat on tallennettu tietokantaan, joten web-shelleiden ja takaovien PHP-koodi voidaan rakentaa suoraan tietokantaan.

Injektiot välimuistipalveluissa.
Välimuistipalveluiden virheellisen tai epäturvallisen konfiguroinnin seurauksena, esimerkiksi välimuistiin tallennetut tiedot, injektiot välimuistiin "lennossa" ovat mahdollisia. Joissakin tapauksissa hakkeri voi syöttää haitallista koodia sivuston sivuille hakkeroimatta sivustoa suoraan.

Injektiot/aloitettuja elementtejä palvelinjärjestelmän komponenteissa.
Jos hakkeri on saanut etuoikeutetun (root) pääsyn palvelimeen, hän voi korvata verkkopalvelimen tai välimuistipalvelimen elementit tartunnan saaneilla. Tällainen verkkopalvelin toisaalta ohjaa palvelinta ohjauskomentojen avulla ja toisaalta tuo ajoittain dynaamisia uudelleenohjauksia ja haitallista koodia sivuston sivuille. Kuten välimuistipalveluun lisäyksen tapauksessa, sivuston ylläpitäjä ei todennäköisesti pysty havaitsemaan, että sivusto on hakkeroitu, koska kaikki tiedostot ja tietokanta ovat alkuperäisiä. Tämä vaihtoehto on vaikein hoitaa.

Oletetaan siis, että olet jo tarkistanut isännöinnissä olevat tiedostot ja tietokantavedosten skannereilla, mutta he eivät löytäneet mitään ja virus on edelleen sivulla tai mobiiliuudelleenohjaus jatkaa toimintaansa sivuja avattaessa. Kuinka etsiä lisää?

Manuaalinen haku

Unixissa on vaikea löytää arvokkaampaa komentoparia tiedostojen ja fragmenttien etsimiseen kuin find / grep.

löytö . -nimi '*.ph*' -mtime -7

löytää kaikki tiedostot, joita on muutettu viimeisen viikon aikana. Joskus hakkerit "vääntävät" skriptien muokkauspäivämäärää, jotta ne eivät havaitse uusia skriptejä. Sitten voit etsiä php/phtml-tiedostoja, joiden attribuutit ovat muuttuneet

löytö . -nimi '*.ph*' -сtime -7

Jos haluat etsiä muutoksia tietyllä aikavälillä, voit käyttää samaa hakua

löytö . -nimi '*.ph*' -newermt 25.1.2015! -newermt 2015-01-30 -ls

Tiedostojen etsimiseen grep on välttämätön. Se voi etsiä rekursiivisesti tiedostoista tiettyä fragmenttia

grep -ril ‘stummann.net/steffen/google-analytics/jquery-1.6.5.min.js’ *

Palvelinta hakkeroitaessa on hyödyllistä analysoida tiedostoja, joissa on guid/suid-lippu

etsi / -perm -4000 -o -perm -2000

Voit määrittää, mitkä komentosarjat ovat parhaillaan käynnissä ja lataavat isäntäprosessoria soittamalla

lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ‘( if(!str) ( str= ) else ( str=str””))END(print str)’` | grep vhosts | grep php

Käytämme aivojamme ja käsiämme analysoidaksemme tiedostoja isännöinnissä

Siirrymme lataus-, välimuisti-, tmp-, varmuuskopio-, loki-, kuvahakemistoihin, joihin skripteillä kirjoitetaan tai käyttäjien lataamia tiedostoja, ja etsitään sisällöstä uusia tiedostoja, joilla on epäilyttävät laajennukset. Esimerkiksi joomlalle voit tarkistaa .php-tiedostot hakemistosta images:find ./images -nimi '*.ph*'. Todennäköisesti jos jotain löytyy, se on haittaohjelma.
WordPressissä on järkevää tarkistaa komentosarjat wp-content/uploads-hakemistosta, varmuuskopiointi- ja välimuistiteemahakemistoista.

Etsin tiedostoja, joilla on outoja nimiä
Esimerkiksi php, fyi.php, n2fd2.php. Tiedostoja voi etsiä

• - epätyypillisillä merkkiyhdistelmillä,
• - numeroiden 3,4,5,6,7,8,9 esiintyminen tiedoston nimessä

Etsimme tiedostoja, joilla on epätavallinen pääte
Oletetaan, että sinulla on verkkosivusto WordPressissä tai niille tiedostot, joiden tunniste on .py, .pl, .cgi, .so, .c, .phtml, .php3, eivät ole aivan tavallisia. Jos näitä laajennuksia sisältäviä skriptejä ja tiedostoja havaitaan, ne ovat todennäköisesti hakkerityökaluja. Väärien havaintojen prosenttiosuus on mahdollinen, mutta se ei ole korkea.

Etsimme tiedostoja, joiden attribuutit tai luontipäivämäärät poikkeavat
Epäilykset voivat johtua tiedostoista, joiden attribuutit poikkeavat palvelimella olevista. Esimerkiksi kaikki .php-skriptit on ladattu ftp/sftp:n kautta ja niillä on käyttäjäkäyttäjä, ja jotkin ovat www-data-käyttäjän luomia. On järkevää tarkistaa uusimmat. Tai jos komentosarjatiedoston luontipäivä on aikaisempi kuin sivuston luontipäivämäärä.
Epäilyttäviä attribuutteja sisältävien tiedostojen etsimisen nopeuttamiseksi on kätevää käyttää Unixin Find-komentoa.

Etsimme oviaukkoja käyttämällä suurta määrää .html- tai .php-tiedostoja
Jos hakemistossa on useita tuhansia .php- tai .html-tiedostoja, tämä on todennäköisesti portti.

Lokit avuksi

Verkkopalvelinta, sähköpostipalvelua ja FTP-lokeja voidaan käyttää haitallisten ja hakkeriohjelmien havaitsemiseen.

• Kirjeen lähetyspäivämäärän ja -ajan korrelaatio (löytyy lokista sähköpostipalvelin tai roskapostikirjeen palveluotsikko) access_login pyynnöillä auttaa tunnistamaan roskapostin lähetystavan tai löytämään roskapostin lähettäjän komentosarjan.

• FTP xferlog -siirtolokin analyysin avulla voit ymmärtää, mitkä tiedostot ladattiin hakkerointihetkellä, mitä muutettiin ja kuka on tehnyt.

• Jos PHP on määritetty oikein, oikein määritetyssä sähköpostipalvelimen lokissa tai roskapostin palvelun otsikossa on nimi tai täydellinen polku lähettävälle komentosarjalle, mikä auttaa määrittämään roskapostin lähteen.

• Modernien CMS:n ja laajennusten ennakoivan suojauksen lokien avulla voit määrittää, mitä hyökkäyksiä sivustolle tehtiin ja pystyikö CMS vastustamaan niitä.

• Access_lokin ja error_login avulla voit analysoida hakkerin toimia, jos tiedät hänen kutsumiensa komentosarjojen nimet, IP-osoitteen tai käyttäjäagentin. Viimeisenä keinona voit tarkastella POST-pyyntöjä sinä päivänä, jona sivusto hakkeroitiin ja sairastettiin. Usein analyysin avulla voit löytää muita hakkeriohjelmia, jotka oli ladattu tai jotka olivat jo palvelimella hakkerointihetkellä.

Eheyden valvonta

Hakkeroinnin analysointi ja haitallisten komentosarjojen etsiminen verkkosivustolta on paljon helpompaa, jos huolehdit sen turvallisuudesta etukäteen. Eheyden tarkistusmenettely auttaa havaitsemaan ajoissa muutokset isännöinnissä ja määrittämään hakkeroinnin tosiasian. Yksi yksinkertaisimmista ja tehokkaita tapoja– laita sivusto versionhallintajärjestelmän alle (git, svn, cvs). Jos määrität .gitignoren oikein, muutoksenhallintaprosessi näyttää git status -komennon kutsumiselta ja haitallisten komentosarjojen ja muuttuneiden tiedostojen etsiminen näyttää git diff:ltä.

Myös sinulla on aina varmuuskopio tiedostot, joihin voit "palauttaa" sivuston muutamassa sekunnissa. Palvelimen järjestelmänvalvojat ja edistyneet verkkovastaavat voivat käyttää inotify-, tripwire-, auditd- ja muita mekanismeja tiedostojen ja hakemistojen pääsyn seuraamiseen ja tiedostojärjestelmän muutosten seurantaan.

Valitettavasti palvelimelle ei aina ole mahdollista määrittää versionhallintajärjestelmää tai kolmannen osapuolen palveluita. Jaetun isännöinnin tapauksessa ei ole mahdollista asentaa versionhallintajärjestelmää ja järjestelmäpalveluita. Mutta sillä ei ole väliä, CMS:lle on olemassa melko paljon valmiita ratkaisuja. Voit asentaa sivustolle laajennuksen tai erillisen komentosarjan, joka seuraa tiedostojen muutoksia. Joissakin sisällönhallintajärjestelmissä on jo käytössä tehokas muutosseuranta ja eheyden tarkistusmekanismi (esimerkiksi Bitrix, DLE). Viimeisenä keinona, jos isännöinnissä on ssh, voit luoda viitesarjan tiedostojärjestelmä tiimi

Kampanja "2 yhden hinnalla"

Kampanja on voimassa kuun loppuun asti.

Kun aktivoit "Sivusto valvotaan" -palvelun yhdelle verkkosivustolle, toinen samalla tilillä yhdistetään ilmaiseksi. Tilin myöhemmät sivustot - 1 500 ruplaa kuukaudessa jokaiselle sivustolle.