Hur man söker efter skadlig kod utan antivirus och skannrar. Hur man söker efter skadlig kod utan antivirus och skannrar Hur man söker efter skadlig kod på WordPress

Hur man söker efter skadlig kod utan antivirus och skannrar. Hur man söker efter skadlig kod utan antivirus och skannrar Hur man söker efter skadlig kod på WordPress

1. Packa upp till webbplatsmappen.
2. följ länken your_site/fscure/
3. alla

Vad kan?

1. Automatisk sökning efter virus genom signaturer.
2. Hitta en sträng i filer
3. Ta bort filer
4. Lagra skadlig kod med reguljära uttryck

Skriptet kommer inte att göra allt arbete åt dig och kräver lite kunskap. Innan arbetet rekommenderas att göra en säkerhetskopia av webbplatsen.

Hur fungerar det?

Vid första starten gör den ett index över filer. Filen fscure.lst i mappen. Visar en lista över filer som innehåller potentiellt skadliga signaturer. "Potentiellt skadlig" betyder att det är upp till dig att avgöra om det är ett virus eller inte. Listan med signaturer är konfigurerad i filen config.php, SCAN_SIGN konstant. Med standardinställningar kontrollerar skriptet inte js-filer och innehåller inga signaturer för dem.

Vanligaste problemen

1. skapar inte ett fscure.lst-index. Det kan hända om det inte finns tillräckligt med rättigheter. Lägg 777 på fscure-mappen

2. 5xx fel. Oftast "504 Gateway Time-out". Manuset hinner inte träna och kraschar vid en timeout. I det här fallet finns det flera sätt att påskynda sitt arbete. Hastigheten beror i första hand på indexets storlek. Det finns i filen fscure.lst. Vanligtvis lyckas en fil på upp till 5 Mb i 90 % av fallen bearbetas. Om det inte har tid kan du minska skriptets "girighet" genom att förbjuda scanning av *.jpg; *.png; *.css i konfigurationen.
I filen config.php.

// avgränsare; define("FILES_EXCLUDE","*.js;*.jpg;*.png;*.css");

3. Hosting utfärdar en varning som
(HEX)base64.inject.unclassed.6: u56565656: /var/www/u65656565/data/www/34535335353.ru/fscure/index.php

Det finns inget virus i manuset och har aldrig varit det. Och (HEX)base64.inject.unclassed.6 är en konstruktion som "echo base64_decode(" , som ofta hittas och är ganska ofarlig i sig. Men i den senaste versionen bytte jag ut den här koden.

Vad ska du göra om du inte kan hitta viruset själv?

Du kan kontakta mig för hjälp. Mina priser är blygsamma. Jag ger 6 månaders garanti på mitt arbete. Kostnaden för arbetet är 800 rubel. för 1 webbplats. Om det finns flera sajter på kontot bestäms priset individuellt.

Om du lyckats göra allt själv så är jag tacksam för en ekonomisk belöning eller en länk till min sida.

Mina krav:
yandex
41001151597934

webmoney
Z959263622242
R356304765617
E172301357329

Måste göras gemensamt. Om du eliminerar den ursprungliga orsaken till hacket (till exempel en sårbarhet i CMS-tillägget), men inte tar bort alla skadliga filer, kommer angriparen att kunna komma åt webbplatsen igen med ett av sina skript. Om du raderar alla nedladdade skadliga skript, men inte eliminera orsaken till hacket, kommer angriparen att kunna hacka webbplatsen igen och ladda upp skript till den igen.

Utför arbete med att ta bort skadliga skript och analysera orsakerna till hacking specialist med relevant kunskap och erfarenhet:

  • För att ta bort skadliga skript måste du kunskaper i programmeringsspråket PHP, och kunskap "inifrån" om populära CMS(Joomla, WordPress, etc.) och tillägg för dem. Denna kunskap krävs för att särskilja skript direkt från CMS och dess tillägg från främmande filer, och även för att entydigt kunna avgöra vilka åtgärder de utför när de stöter på tvivelaktiga skript.
  • För att analysera orsakerna till hacking krävs det erfarenhet av serveradministration. Detta är nödvändigt för att analysera tillståndet för filerna på kontot, den tid de ändrades och för att jämföra dessa data med serverloggarna för att avgöra vilka handlingar från angriparen som ledde till hackning av webbplatser.

Därför, om din webbplats har blivit hackad, rekommenderas det att för att undvika upprepade hack inte göra jobbet själv, utan kontakta en specialist som kommer att göra nödvändig diagnostik och rekommendera eller utföra nödvändiga åtgärder för att lösa problemet, och vem kan garantera kvaliteten på resultatet.

Det finns dock ett antal åtgärder som i vissa fall hjälpa till att återställa en säker drift av webbplatsen utan speciella kunskaper. Begränsningen för metoden nedan är att för att kunna återuppta driften av webbplatsen krävs att en säkerhetskopia skapas vid tidpunkten före hacket. Om datumet för intrånget inte är känt kan du prova den här metoden med den tidigaste tillgängliga säkerhetskopian. Den andra begränsningen, som en konsekvens av den första, är att efter att webbplatsen har återställts kommer data som lagts till på webbplatsen efter att säkerhetskopian skapades (till exempel nya artiklar, bilder eller dokument) att gå förlorade. Om du behöver återställa webbplatsen, samtidigt som du behåller de nya uppgifterna, måste du kontakta en specialist.

Dessa åtgärder tillåt inte att fastställa orsaken till hackningen av webbplatsen, men var och en av dem syftar till att eliminera en av de potentiella orsakerna till penetration. Eftersom den exakta orsaken till hacket är okänd måste du slutföra dem alla. Åtgärderna är ordnade i en sådan ordning att de först helt utesluter möjligheten att angriparen fortsätter att arbeta på webbplatsen eller värdkontot i för närvarande, och förhindra sedan en angripare från att komma in på webbplatsen i framtiden.

Stegen nedan förutsätter att ditt värdkonto har bara en webbplats. Om det finns flera webbplatser på kontot kan de också hackas, och webbplatsen kan hackas genom dem. Det är nödvändigt att antingen överföra platsen med vilken restaureringsarbetet utförs till ett separat konto, eller att utföra restaurering för alla webbplatser som finns på kontot samtidigt.

Sekvensen av åtgärder är viktig, så du måste utföra dem i den ordning som de är placerade nedan.

  1. Omedelbart efter upptäckten av en hackad webbplats är det nödvändigt helt blockera besökare från att komma åt det. Detta kommer för det första att förhindra angriparen från att utföra skadliga aktiviteter på webbplatsen, och för det andra kommer inte att tillåta honom att störa restaureringsarbetet. Detta steg är mycket viktigt, eftersom borttagning av skadliga skript och eliminering av orsaken till hacket inte sker samtidigt - som regel tar det flera timmar. Om webbplatsen förblir tillgänglig från utsidan, kommer angriparen att kunna ladda upp skript på nytt till den del av webbplatsen som redan har rensats. I det här fallet kan en angripare använda olika IP-adresser för att ansluta, så att neka åtkomst endast till en lista med IP-adresser fungerar inte. För att säkerställa att webbplatsen rensas från skadliga skript som hittats, är det nödvändigt att helt blockera angriparen från att komma åt webbplatsen, vilket endast kan göras genom att helt blockera webbplatsen för eventuella besökare. Kontakta den tekniska supporten för den värd som är värd för din webbplats för att blockera den.
  2. Efter att ha blockerat webbplatsen måste du kolla datorer, varifrån arbetet med sajten utfördes, ett modernt antivirusprogram med uppdaterade virusdatabaser. Om webbplatsen hackades genom att stjäla kontolösenord med hjälp av ett virus, måste du se till att ytterligare arbete med den hackade webbplatsen utförs från en dator där det inte finns några virus, annars kan de stjälas igen efter att ha ändrat åtkomstlösenord. .
  3. Efter att ha blockerat webbplatsen och kollat ​​efter virus måste du ändra alla lösenord kontoåtkomst: åtkomst via FTP, via SSH, samt åtkomst till värdkontrollpanelen. Om en angripare fick tillgång till kontofiler med någon av dessa metoder, efter att ha ändrat lösenord, kommer han inte längre att kunna göra detta.
  4. Efter att ha bytt lösenord, döda alla serverprocesser, som arbetar på uppdrag av kontot som är värd för webbplatsen. Processer som startas av en angripare i bakgrunden, utan att förstöras, kommer att kunna ersätta skadliga skript på webbplatsen efter återställningsarbete. För att förhindra att detta inträffar måste alla processer som kördes innan webbplatsen blockerades dödas. Webbplatsen bör vid det här laget redan vara blockerad så att angriparen inte kunde starta nya processer genom att hänvisa till ett av hans skript på webbplatsen. För att förstöra processerna som körs på ditt konto, kontakta den tekniska supporttjänsten för webbhotellet som är värd för din webbplats.
  5. Nu är det omöjligt att penetrera platsen från utsidan och du kan börja återställa den.
  6. Innan ytterligare åtgärder radera alla befintliga webbplatsfiler, så att det inte finns några skadliga skript kvar bland dem, eller CMS-skript där angriparen har injicerat skadlig kod. Det här steget är också viktigt eftersom att återställa en webbplats från en säkerhetskopia inte alltid tar bort filerna som fanns före återställningen. Om gamla skadliga skript finns kvar på webbplatsen efter återställning från en säkerhetskopia, kommer en angripare att kunna infiltrera webbplatsen igen. Du kan undvika detta genom att ta bort alla webbplatsfiler innan du utför en återställning.
  7. Efter att ha raderat alla webbplatsfiler återställ webbplats från säkerhetskopia skapades innan den hackades. Ofta räcker det att endast återställa webbplatsfilerna, men om fel observeras i driften av webbplatsen efter att ha återställt dem, är det nödvändigt att återställa webbplatsen helt: både filerna och databasen.
  8. Efter återställning från en säkerhetskopia uppdatera versionerna av ditt innehållshanteringssystem (CMS) och dess tillägg till den sista. Detta är nödvändigt för att utesluta förekomsten av kända sårbarheter på webbplatsen genom vilka den kan hackas. Som regel kan uppdateringen göras via administrationsdelen av CMS. För att få fullständiga instruktioner för att uppdatera CMS måste du kontakta webbplatsen för systemutvecklaren. Det är viktigt att uppdatera inte bara själva CMS utan även alla dess tillägg, eftersom hackning ofta sker genom en sårbarhet som finns i en av CMS-tilläggen (till exempel plugins, teman, widgets, etc.). Vid det här laget är det ännu inte möjligt att ta bort blockeringen av webbplatsen för besökare, eftersom den fortfarande kan vara sårbar. För att få tillgång till webbplatsen för uppdatering, kontakta den tekniska supporten för den värd som är värd för din webbplats och be att endast tillåta åtkomst till webbplatsen från din dators IP-adress. Du kan ta reda på din IP-adress, till exempel på inet.yandex.ru.
  9. Efter att ha uppdaterat webbplatsens ledningssystem och dess tillägg, gå till avsnittet om webbplatsadministration och ändra lösenordet för administratörsåtkomst till honom. Se till att det inte finns några andra användare med administrativa rättigheter bland webbplatsanvändarna (de kan läggas till av en angripare), och om några hittas, ta bort dem.
  10. Nu när webbplatsen har återställts från en säkerhetskopia och inte innehåller skadliga skript, har CMS och dess tillägg uppdaterats till senaste versionerna, där det inte finns några sårbarheter och lösenorden för åtkomst till webbplatsen och värdkontot har ändrats, kan du öppna webbplatsen igen för besökare.

Alla ovanstående åtgärder måste utföras i enlighet med den angivna ordningen, utan utelämnanden eller några ändringar. Om åtgärderna utförs felaktigt kan skadliga skript eller sårbarheter finnas kvar på webbplatsen, vilket gör att det efter en kort tid kan hackas igen av en angripare. Om det av någon anledning inte är möjligt att utföra ovanstående steg i den form som de anges i, kontakta en specialist för att utföra arbete för att återställa webbplatsen efter ett hack.

För att skydda din webbplats från upprepade hack i framtiden måste du följa följande rekommendationer:

  1. Följ uppdateringarna av CMS och dess tillägg på utvecklarnas webbplatser och uppdatera dem till de senaste versionerna i tid. Om kommentaren om en uppdatering innehåller information om att den åtgärdar en sårbarhet, installera uppdateringen så snart som möjligt.
  2. Arbeta med webbplatsen och med värdkontot endast från datorer som är skyddade från virus av moderna antivirus med ständigt uppdaterade virusdatabaser.
  3. Använd komplexa lösenord så att de inte kan gissas med hjälp av en ordbok.
  4. Spara inte FTP- och SSH-lösenord i programmen för att ansluta till webbplatsen, och spara inte lösenordet i webbläsaren för att komma åt webbplatsens administrativa sektion och värdkontrollpanelen.
  5. Ändra då och då (till exempel en gång var tredje månad) lösenorden för åtkomst till webbplatsen och värdkontot.
  6. Om virus hittades på datorn från vilken webbplatsen var åtkomst, ändra lösenorden för åtkomst till webbplatsen och värdkontot så snart som möjligt. Det är nödvändigt att ändra alla lösenord: lösenord för åtkomst via FTP, SSH, lösenord från webbplatsens administrativa panel, samt lösenordet från värdkontrollpanelen.
  7. Ge inte åtkomst till webbplatsen till tredje part om du inte är säker på att de också kommer att följa de rekommendationer som ges.

Skadlig kod kommer in på webbplatsen genom oaktsamhet eller uppsåt. Syftet med den skadliga koden är annorlunda, men i huvudsak skadar eller stör den normala driften av webbplatsen. För att ta bort skadlig kod på WordPress måste du först hitta den.

Vad är skadlig kod på en WordPress-webbplats

Förbi utseende, oftast är skadlig kod en uppsättning bokstäver och symboler i det latinska alfabetet. I själva verket är detta en krypterad kod med vilken en eller annan åtgärd utförs. Åtgärder kan vara väldigt olika, till exempel publiceras dina nya inlägg omedelbart på en tredjepartsresurs. I huvudsak är detta stöld av ditt innehåll. Koder har också andra "uppgifter", till exempel att placera utgående länkar på webbplatssidor. Uppgifter kan vara de mest sofistikerade, men en sak är klar att skadliga koder måste jagas och tas bort.

Hur skadliga koder hamnar på webbplatsen

Det finns också många kryphål för att få koder till sajten.

  1. Oftast är dessa teman och plugins som laddas ner från "vänster" resurserna. Även om sådan penetration är typisk för så kallade krypterade länkar. Explicit kod kommer inte till webbplatsen.
  2. Inträngningen av ett virus när en webbplats hackas är den farligaste. Genom att hacka en webbplats kan du som regel inte bara placera "engångskod", utan också installera en kod med inslag av skadlig programvara (skadligt program). Till exempel hittar du en kod, och raderar den, och den återställs efter ett tag. Återigen, det finns många alternativ.

Jag kommer genast att notera att kampen mot sådana virus är svår, och manuell borttagning kräver kunskap. Det finns tre lösningar på problemet: första beslutet- använd antivirusplugin, till exempel en plugin som heter BulletProof Security.

Denna lösning ger bra resultat, men det tar tid, om än lite. Det finns en mer radikal lösning, att bli av med skadliga koder, inklusive komplexa virus, är att återställa webbplatsen från förgjorda säkerhetskopior webbplats.

Eftersom en bra webbmaster gör det med jämna mellanrum kommer det att vara möjligt att rulla tillbaka till en icke-infekterad version utan problem. Tredje beslutet för de rika och lata, kontakta bara ett specialiserat "kontor" eller en enskild specialist.

Hur man hittar skadlig kod i WordPress

Det är viktigt att förstå att skadlig WordPress-kod kan finnas i vilken webbplatsfil som helst, och inte nödvändigtvis i arbetstemat. Den kan tas in med ett plugin, med ett tema, med "hemgjord" kod hämtad från Internet. Det finns flera sätt att försöka hitta skadlig kod.

Metod 1. Manuellt. Bläddra igenom alla filer på webbplatsen och jämför dem med filerna från en oinfekterad säkerhetskopia. Hitta någon annans kod – radera den.

Metod 2. Med WordPress säkerhetsplugins. Till exempel, . Denna plugin har en fantastisk funktion som skannar webbplatsfiler efter närvaron av någon annans kod, och plugin-programmet gör ett bra jobb med denna uppgift.

Metod 3. Om du har rimligt värdstöd och det verkar som om webbplatsen är "främmande", be dem skanna din webbplats med sitt antivirusprogram. Deras rapport kommer att lista alla infekterade filer. Öppna sedan dessa filer i textredigerare och ta bort skadlig kod.

Metod 4. Om du kan arbeta med SSH-åtkomst till webbplatskatalogen, fortsätt, det finns ett kök.

Viktig! Oavsett hur du letar efter skadlig kod, innan du söker och sedan tar bort koden, blockera åtkomst till webbplatsfiler (aktivera underhållsläge). Kom ihåg de koder som själva återställs när de raderas.

Sök efter skadliga koder med eval-funktionen

Det finns något liknande i php eval funktion. Det låter dig köra vilken kod som helst i dess rad. Dessutom kan koden kodas. Det är på grund av kodningen som den skadliga koden ser ut som en uppsättning bokstäver och symboler. Det finns två populära kodningar:

  1. bas64;
  2. Rot13.

Följaktligen, i dessa kodningar, ser evalfunktionen ut så här:

  • eval(base64_decode(...))
  • eval (str_rot13 (...)) //i interna citattecken, långa obegripliga bokstäver och symboler..

Algoritmen för att söka efter skadlig kod med eval-funktionen är följande (vi arbetar från den administrativa panelen):

  • gå till webbplatsredigeraren (Utseende→ Redaktör).
  • kopiera filen functions.php.
  • öppna den i en textredigerare (till exempel Notepad++) och sök efter ordet: eval.
  • om den hittas, skynda dig inte att radera något. Det är nödvändigt att förstå vad denna funktion "frågar" att utföra. För att förstå detta måste koden avkodas. För avkodning finns onlineverktyg som kallas avkodare.

Avkodare/kodare

Avkodare fungerar helt enkelt. Kopiera koden som ska dekrypteras, klistra in den i avkodarfältet och avkoda.

När detta skrivs har jag inte hittat någon krypterad kod som finns i WordPress. Hittade koden från Joomlas webbplats. I princip är det ingen skillnad för att förstå avkodning. Vi tittar på fotot.

Som du kan se på bilden visade eval-funktionen, efter avkodning, inte en hemsk kod som hotar webbplatsens säkerhet, men krypterad upphovsrättslänk, författaren till mallen. Du kan också ta bort den, men den kommer tillbaka efter uppdatering av mallen om du inte använder .

Sammanfattningsvis kommer jag att notera för att inte få ett virus på webbplatsen:

  • Skadlig kod i WordPress kommer ofta med teman och plugins. Installera därför inte mallar och plugins från "vänster", overifierade resurser, och om du installerar dem, pumpa försiktigt över dem för närvaron av länkar och php exekutiva funktioner. Efter att ha installerat plugins och teman från "olagliga" resurser, kontrollera webbplatsen med antivirus.
  • Se till att göra periodiska säkerhetskopior och utföra andra.

Skadlig JavaScript

Min åsikt, som består i att det är enklare och mer effektivt att skydda mot skadliga webbläsarskript (lagrade XSS-attacker) med hjälp av webbläsare, uttalades tidigare: . Webbläsarskydd mot JavaScript, som består i att lägga till en filtreringskod till html-sidorna på webbplatsen, ska vara tillförlitligt, men närvaron av sådant skydd eliminerar inte behovet av att använda ett filter på serversidan också. Mot samma XSS-attacker på servern kan du organisera ytterligare en försvarslinje. Vi måste också komma ihåg möjligheten för en angripare att injicera i html-meddelandet som skickas från webbplatsen, inte webbläsaren, utan serverskript (php), för att inse vilka webbläsaren inte kommer att vara stark.

Ett anfallsskript, oavsett om det är ett webbläsarskript eller ett serverskript, är ett program, och man måste tro att programmet alltid kommer att ha några symboliska skillnader från "ren" html. Låt oss försöka hitta sådana skillnader och använda dem för att bygga ett html-filter på servern. Nedan finns exempel på skadlig JavaScript.

XSS:

lite text


lite text

Krypterad XSS:

lite text


lite text

Webbläsare återställer text från teckenprimitiver inte bara inuti html-behållare (mellan öppnings- och stängningstaggar), utan även inuti själva taggarna (mellan< и >). URL-kodning är tillåten i http-adresser. Detta komplicerar igenkännandet av skadlig kod på serversidan, eftersom samma teckensekvens kan representeras på olika sätt.

XSS maskar:

"+innerHTML.slice(action= (method="post")+".php",155)))">