Злонамерни скрипти. Бараме и отстрануваме злонамерен код на WordPress. Неутрализирање на скриптите на серверот

WordPress е еден од најпопуларните системи за управување со содржина, кој се користи за различни цели, од блогирање до е-трговија. Има широк избор на приклучоци и теми на WordPress. Се случува некои од овие екстензии да паднат во рацете на веб-администраторите откако некој напаѓач работел на нив.

За своја корист, тој би можел во нив да остави рекламни линкови или код со кој ќе управува со вашиот сајт. Многу корисници на WordPress немаат големо искуство во веб програмирање и не знаат како да се справат со оваа ситуација.

За нив прегледав девет од најефикасните алатки за откривање на малициозни промени во кодот на веб-локација која работи или инсталирани додатоци.

1. Проверка на автентичност на темата (TAC)

Проверка на автентичност на темата (TAC) – приклучок за WordPress што ги скенира сите воспоставена темаза сомнителни елементи како што се невидливи врски или шифриран код Base64.

Откривајќи ги таквите елементи, TAC ги известува до администраторот на WordPress, овозможувајќи му самостојно да ги анализира и, доколку е потребно, да ги коригира изворните датотеки со теми:

2. Експлоит скенер

Exploit Scanner го скенира изворниот код на целиот ваш сајт и содржината на базата на податоци на WordPress за сомнителни инклузии. Исто како TAC, овој приклучок не спречува напади или автоматски се бори со нивните последици.

На администраторот на страницата му покажува само откриени симптоми на инфекција. Ако сакате да избришете злонамерен код, ќе треба да го направите тоа рачно:

3. Sucuri Security

Sucuri е добро познато безбедносно решение на WordPress. Приклучокот за безбедност на Sucuri ги следи датотеките поставени на веб-локација на WordPress, одржува сопствена листа на познати закани, а исто така ви овозможува далечински да ја скенирате страницата користејќи го бесплатниот скенер на Sucuri SiteCheck. Зад претплатаМожете дополнително да ја зајакнете заштитата на вашата страница со инсталирање на моќниот заштитен ѕид на веб-страницата Sucuri:

4. Анти-Malware

Anti-Malware е приклучок за WordPress кој може да пронајде и отстрани тројански скрипти, задни врати и други малициозни кодови.

Поставките за скенирање и бришење може да се прилагодат. Овој приклучок може да се користи откако ќе се регистрирате бесплатно на gotmls.

Приклучокот редовно пристапува до веб-страницата на производителот, пренесувајќи статистика за откривање малициозен софтвер и примајќи ажурирања. Затоа, ако не сакате да инсталирате приклучоци на вашата страница што ја следат неговата работа, тогаш треба да избегнувате да користите Anti-Malware:

5. WP антивирусна заштита на страницата

WP Antivirus Site Protection е додаток кој ги скенира сите датотеки поставени на страницата, вклучувајќи ги и темите на WordPress.

Приклучокот има своја база на податоци за потписи, која автоматски се ажурира преку Интернет. Може да ги отстрани заканите автоматски, да го извести администраторот на страницата е-поштаИ уште повеќе.

Приклучокот е инсталиран и функционира бесплатно, но има неколку платени додатоци на кои вреди да се обрне внимание:

6. Антивирус за WordPress

Антивирус за WordPress е приклучок кој е лесен за употреба кој може редовно да ја скенира вашата страница и да ве известува за безбедносни проблеми преку е-пошта. Приклучокот има сопствена бела листа и други карактеристики:

7. Веб скенер за малициозен софтвер Quterra

Скенерот на Quterra проверува веб-локација за пропусти, инјекции на код од трети страни, вируси, задни врати итн. Скенерот има такви интересни карактеристики како хеуристичко скенирање и откривање на надворешни врски.

Основните функции на скенерот се бесплатни, додека некои дополнителни услуги ќе ве чинат 60 долари годишно:

8. Зборова ограда

Ако барате сеопфатно решение за безбедносните проблеми на вашата веб-локација, не гледајте подалеку од Wordfence.

Овој додаток обезбедува постојана заштита на WordPress од познати типови на напади, автентикација со два фактори, поддршка за „црна листа“ на IP адреси на компјутери и мрежи што ги користат хакерите и спамерите и скенирање на страницата за познати задни врати.

Овој приклучок е бесплатен во неговата основна верзија, но има и премиум функционалност, за што производителот бара скромна претплата:

9.Вемаху

Wemahu ги следи промените во кодот на вашата страница и бара злонамерен код.

Базата на податоци на која е откриен малициозен софтвер се надополнува со помош на методот на crowdsourcing: самите корисници ја надополнуваат со испраќање на резултатите од скенирањето на заразените инсталации на WordPress на веб-страницата на авторот на приклучокот. Приклучокот исто така поддржува испраќање извештаи по е-пошта и други корисни функции.

Мора да се направи заедно. Ако ја елиминирате првичната причина за хакирањето (на пример, ранливост во наставката CMS), но не ги отстраните сите малициозни датотеки, напаѓачот ќе може повторно да добие пристап до страницата користејќи една од неговите скрипти. Ако ги отстраните сите преземени злонамерни скрипти, но не ја елиминирате причината за хакирањето, напаѓачот ќе може повторно да ја хакира страницата и повторно да презема скрипти на неа.

Специјалист со соодветно знаење и искуство треба да изврши работа за отстранување на малициозни скрипти и анализирање на причините за хакирање:

• За да ги отстраните малициозните скрипти, потребно е познавање на програмскиот јазик PHP, како и познавање на „внатре“ на популарниот CMS (Joomla, WordPress, итн.) и екстензии за нив. Ова знаење е потребно за да се разликуваат скриптите директно од CMS и неговите наставки од необични датотеки, а исто така да може недвосмислено да се одредат какви дејства ги извршуваат кога ќе се сретнат со сомнителни скрипти.
• За да се анализираат причините за хакирањето, потребно е искуство со администрацијата на серверот. Ова е неопходно за да се анализира состојбата на датотеките на сметката, времето на нивното менување, а исто така и да се споредат овие податоци со дневниците на серверот за да се утврди кои дејства на напаѓачот довеле до хакирање на страниците.

Затоа, ако вашата страница е хакирана, се препорачува, за да избегнете повторени хакирања, да не ја работите работата сами, туку да контактирате со специјалист кој ќе ја спроведе потребната дијагностика и ќе препорача или изврши потребни дејствијада го реши проблемот, и кој може да гарантира за квалитетот на добиениот резултат.

Сепак, постојат голем број мерки кои во некои случаи помагаат да се врати безбедното функционирање на локацијата без посебно знаење. Ограничувањето на методот подолу е тоа што за да се продолжи со работата на страницата, потребна е резервна копија од неа создадена пред хакирањето. Ако датумот на прекршувањето е непознат, можете да го испробате овој метод користејќи ја најстарата достапна резервна копија. Второто ограничување, како последица на првото, е тоа што по обновувањето на страницата, податоците се додаваат на страницата по креирањето на резервната копија за враќање (на пример, нови написи, слики или документи). Ако треба да ја вратите страницата додека задржувате нови податоци, треба да контактирате со специјалист.

Овие мерки не ни дозволуваат да ја утврдиме причината за хакирањето на страницата, но секоја од нив е насочена кон елиминирање на една од потенцијалните причини за пенетрација. Бидејќи точната причина за хакирањето е непозната, неопходно е да се изведат сите. Дејствијата се распоредени по таков редослед што прво целосно да се елиминира можноста напаѓачот да ги продолжи своите активности на страницата или сметката за хостирање во моментално, а потоа спречете напаѓач да влезе на страницата во иднина.

Чекорите подолу претпоставуваат дека имате само една веб-локација на вашата хостинг сметка. Ако има неколку сајтови на сметката, тогаш и тие би можеле да бидат хакирани, а страницата би можела да биде хакирана преку нив. Потребно е или да се префрли локацијата со која се изведуваат реставраторски работи на посебна сметка или да се изврши реставрација за сите локации хостирани на сметката во исто време.

Редоследот на дејствата е важен, па затоа е неопходно да се извршат по точниот редослед по кој се наоѓаат подолу.

Веднаш по откривањето дека некоја страница е хакирана, неопходно е целосно да се блокира пристапот на посетителите до неа. Ова, прво, ќе го спречи напаѓачот да врши злонамерни активности на страницата, и второ, нема да му дозволи да се меша во реставраторската работа. Овој чекор е многу важен, бидејќи отстранувањето на злонамерните скрипти и елиминирањето на причината за хакирањето не се случува преку ноќ - по правило, потребни се неколку часа. Ако страницата остане достапна однадвор, напаѓачот ќе може повторно да прикачува скрипти на делот од страницата што е веќе исчистен. Во овој случај, напаѓачот може да користи различни IP адреси за поврзување, така што одбивањето пристап само до списокот на IP адреси нема да работи. За да се осигура дека страницата е исчистена од откриени малициозни скрипти, неопходно е целосно да се блокира можноста на напаѓачот да пристапи до страницата, што може да се направи само со целосно блокирање на страницата за сите посетители. Контактирајте ја службата за техничка поддршка на хостингот што ја хостира вашата страница за да ја блокирате.

Откако ќе ја блокирате страницата, треба да ги проверите компјутерите од кои работевте со страницата со модерен антивирус со ажурирани бази на податоци за вируси. Ако страницата била хакирана со кражба на лозинки за сметки со помош на вирус, мора да бидете сигурни дека понатамошната работа со хакираната страница се врши од компјутер што нема вируси, инаку по промената на лозинките за пристап тие може повторно да бидат украдени.

По блокирањето на страницата и проверката за вируси, треба да ги промените сите лозинки за пристап до вашата сметка: пристап преку FTP, преку SSH, како и пристап до контролната табла за хостирање. Ако напаѓачот пристапил до датотеките на сметката користејќи еден од овие методи, откако ќе се сменат лозинките, тој веќе нема да може да го прави тоа.

По промената на лозинките, мора да ги уништите сите процеси на серверот што се извршуваат под сметката на која се одржува страницата. Процесите што ги започна напаѓачот во заднина, без да бидат уништени, ќе можат повторно да постават малициозни скрипти на страницата откако ќе се извршат работите за реставрација. За да се спречи тоа да се случи, мора да се уништат сите процеси што се извршуваат пред да се блокира страницата. Веб-страницата треба да биде веќе блокирана во овој момент, така што напаѓачот не може да започне нови процеси со пристап до една од неговите скрипти на страницата. За да ги уништите процесите што се извршуваат на вашата сметка, контактирајте ја службата за техничка поддршка на хостингот што ја хостира вашата страница.

Сега е невозможно да навлезете на локацијата однадвор и можете да започнете да ја обновувате.

Пред понатамошни активности, избришете ги сите постоечки датотеки на страницата за да се уверите дека нема злонамерни скрипти или скрипти CMS во кои напаѓачот вметнал злонамерен код. Овој чекор е исто така важен бидејќи при враќање на страницата од резервна копија, датотеките што постоеле пред обновувањето не секогаш се бришат. Ако, по враќањето од резервна копија, старите злонамерни скрипти останат на страницата, напаѓачот ќе може повторно да влезе на страницата. Можете да го избегнете ова со бришење на сите датотеки на страницата пред да извршите обновување.

Откако ќе ги избришете сите датотеки на страницата, вратете ја страницата од резервна копија создадена пред да биде хакирана. Честопати е доволно да се обноват само датотеките на страницата, но ако, по нивното враќање, се забележат грешки во работата на страницата, неопходно е целосно да се врати страницата: и датотеките и базата на податоци.

По враќањето од резервна копија, ажурирајте го вашиот систем за управување со содржина (CMS) и екстензии на најновите верзии. Ова е неопходно за да се исклучи присуството на познати пропусти на страницата преку кои може да се хакира. Како по правило, ажурирањето може да се направи преку делот за администрација на CMS. За добивање целосни инструкцииЗа да го ажурирате CMS, мора да отидете на веб-страницата на развивачот на системот. Важно е да се ажурира не само самиот CMS, туку и сите негови екстензии, бидејќи хакирањето често се случува преку ранливост присутна во една од екстензии на CMS (на пример, приклучоци, теми, графички контроли итн.). Во овој момент, сè уште е невозможно да се одблокира страницата за посетителите, бидејќи може да биде сè уште ранлива. За да пристапите до вашата страница за ажурирање, контактирајте со техничката поддршка на хостингот што ја хостира вашата страница и побарајте да дозволите пристап до страницата само од IP адресата на вашиот компјутер. Можете да ја дознаете вашата IP адреса, на пример, на inet.yandex.ru.

По ажурирањето на системот за управување со страницата и неговите екстензии, одете во делот за администрација на страницата и сменете ја лозинката за пристап до администраторот до неа. Осигурајте се дека меѓу корисниците на страницата нема други корисници со административни привилегии (тие би можеле да бидат додадени од напаѓач) и доколку се најдат, избришете ги.

Сега, кога страницата е вратена од резервна копија и не содржи злонамерни скрипти, CMS и неговите екстензии се ажурирани на најновите верзии кои не содржат пропусти, а лозинките за пристап до страницата и сметката за хостирање се сменети, вие може повторно да ја отвори страницата за посетителите.

Сите горенаведени дејства мора да се извршат во согласност со наведениот редослед, без пропусти или какви било промени. Ако дејствата се извршени неточно, на страницата може да останат малициозни скрипти или пропусти, како резултат на што напаѓачот може повторно да биде хакиран по кратко време. Ако поради некоја причина не е можно да се извршат горенаведените чекори во формата во која се наведени, контактирајте со специјалист за да извршите работа за обновување на локацијата по хакирање.

За да ја заштитите вашата страница од повторени хакери во иднина, мора да се придржувате до следниве препораки:

Следете ги ажурирањата на CMS и екстензии за него на веб-локациите на програмерите и навремено ажурирајте ги на најновите верзии. Ако коментарот за ажурирање вели дека поправа ранливост, инсталирајте го ажурирањето што е можно поскоро.

Работете со страницата и сметката за хостирање само од компјутери кои се заштитени од вируси со модерни антивируси со постојано ажурирани бази на податоци за вируси.

Користете сложени лозинки за да не може да се погодат преку пребарување на речник.

Не зачувувајте ги лозинките FTP и SSH во програмите за поврзување со страницата и не зачувувајте ја лозинката за пристап до административната област на страницата и контролната табла за хостирање во вашиот прелистувач.

Од време на време (на пример, еднаш на секои три месеци), менувајте ги лозинките за пристап до страницата и сметката за хостирање.

Ако се откриени вируси на компјутерот од кој работевте со страницата, променете ги лозинките за пристап до страницата и сметката за хостирање што е можно побрзо. Треба да ги промените сите лозинки: пристап до лозинките преку FTP, SSH, лозинката од административниот панел на страницата, како и лозинката од контролната табла за хостирање.

Не обезбедувајте пристап до страницата на трети страни освен ако не сте уверени дека и тие ќе ги следат овие упатства.

Злонамерниот код навлегува на страницата преку невнимание или злонамерна намера. Целите на малициозниот код варираат, но во суштина тоа му штети или го попречува нормалното функционирање на веб-локацијата. За да отстраните злонамерен код на WordPress, прво мора да го пронајдете.

Што е злонамерен код на страницата на WordPress?

Од страна на изглед, најчесто, злонамерниот код е збир на букви и симболи од латинската азбука. Всушност, ова е шифриран код со кој се врши ова или она дејство. Дејствата може да бидат многу различни, на пример, вашите нови објави веднаш се објавуваат на ресурс од трета страна. Ова во суштина ја краде вашата содржина. Кодовите имаат и други „задачи“, на пример, поставување на појдовни врски на страниците на страницата. Задачите можат да бидат најсофистицирани, но едно е јасно: малициозните кодови треба да се ловат и отстранат.

Како малициозните кодови влегуваат на веб-локација?

Исто така, постојат многу дупки за кодовите да влезат во страницата.

Најчесто, ова се теми и приклучоци преземени од „левите“ ресурси. Иако, таквата пенетрација е типична за таканаречените шифрирани врски. Експлицитниот код не завршува на страницата.

Најопасна е пенетрацијата на вирусот кога е хакирана страница. Како по правило, хакирањето страница ви овозможува да поставите не само „еднократен код“, туку и да инсталирате код со елементи на малициозен софтвер ( малициозен софтвер). На пример, наоѓате код и го бришете, но тој се враќа по некое време. Има, повторно, многу опции.

Дозволете ми веднаш да забележам дека борбата против ваквите вируси е тешка, а рачното отстранување бара знаење. Постојат три решенија за проблемот: првото решение е да користите антивирусни додатоци, на пример, додаток наречен BulletProof Security.

Ова решение дава добри резултати, но бара време, иако малку. Постои порадикално решение за да се ослободите од малициозните кодови, вклучително и сложените вируси, а тоа е враќање на страницата од претходно направени резервни копии на страницата.

Бидејќи добар веб-администратор го прави тоа периодично, можете да се вратите на неинфицирана верзија без никакви проблеми. Третото решение е за богатите и мрзливите, само контактирајте со специјализирана „канцеларија“ или индивидуален специјалист.

Како да барате злонамерен код на WordPress

Важно е да се разбере дека малициозниот код на WordPress може да биде во која било датотека на страницата, а не нужно во работната тема. Тој може да смисли приклучок, тема или „домашен“ код земен од Интернет. Постојат неколку начини да се обидете да пронајдете злонамерен код.

Метод 1: Рачно. Скролувате низ сите датотеки на страницата и ги споредувате со датотеките на неинфицирана резервна копија. Ако најдете туѓ код, избришете го.

Метод 2: Користење на додатоци за безбедност на WordPress. На пример,. Овој приклучок има одлична карактеристика, скенирање на датотеки на сајтови за присуство на туѓ код и приклучокот совршено се справува со оваа задача.

Метод 3. Ако имате разумна поддршка за хостирање, и ви се чини дека има некој друг на страницата, замолете го да ја скенира вашата страница со нивниот антивирус. Нивниот извештај ќе ги наведе сите заразени датотеки. Следно, отворете ги овие датотеки во уредувач на тексти отстранете го злонамерниот код.

Метод 4. Ако можете да работите со SSH пристап до директориумот на страницата, тогаш продолжи, тој има своја кујна.

Важно! Без разлика како пребарувате злонамерен код, пред да го пребарувате и потоа да го избришете кодот, затворете го пристапот до датотеките на страницата (вклучете го режимот за одржување). Запомнете за кодовите што самите се обновуваат кога ќе се избришат.

Пребарајте малициозни кодови користејќи ја функцијата eval

Постои таква функција во PHP наречена eval. Тоа ви овозможува да извршите кој било код на неговата линија. Покрај тоа, кодот може да се шифрира. Поради кодирањето, злонамерниот код изгледа како збир на букви и симболи. Две популарни шифрирања се:

База64;

Рот13.

Соодветно на тоа, во овие шифрирања функцијата eval изгледа вака:

• eval(base64_decode(...))
• eval (str_rot13 (...)) //во внатрешни наводници, долги, нејасни групи на букви и симболи..

Алгоритмот за пребарување на малициозен код користејќи ја функцијата eval е како што следува (работиме од административниот панел):

• одете во уредникот на страницата (Изглед → Уредник).
• копирајте ја датотеката functions.php.
• отворете го во уредувач на текст (на пример, Notepad++) и побарајте го зборот: eval.
• Ако го најдете, не брзајте да избришете ништо. Треба да разберете што „бара“ да се изврши оваа функција. За да се разбере ова, кодот треба да се дешифрира. За декодирање постојат онлајн алатки наречени декодери.

Декодери/енкодери

Декодерите работат едноставно. Го копирате кодот што сакате да го дешифрирате, ставете го во полето за декодер и декодирате.

Во времето на пишувањето, не најдов ниту еден шифриран код пронајден во WordPress. Го најдов кодот од веб-страницата на Joomla. Во принцип, нема разлика во разбирањето на декодирањето. Ајде да ја погледнеме фотографијата.

Како што можете да видите на фотографијата, функцијата eval по декодирањето не прикажала страшен код кој ја загрозува безбедноста на страницата, туку шифрирана врска за авторски права од авторот на шаблонот. Може да се отстрани, но ќе се врати по ажурирањето на шаблонот ако не го користите .

Како заклучок, би сакал да забележам, за да не се добие вирус на страницата:

• Злонамерниот код на WordPress често доаѓа со теми и приклучоци. Затоа, не инсталирајте шаблони и приклучоци од „лево“, непроверени ресурси, а ако го правите, проверете ги внимателно за присуство на врски и извршни функции на PHP. Откако ќе инсталирате приклучоци и теми од „нелегални“ ресурси, проверете ја страницата со антивирусен софтвер.
• Бидете сигурни дека правите периодични резервни копии и изведувајте други.

1. Отпакувајте го во папката на страницата.
2. следете ја врската your_site/fscure/
3. сè

Што може да направи?

1. Автоматско пребарување на вируси со потписи.
2. Пребарајте низа во датотеките
3. Бришење датотеки
4. Закрпи злонамерен код користејќи регуларни изрази

Сценариото нема да ја заврши целата работа за вас и бара одредено минимално знаење. Се препорачува да се направи резервна копија на страницата пред работа.

Како работи?

Кога за прв пат се лансира, тој создава индекс на датотеки. Датотеката fscure.lst е во папката. Прикажува листа на датотеки што содржат потенцијално злонамерни потписи. „Потенцијално злонамерно“ значи дека ќе треба да одлучите дали е вирус или не. Списокот на потписи е конфигуриран во датотеката config.php, константна SCAN_SIGN. Со стандардните поставки, скриптата не ги проверува датотеките js и не содржи потписи за нив.

Најчести проблеми

1. не го креира индексот fscure.lst. Може да се случи ако нема доволно права. Ставете 777 на папката fscure

2. 5xx грешка. Најчесто „504 Gateway Time-out“. Сценариото нема време за обработка и паѓа поради тајмаут. Во овој случај, постојат неколку начини да се забрза неговата работа. Брзината првенствено зависи од големината на индексот. Тоа е во датотеката fscure.lst. Вообичаено, датотека до 5 MB може да се обработи во 90% од случаите. Ако нема време, можете да ја намалите „алчноста“ на скриптата со забрана на скенирање *.jpg;*.png;*.css во конфигурацијата.
Во датотеката config.php.

// разграничувач; define("FILES_EXCLUDE","*.js;*.jpg;*.png;*.css");

3. Хостинг издава предупредување како
(HEX)base64.inject.unclassed.6: u56565656: /var/www/u65656565/data/www/34535335353.ru/fscure/index.php

Нема вирус во сценариото и никогаш немало. И (HEX)base64.inject.unclassed.6 е конструкција како „echo base64_decode(“ , која често се среќава и сама по себе е прилично безопасна. Меѓутоа, во Најновата верзија, го заменив овој код.

Што да направите ако не сте во можност сами да го пронајдете вирусот?

Можете да ме контактирате за помош. Моите стапки се скромни. Работата си ја гарантирам 6 месеци. Цената на работата е 800 рубли. за 1 локација. Ако има неколку страници на вашата сметка, цената се одредува поединечно.

Ако успеете да направите сè сами, би ви бил благодарен за финансиска награда или за врска до мојот сајт.

Мои услови:
yandex
41001151597934

веб пари
Z959263622242
R356304765617
E172301357329

Вистината на животот е дека страницата може да биде хакирана порано или подоцна. По успешното искористување на ранливоста, хакерот се обидува да заземе основа на страницата со поставување на хакерски веб школки и преземачи во системските директориуми и воведување задни врати во кодот на скриптата и базата на податоци CMS.

Скенерите помагаат да се откријат вчитани веб-школки, задни врати, фишинг страници, спам-мејлери и други видови на малициозни скрипти - сè што тие знаат и се претходно додадени во базата на податоци за потпис на злонамерен код. Некои скенери, како што е AI-BOLIT, имаат збир на хеуристички правила кои можат да детектираат датотеки со сомнителен код што често се користи во малициозни скрипти или датотеки со сомнителни атрибути што може да ги преземат хакери. Но, за жал, дури и ако се користат неколку скенери на хостингот, може да има ситуации кога некои хакерски скрипти остануваат неоткриени, што всушност значи дека напаѓачот останува со „задна врата“ и тој може да ја хакира страницата и да ја преземе целосна контролаво секое време.

Современите малициозен софтвер и хакерски скрипти се значително различни од оние од пред 4-5 години. Во моментов, развивачите на малициозни кодови комбинираат замаглување, шифрирање, распаѓање, надворешно вчитување на малициозен код и други трикови за измамување на антивирусен софтвер. Затоа, веројатноста за промашување на нов малициозен софтвер е многу поголема од порано.

Што може да се направи во овој случај за поефикасно откривање на вируси на страницата и хакерски скрипти на хостингот? Неопходно е да се користи интегриран пристап: почетно автоматско скенирање и понатамошна рачна анализа. Оваа статија ќе разговара за опциите за откривање злонамерен код без скенери.

Прво, да погледнеме што точно треба да барате за време на хакирањето.

Хакерски скрипти.
Најчесто, при хакирање, датотеките што се преземаат се веб школки, задни врати, „поставувачи“, скрипти за спам пораки, страници за фишинг + ракувачи со формулари, врати и датотеки со маркери за хакирање (слики од логото на хакерската група, текстуални датотекисо „порака“ од хакери итн.)

Инјекции (код инјекции) во постоечки.
Вториот најпопуларен тип на хостинг злонамерен и хакерски код е инјекциите. Мобилни и пренасочувања за пребарување може да се инјектираат во постоечки датотеки .htaccess на сајтови, задни врати може да се инјектираат во скрипти php/perl, а вирусните фрагменти од Javascript или пренасочувања кон ресурси на трети страни може да се вметнат во шаблони .js и .html. Можни се инјекции и во медиумски датотеки, на пример.jpg или. Честопати, малициозниот код се состои од неколку компоненти: самиот злонамерен код се чува во заглавието exif на датотеката jpg и се извршува со помош на мала контролна скрипта, чиј код не изгледа сомнителен за скенерот.

Инјекции во базата на податоци.
Базата на податоци е третата цел на хакер. Овде, можни се статични вметнувања, , , , кои ги пренасочуваат посетителите кон ресурси од трети страни, ги „шпионираат“ или го инфицираат компјутерот/мобилниот уред на посетителот како резултат на напад од „возење“ од страна.
Покрај тоа, во многу современи CMS (IPB, vBulletin, modx, итн.) шаблонските мотори ви дозволуваат да извршите php код, а самите шаблони се зачувани во базата на податоци, така што PHP-кодот на веб школките и задните врати може да се вгради директно во базата на податоци.

Инјекции во кеширање услуги.
Како резултат на неправилна или небезбедна конфигурација на услугите за кеширање, на пример, мемкеширани, можни се инјекции во кешираните податоци „во лет“. Во некои случаи, хакер може да внесе злонамерен код во страниците на страницата без директно да ја хакира страницата.

Инјекции/иницирани елементи во компонентите на серверскиот систем.
Ако хакер има добиено привилегиран (root) пристап до серверот, тој може да ги замени елементите на веб-серверот или серверот за кеширање со заразени. Таквиот веб-сервер, од една страна, ќе обезбеди контрола врз серверот користејќи контролни команди, а од друга страна, од време на време ќе воведува динамични пренасочувања и злонамерен код на страниците на страницата. Како и во случај на инјектирање во услуга за кеширање, администраторот на страницата најверојатно нема да може да го открие фактот дека страницата е хакирана, бидејќи сите датотеки и базата на податоци ќе бидат оригинални. Оваа опција е најтешка за лекување.

Значи, да претпоставиме дека веќе сте ги провериле датотеките на хостингот и депонијата на базата на податоци со скенери, но тие не најдоа ништо, а вирусот сè уште е на страницата или мобилното пренасочување продолжува да работи при отворање на страници. Како да пребарувате понатаму?

Рачно пребарување

На Unix, тешко е да се најде повреден пар команди за наоѓање датотеки и фрагменти од find/grep.

најдете . -име „*.ph*“ -mtime -7

ќе ги најдете сите датотеки што се сменети во последната недела. Понекогаш хакерите го „извртуваат“ датумот на модификација на скриптите за да не откријат нови скрипти. Потоа можете да пребарувате за php/phtml датотеки чии атрибути се променети

најдете . -име „*.ph*“ -сtime -7

Ако треба да најдете промени во одреден временски интервал, можете да го користите истото наоѓање

најдете . -име „*.ph*“ -newermt 2015-01-25 ! -newermt 2015-01-30 -ls

За пребарување датотеки, grep е неопходен. Може да бара рекурзивно низ датотеките за одреден фрагмент

grep -ril „stummann.net/steffen/google-analytics/jquery-1.6.5.min.js“ *

Кога хакирате сервер, корисно е да се анализираат датотеките што имаат поставено знаменце за водич/суид

најдете / -перм -4000 -о -перм -2000 година

За да одредите кои скрипти моментално работат и го вчитуваат процесорот за хостирање, можете да повикате

lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ‘ ( if(!str) (str= ) else (str=str””))END(print str)’` | grep vhosts | grep php

Ги користиме нашите мозоци и раце за да ги анализираме датотеките на хостинг

Одиме во директориумите за поставување, кеш, tmp, резервна копија, дневник, слики, во кои нешто е напишано од скрипти или поставени од корисници и ја скенираме содржината за нови датотеки со сомнителни екстензии. На пример, за joomla можете да ги проверите датотеките .php во директориумот images:find ./images -name '*.ph*'. Најверојатно, ако се најде нешто, тоа ќе биде малициозен софтвер.
За WordPress, има смисла да се провери директориумот wp-content/uploads, директориумите за резервни копии и кеш теми за скрипти.

Барате датотеки со чудни имиња
На пример, php, fyi.php, n2fd2.php. Може да се пребаруваат датотеки

• - со нестандардни комбинации на знаци,
• - присуство на броеви 3,4,5,6,7,8,9 во името на датотеката

Бараме датотеки со необични екстензии
Да речеме дека имате веб-локација на WordPress или за нив датотеките со екстензии .py, .pl, .cgi, .so, .c, .phtml, .php3 нема да бидат сосема обични. Ако се откријат какви било скрипти и датотеки со овие екстензии, најверојатно тие ќе бидат хакерски алатки. Процентот на лажни откривања е можен, но не е висок.

Бараме датотеки со нестандардни атрибути или датум на создавање
Сомнежот може да биде предизвикан од датотеки со атрибути што се разликуваат од оние што постојат на серверот. На пример, сите .php скрипти беа поставени преку ftp/sftp и го имаат корисникот, а некои беа креирани од корисникот www-data. Има смисла да се проверат најновите. Или ако датумот на создавање на датотека со скрипта е постар од датумот на создавање на страницата.
За да го забрзате пребарувањето за датотеки со сомнителни атрибути, погодно е да се користи командата Unix find.

Бараме врати со помош на голем број .html или .php датотеки
Ако има неколку илјади .php или .html датотеки во директориумот, најверојатно ова е врата.

Дневници за помош

Веб-серверот, услугата за е-пошта и логовите на FTP може да се користат за откривање на малициозни и хакерски скрипти.

• Корелација на датумот и времето на испраќање на писмото (што може да се најде од дневникот сервер за поштаили заглавие на услугата на писмо за спам) со барања од access_log помош за да се идентификува начинот на испраќање спам или да се најде скриптата за испраќач на спам.

• Анализата на дневникот за пренос на FTP xferlog ви овозможува да разберете кои датотеки биле преземени во моментот на хакирањето, кои биле сменети и од кого.

• Во правилно конфигуриран дневник на серверот за пошта или во заглавието на услугата на спам-пошта, ако PHP е правилно конфигуриран, ќе има име или целосна патека до скриптата за испраќање, што помага да се одреди изворот на спам.

• Користејќи ги дневниците за проактивна заштита на современите CMS и додатоци, можете да одредите какви напади биле извршени на страницата и дали CMS можел да им се спротивстави.

• Користејќи access_log и error_log, можете да ги анализирате дејствата на хакерот ако ги знаете имињата на скриптите што ги повикал, IP адресата или корисничкиот агент. Како последно средство, можете да ги видите барањата POST на денот кога страницата била хакирана и инфицирана. Честопати, анализата ви овозможува да најдете други хакерски скрипти кои биле преземени или веќе биле на серверот во моментот на хакирањето.

Контрола на интегритет

Многу е полесно да се анализира хакирањето и да се бараат малициозни скрипти на веб-локација ако однапред се грижите за неговата безбедност. Постапката за проверка на интегритетот помага навремено да се откријат промените во хостингот и да се утврди фактот на хакирање. Еден од наједноставните и ефективни начини– ставете ја страницата под систем за контрола на верзијата (git, svn, cvs). Ако правилно го конфигурирате .gitignore, процесот на контрола на промени изгледа како повикување на командата за статус git, а пребарувањето за малициозни скрипти и променети датотеки изгледа како git diff.

Исто така, секогаш ќе имате резервна копијадатотеки на кои можете да ја „вратите“ страницата за неколку секунди. Администраторите на серверот и напредните веб-администратори можат да користат inotify, tripwire, ревидирани и други механизми за следење на пристапот до датотеки и директориуми и следење на промените во датотечниот систем.

За жал, не е секогаш можно да се конфигурира систем за контрола на верзии или услуги од трети страни на серверот. Во случај на споделен хостинг, нема да биде можно да се инсталира систем за контрола на верзијата и системски услуги. Но, не е важно, има доста готови решенија за CMS. Можете да инсталирате приклучок или посебна скрипта на страницата што ќе ги следи промените во датотеките. Некои CMS веќе спроведуваат ефективно следење на промените и механизам за проверка на интегритетот (на пример, Bitrix, DLE). Како последно средство, ако хостингот има ssh, можете да креирате референтна екипа датотечен системтим

Промоција „2 по цена од 1“

Акцијата важи до крајот на месецот.

Кога ќе ја активирате услугата „Сајт под надзор“ за една веб-локација, втората на истата сметка се поврзува бесплатно. Следни локации на сметката - 1.500 рубли месечно за секоја локација.