Kötü amaçlı komut dosyaları. WordPress'te kötü amaçlı kodları arıyor ve kaldırıyoruz. Sunucu komut dosyalarının etkisiz hale getirilmesi

WordPress, blog yazmaktan e-ticarete kadar çeşitli amaçlar için kullanılan en popüler içerik yönetim sistemlerinden biridir. Çok çeşitli WordPress eklentileri ve temaları vardır. Bu uzantılardan bazıları, bazı saldırganların bunlar üzerinde çalışmasının ardından web yöneticilerinin eline geçiyor.

Kendi yararına, sitenizi yöneteceği reklam bağlantılarını veya kodlarını bunlara bırakabilir. Birçok WordPress kullanıcısının web programlama konusunda fazla deneyimi yoktur ve bu durumla nasıl başa çıkacaklarını bilmezler.

Onlar için, çalışan bir web sitesinin veya yüklü eklentilerin kodundaki kötü amaçlı değişiklikleri tespit etmek için en etkili araçlardan dokuzunu inceledim.

1. Tema Orijinalliği Denetleyicisi (TAC)

Tema Orijinallik Denetleyicisi (TAC) – Her şeyi tarayan WordPress eklentisi yerleşik tema görünmez bağlantılar veya Base64 şifreli kodu gibi şüpheli öğeler için.

Bu tür öğeleri tespit eden TAC, bunları WordPress yöneticisine rapor ederek kaynak tema dosyalarını bağımsız olarak analiz etmesine ve gerekirse düzeltmesine olanak tanır:

2. Tarayıcıdan Yararlanın

Exploit Scanner, sitenizin kaynak kodunun tamamını ve WordPress veritabanı içeriğini şüpheli eklemelere karşı tarar. Tıpkı TAC gibi bu eklenti de saldırıları engellemez veya sonuçlarıyla otomatik olarak mücadele etmez.

Yalnızca tespit edilen enfeksiyon belirtilerini site yöneticisine gösterir. Silmek istiyorsanız zararlı kod, bunu manuel olarak yapmanız gerekecek:

3. Sucuri Güvenliği

Sucuri, iyi bilinen bir WordPress güvenlik çözümüdür. Sucuri Güvenlik eklentisi, bir WordPress sitesine yüklenen dosyaları izler, bilinen tehditlerin kendi listesini tutar ve ayrıca ücretsiz Sucuri SiteCheck Tarayıcısını kullanarak siteyi uzaktan taramanıza olanak tanır. Arka abonelik ücreti Güçlü Sucuri Web Sitesi Güvenlik Duvarını kurarak sitenizin korumasını daha da güçlendirebilirsiniz:

4. Kötü Amaçlı Yazılımdan Koruma

Anti-Malware, Truva atı komut dosyalarını, arka kapıları ve diğer kötü amaçlı kodları bulup kaldırabilen bir WordPress eklentisidir.

Tarama ve silme ayarları özelleştirilebilir. Bu eklenti Gotmls'e ücretsiz kayıt olduktan sonra kullanılabilir.

Eklenti düzenli olarak üreticinin web sitesine erişerek kötü amaçlı yazılım tespit istatistiklerini iletir ve güncellemeleri alır. Bu nedenle, sitenize çalışmasını izleyen eklentiler yüklemek istemiyorsanız, Kötü Amaçlı Yazılımdan Koruma kullanmaktan kaçınmalısınız:

5. WP Antivirüs Site Koruması

WP Antivirus Site Protection, WordPress temaları da dahil olmak üzere bir siteye yüklenen tüm dosyaları tarayan bir eklentidir.

Eklentinin, İnternet üzerinden otomatik olarak güncellenen kendi imza veri tabanı vardır. Tehditleri otomatik olarak kaldırabilir, site yöneticisine bildirimde bulunabilir. e-posta Ve daha fazlası.

Eklenti ücretsiz olarak kurulur ve çalışır, ancak dikkat etmeye değer birkaç ücretli eklentiye sahiptir:

6. WordPress için Antivirüs

AntiVirus for WordPress, sitenizi düzenli olarak tarayabilen ve güvenlik sorunları konusunda sizi e-posta yoluyla bilgilendirebilen, kullanımı kolay bir eklentidir. Eklentinin özelleştirilebilir bir beyaz listesi ve diğer özellikleri vardır:

7. Quterra Web Kötü Amaçlı Yazılım Tarayıcısı

Quterra'nın tarayıcısı bir web sitesini güvenlik açıkları, üçüncü taraf kod enjeksiyonları, virüsler, arka kapılar vb. açısından kontrol eder. Tarayıcı, buluşsal tarama ve harici bağlantıların tespiti gibi ilginç özelliklere sahiptir.

Temel tarayıcı özellikleri ücretsizdir, ancak bazı ek hizmetlerin size yıllık maliyeti 60 ABD dolarıdır:

8. Kelime çiti

Web sitenizin güvenlik sorunlarına kapsamlı bir çözüm arıyorsanız Wordfence'den başkasına bakmayın.

Bu eklenti, WordPress için bilinen saldırı türlerine karşı sürekli koruma, iki faktörlü kimlik doğrulama, bilgisayar korsanları ve spam gönderenler tarafından kullanılan bilgisayarların ve ağların IP adreslerinin "kara listesini" destekleme ve siteyi bilinen arka kapılar için tarama sağlar.

Bu eklentinin temel sürümü ücretsizdir ancak aynı zamanda üreticinin mütevazı bir abonelik ücreti talep ettiği premium işlevselliğe de sahiptir:

9.Wemahu

Wemahu, sitenizin kodundaki değişiklikleri izler ve kötü amaçlı kod arar.

Kötü amaçlı yazılımın tespit edildiği veritabanı, kitle kaynak kullanımı yöntemi kullanılarak yenilenir: kullanıcılar, virüslü WordPress kurulumlarını taramanın sonuçlarını eklenti yazarının web sitesine göndererek bunu kendileri doldururlar. Eklenti ayrıca raporların e-postayla gönderilmesini ve diğer yararlı özellikleri de destekler.

Birlikte yapılmalıdır. Saldırının asıl nedenini ortadan kaldırırsanız (örneğin, CMS uzantısındaki bir güvenlik açığı), ancak tüm kötü amaçlı dosyaları kaldırmazsanız, saldırgan, komut dosyalarından birini kullanarak siteye tekrar erişim sağlayabilecektir. İndirilen tüm kötü amaçlı komut dosyalarını kaldırırsanız ancak saldırının nedenini ortadan kaldırmazsanız, saldırgan siteyi yeniden hackleyebilir ve komut dosyalarını siteye yeniden indirebilir.

Uygun bilgi ve deneyime sahip bir uzman, kötü amaçlı komut dosyalarını kaldırmak ve bilgisayar korsanlığının nedenlerini analiz etmek için çalışma yapmalıdır:

• Kötü amaçlı komut dosyalarını kaldırmak için, PHP programlama dilinin yanı sıra popüler CMS'nin (Joomla, WordPress vb.) "içerisi" ve bunlara yönelik uzantılar hakkında bilgi sahibi olmanız gerekir. Bu bilgi, komut dosyalarını doğrudan CMS'den ve uzantılarını yabancı dosyalardan ayırmak ve ayrıca şüpheli komut dosyalarıyla karşılaşıldığında hangi eylemleri gerçekleştirdiklerini açık bir şekilde belirleyebilmek için gereklidir.
• Bilgisayar korsanlığının nedenlerini analiz etmek için sunucu yönetimi deneyimi gereklidir. Bu, hesaptaki dosyaların durumunu, değiştirilme zamanlarını analiz etmek ve ayrıca saldırganın hangi eylemlerinin sitelerin hacklenmesine yol açtığını belirlemek için bu verileri sunucu günlükleriyle karşılaştırmak için gereklidir.

Bu nedenle, siteniz saldırıya uğradıysa, tekrarlanan saldırılardan kaçınmak için işi kendiniz yapmamanız, gerekli teşhisleri yapacak ve tavsiyede bulunacak veya gerçekleştirecek bir uzmanla iletişime geçmeniz önerilir. gerekli eylemler sorunu çözecek ve elde edilen sonucun kalitesini kim garanti edebilecek.

Bununla birlikte, bazı durumlarda özel bilgi gerektirmeden sitenin güvenli çalışmasını yeniden sağlamaya yardımcı olan bir dizi önlem vardır. Aşağıdaki yöntemin sınırlaması, sitenin çalışmaya devam etmesi için, sitenin hacklenmeden önce oluşturulmuş bir yedek kopyasının gerekli olmasıdır. İhlalin tarihi bilinmiyorsa mevcut en eski yedeği kullanarak bu yöntemi deneyebilirsiniz. İkinci sınırlama, birincinin bir sonucu olarak, siteyi geri yükledikten sonra, geri yükleme yedeği oluşturulduktan sonra siteye eklenen verilerin (örneğin, yeni makaleler, resimler veya belgeler) olmasıdır. Yeni verileri korurken siteyi geri yüklemeniz gerekiyorsa bir uzmana başvurmanız gerekir.

Bu önlemler site hacklemesinin nedenini belirlememize izin vermez, ancak bunların her biri potansiyel sızma nedenlerinden birini ortadan kaldırmayı amaçlamaktadır. Hack'in kesin nedeni bilinmediğinden hepsinin yapılması gerekmektedir. Eylemler, öncelikle saldırganın sitede veya hosting hesabında faaliyetlerine devam etme olasılığını tamamen ortadan kaldıracak şekilde düzenlenmiştir. şu anda ve gelecekte bir saldırganın siteye girmesini önleyin.

Aşağıdaki adımlar, barındırma hesabınızda yalnızca bir web sitenizin bulunduğunu varsaymaktadır. Hesapta birden fazla site varsa, bunlar da saldırıya uğrayabilir ve site bunlar aracılığıyla saldırıya uğrayabilir. Restorasyon çalışması yapılan alanın ya ayrı bir hesaba aktarılması ya da hesapta barındırılan tüm alanların restorasyonunun aynı anda yapılması gerekmektedir.

Eylemlerin sırası önemlidir, bu nedenle bunları tam olarak aşağıda bulundukları sırayla gerçekleştirmek gerekir.

Bir sitenin saldırıya uğradığını keşfettikten hemen sonra ziyaretçinin siteye erişimini tamamen engellemek gerekir. Bu, öncelikle saldırganın sitede kötü amaçlı faaliyetlerde bulunmasını önleyecek, ikinci olarak da restorasyon çalışmalarına müdahale etmesine izin vermeyecektir. Bu adım çok önemlidir, çünkü kötü amaçlı komut dosyalarının kaldırılması ve saldırının nedeninin ortadan kaldırılması bir gecede gerçekleşmez - kural olarak birkaç saat sürer. Siteye dışarıdan erişilebiliyorsa saldırgan, sitenin daha önce temizlenmiş olan bölümüne komut dosyalarını yeniden yükleyebilecektir. Bu durumda, saldırgan bağlanmak için farklı IP adresleri kullanabilir; dolayısıyla yalnızca bir IP adresleri listesine erişimi reddetmek işe yaramaz. Sitenin tespit edilen kötü amaçlı komut dosyalarından temizlendiğinden emin olmak için, saldırganın siteye erişim olanağının tamamen engellenmesi gerekir; bu da ancak sitenin tüm ziyaretçiler için tamamen engellenmesiyle yapılabilir. Sitenizi engellemek için barındırma hizmetinin teknik destek hizmetine başvurun.

Siteyi engelledikten sonra, siteyle çalıştığınız bilgisayarları güncellenmiş virüs veritabanlarına sahip modern bir antivirüs ile kontrol etmeniz gerekir. Site, bir virüs kullanılarak hesap şifreleri çalınarak saldırıya uğradıysa, saldırıya uğrayan siteyle daha fazla çalışmanın virüs içermeyen bir bilgisayardan yapıldığından emin olmalısınız, aksi takdirde erişim şifreleri değiştirildikten sonra tekrar çalınabilirler.

Siteyi bloke ettikten ve virüsleri kontrol ettikten sonra, hesabınızın tüm erişim şifrelerini değiştirmeniz gerekir: FTP üzerinden, SSH üzerinden erişim ve ayrıca barındırma kontrol paneline erişim. Bir saldırgan bu yöntemlerden birini kullanarak hesap dosyalarına eriştiyse, şifreler değiştirildikten sonra artık bunu yapamayacaktır.

Şifreleri değiştirdikten sonra sitenin bulunduğu hesap altında çalışan tüm sunucu işlemlerini yok etmelisiniz. Saldırganın arka planda başlattığı işlemler yok edilmeden, restorasyon çalışması yapıldıktan sonra kötü amaçlı scriptlerin siteye yeniden yerleştirilmesi mümkün olacaktır. Bunun olmasını önlemek için site engellenmeden önce çalışan tüm süreçlerin yok edilmesi gerekir. Saldırganın sitedeki scriptlerinden birine erişerek yeni işlemler başlatamaması için sitenin şu anda zaten engellenmiş olması gerekir. Hesabınızda çalışan işlemleri yok etmek için sitenizi barındıran hostingin teknik destek hizmetiyle iletişime geçin.

Artık siteye dışarıdan girmek imkansız ve onu geri yüklemeye başlayabilirsiniz.

Daha fazla işlem yapmadan önce, saldırganın kötü amaçlı kod eklediği kötü amaçlı komut dosyalarının veya CMS komut dosyalarının olmadığından emin olmak için mevcut tüm site dosyalarını silin. Bu adım aynı zamanda önemlidir çünkü bir siteyi bir yedekten geri yüklerken, geri yüklemeden önce var olan dosyalar her zaman silinmez. Bir yedekten geri yükledikten sonra eski kötü amaçlı komut dosyaları sitede kalırsa, saldırgan siteye yeniden girebilecektir. Kurtarma işlemini gerçekleştirmeden önce tüm site dosyalarını silerek bunu önleyebilirsiniz.

Tüm site dosyalarını sildikten sonra, siteyi saldırıya uğramadan önce oluşturulan bir yedekten geri yükleyin. Genellikle yalnızca site dosyalarını geri yüklemek yeterlidir, ancak bunları geri yükledikten sonra sitenin çalışmasında hatalar gözlenirse, siteyi tamamen geri yüklemek gerekir: hem dosyalar hem de veritabanı.

Bir yedekten geri yükledikten sonra içerik yönetim sisteminizi (CMS) ve uzantılarınızı en son sürümlere güncelleyin. Bu, sitenin saldırıya uğrayabileceği bilinen güvenlik açıklarının varlığını dışlamak için gereklidir. Kural olarak güncelleme CMS yönetimi bölümünden yapılabilir. Almak için tüm talimatlar CMS'yi güncellemek için sistem geliştiricisinin web sitesine gitmelisiniz. Bilgisayar korsanlığı genellikle CMS uzantılarından birinde (örneğin, eklentiler, temalar, widget'lar vb.) bulunan bir güvenlik açığı nedeniyle meydana geldiğinden, yalnızca CMS'nin kendisini değil aynı zamanda tüm uzantılarını da güncellemek önemlidir. Şu anda sitenin ziyaretçilere yönelik engelini kaldırmak hâlâ mümkün değil çünkü site hala savunmasız olabilir. Güncelleme amacıyla sitenize erişmek için, sitenizi barındıran barındırma kuruluşunun teknik desteğiyle iletişime geçin ve siteye yalnızca bilgisayarınızın IP adresinden erişime izin verilmesini isteyin. IP adresinizi örneğin inet.yandex.ru adresinden öğrenebilirsiniz.

Site yönetim sistemi ve uzantılarını güncelledikten sonra site yönetimi bölümüne gidin ve yönetici erişim şifresini buna değiştirin. Site kullanıcıları arasında yönetici ayrıcalıklarına sahip başka kullanıcıların olmadığından emin olun (bunlar bir saldırgan tarafından eklenmiş olabilir) ve bulunursa bunları silin.

Artık site bir yedekten geri yüklendiğine ve kötü amaçlı komut dosyaları içermediğine, CMS ve uzantıları güvenlik açıkları içermeyen en son sürümlere güncellendiğine ve siteye ve barındırma hesabına erişim şifreleri değiştirildiğine göre, siteyi ziyaretçilere yeniden açabilir.

Yukarıdaki eylemlerin tümü, belirtilen sıraya uygun olarak, herhangi bir eksiklik veya değişiklik olmaksızın gerçekleştirilmelidir. Eylemlerin hatalı yapılması durumunda sitede kötü amaçlı scriptler veya güvenlik açıkları kalabilir ve bunun sonucunda kısa bir süre sonra bir saldırgan tarafından tekrar hacklenebilir. Herhangi bir nedenle yukarıdaki adımları belirtilen biçimde gerçekleştirmek mümkün değilse, bir saldırıdan sonra siteyi geri yüklemek için çalışma yapmak üzere bir uzmana başvurun.

Sitenizi gelecekte tekrarlanan saldırılardan korumak için aşağıdaki önerilere uymalısınız:

Geliştiricilerin web sitelerindeki CMS güncellemelerini ve uzantılarını takip edin ve bunları derhal en son sürümlere güncelleyin. Bir güncelleme yorumunda bir güvenlik açığının giderildiği belirtiliyorsa güncellemeyi mümkün olan en kısa sürede yükleyin.

Siteyle ve barındırma hesabıyla yalnızca sürekli güncellenen virüs veritabanlarına sahip modern antivirüsler tarafından virüslere karşı korunan bilgisayarlardan çalışın.

Sözlük aramasıyla tahmin edilemeyecek şekilde karmaşık şifreler kullanın.

FTP ve SSH şifrelerini siteye bağlanmaya yönelik programlara kaydetmeyin ve erişim şifresini tarayıcınızda sitenin yönetim alanına ve hosting kontrol paneline kaydetmeyin.

Zaman zaman (örneğin her üç ayda bir), siteye ve barındırma hesabına erişim şifrelerini değiştirin.

Siteyle çalıştığınız bilgisayarda virüs tespit edilirse, siteye ve barındırma hesabına erişim şifrelerini mümkün olan en kısa sürede değiştirin. Tüm şifreleri değiştirmeniz gerekir: şifrelere FTP, SSH, sitenin yönetim panelindeki şifre ve barındırma kontrol panelindeki şifre aracılığıyla erişin.

Üçüncü tarafların da bu yönergelere uyacaklarından emin olmadığınız sürece siteye erişim izni vermeyin.

Kötü amaçlı kod, ihmal veya kötü niyet yoluyla siteye girer. Kötü amaçlı kodun amaçları farklılık gösterebilir ancak esas olarak bir web sitesinin normal çalışmasına zarar verir veya müdahale eder. WordPress'teki kötü amaçlı kodu kaldırmak için önce onu bulmalısınız.

WordPress sitesindeki kötü amaçlı kod nedir?

İle dış görünüşÇoğu zaman kötü amaçlı kod, Latin alfabesinin bir dizi harf ve sembolünden oluşur. Aslında bu, şu veya bu eylemin gerçekleştirildiği şifrelenmiş bir koddur. Eylemler çok farklı olabilir; örneğin, yeni gönderileriniz hemen bir üçüncü taraf kaynağında yayınlanır. Bu aslında içeriğinizin çalınmasıdır. Kodların ayrıca site sayfalarına giden bağlantıları yerleştirmek gibi başka "görevleri" de vardır. Görevler en karmaşık görevler olabilir ancak bir şey açıktır: Kötü amaçlı kodların yakalanması ve kaldırılması gerekir.

Kötü amaçlı kodlar bir web sitesine nasıl girer?

Ayrıca kodların siteye girmesi için birçok boşluk vardır.

Çoğu zaman bunlar "sol" kaynaklardan indirilen temalar ve eklentilerdir. Bununla birlikte, bu tür bir nüfuz sözde şifreli bağlantılar için tipiktir. Açık kod sitede yer almaz.

Bir site saldırıya uğradığında bir virüsün nüfuz etmesi en tehlikeli olanıdır. Kural olarak, bir siteyi hacklemek yalnızca "tek seferlik bir kod" yerleştirmenize değil, aynı zamanda kötü amaçlı yazılım öğeleri içeren kod yüklemenize de olanak tanır ( kötü amaçlı yazılım). Mesela bir kod bulup siliyorsunuz ama bir süre sonra eski haline dönüyor. Yine birçok seçenek var.

Bu tür virüslerle mücadelenin zor olduğunu ve manuel olarak kaldırılmasının bilgi gerektirdiğini hemen belirteyim. Sorunun üç çözümü var: İlk çözüm, antivirüs eklentilerini, örneğin BulletProof Security adlı bir eklentiyi kullanmaktır.

Bu çözüm iyi sonuçlar verir ancak biraz da olsa zaman alır. Karmaşık virüsler de dahil olmak üzere kötü amaçlı kodlardan kurtulmanın daha radikal bir çözümü var, o da siteyi daha önce oluşturulmuş yedek kopyalardan geri yüklemektir.

İyi bir web yöneticisi bunu periyodik olarak yaptığından, virüs bulaşmamış bir sürüme sorunsuz bir şekilde geri dönebilirsiniz. Üçüncü çözüm, zengin ve tembeller için, uzman bir "ofis" veya bireysel bir uzmanla iletişime geçmeniz yeterlidir.

WordPress'te Kötü Amaçlı Kod Nasıl Aranır?

WordPress'teki kötü amaçlı kodun, mutlaka çalışma temasında değil, sitedeki herhangi bir dosyada olabileceğini anlamak önemlidir. İnternetten alınan bir eklenti, bir tema veya “ev yapımı” kod bulabilir. Kötü amaçlı kodu bulmaya çalışmanın birkaç yolu vardır.

Yöntem 1: El ile. Tüm site dosyalarını kaydırırsınız ve bunları virüs bulaşmamış bir yedeklemenin dosyalarıyla karşılaştırırsınız. Başka birinin kodunu bulursanız silin.

Yöntem 2: WordPress Güvenlik Eklentilerini Kullanma. Örneğin, . Bu eklentinin harika bir özelliği var, site dosyalarını diğer kişilerin kodlarının varlığına karşı tarayıyor ve eklenti bu görevle mükemmel bir şekilde başa çıkıyor.

Yöntem 3. Barındırma konusunda makul bir desteğiniz varsa ve size sitede başka biri varmış gibi görünüyorsa, ondan sitenizi antivirüsleriyle taramasını isteyin. Raporları tüm virüslü dosyaları listeleyecektir. Daha sonra bu dosyaları açın. Metin düzeltici ve kötü amaçlı kodu kaldırın.

Yöntem 4. Site dizinine SSH erişimiyle çalışabiliyorsanız, devam edin, kendi mutfağı var.

Önemli! Kötü amaçlı kodu nasıl ararsanız arayın, kodu aramadan ve silmeden önce site dosyalarına erişimi kapatın (bakım modunu açın). Silindiklerinde kendilerinin geri yüklendiği kodları unutmayın.

Eval işlevini kullanarak kötü amaçlı kodları arayın

PHP'de eval adında böyle bir fonksiyon var. Kendi satırında herhangi bir kodu çalıştırmanıza izin verir. Üstelik kod şifrelenebilir. Kötü amaçlı kodun bir dizi harf ve simgeye benzemesinin nedeni kodlamadır. İki popüler kodlama şunlardır:

Base64;

Çürük13.

Buna göre bu kodlamalarda eval fonksiyonu şu şekilde görünür:

• eval(base64_decode(...))
• eval (str_rot13 (...)) //dahili tırnak içinde, uzun, belirsiz harf ve sembol kümeleri..

Eval işlevini kullanarak kötü amaçlı kod arama algoritması aşağıdaki gibidir (yönetim panelinden çalışıyoruz):

• site düzenleyicisine gidin (Görünüm → Düzenleyici).
• Function.php dosyasını kopyalayın.
• bunu bir metin düzenleyicide açın (örneğin, Notepad++) ve eval kelimesini arayın.
• Eğer bulursanız, hiçbir şeyi silmek için acele etmeyin. Bu işlevin ne yapılmasını "istediğini" anlamalısınız. Bunu anlamak için kodun çözülmesi gerekir. Kod çözme için kod çözücü adı verilen çevrimiçi araçlar vardır.

Kod Çözücüler/Kodlayıcılar

Kod çözücüler basit çalışır. Şifresini çözmek istediğiniz kodu kopyalayıp kod çözücü alanına yapıştırıp kodunu çözüyorsunuz.

Bu yazıyı yazdığım sırada WordPress'te tek bir şifreli kod bile bulamadım. Kodu Joomla web sitesinden buldum. Prensip olarak kod çözmeyi anlamada hiçbir fark yoktur. Fotoğrafa bakalım.

Fotoğrafta görebileceğiniz gibi, değerlendirme işlevi, kod çözme işleminden sonra sitenin güvenliğini tehdit eden korkunç bir kod değil, şablonun yazarından şifrelenmiş bir telif hakkı bağlantısı görüntüledi. Ayrıca kaldırılabilir, ancak kullanmazsanız şablonu güncelledikten sonra geri gelecektir.

Sonuç olarak siteye virüs bulaşmaması için şunu belirtmek isterim:

• WordPress'teki kötü amaçlı kodlar genellikle temalar ve eklentilerle birlikte gelir. Bu nedenle, şablonları ve eklentileri “sol”, doğrulanmamış kaynaklardan yüklemeyin ve kurarsanız, bunları PHP'nin bağlantılarının ve yönetici işlevlerinin varlığı açısından dikkatlice kontrol edin. “Yasadışı” kaynaklardan eklentiler ve temalar yükledikten sonra siteyi antivirüs yazılımıyla kontrol edin.
• Periyodik yedeklemeler yaptığınızdan ve diğerlerini yaptığınızdan emin olun.

1. Site klasörüne paketinden çıkarın.
2. siteniz/fscure/ bağlantısını takip edin
3. her şey

O ne yapabilir?

1. Virüsleri imzalara göre otomatik arama.
2. Dosyalarda bir dize arayın
3. Dosyaları silme
4. Normal ifadeleri kullanarak kötü amaçlı kodları düzeltin

Komut dosyası sizin için tüm işi yapmayacak ve minimum düzeyde bilgi gerektirecektir. Çalışmadan önce sitenin yedeğini almanız önerilir.

O nasıl çalışır?

İlk başlatıldığında bir dosya dizini oluşturur. Fscure.lst dosyası klasörün içindedir. Potansiyel olarak kötü amaçlı imzalar içeren dosyaların listesini görüntüler. "Potansiyel olarak kötü amaçlı", bunun bir virüs olup olmadığına karar vermeniz gerektiği anlamına gelir. İmza listesi, SCAN_SIGN sabiti olan config.php dosyasında yapılandırılmıştır. Varsayılan ayarlarla komut dosyası, js dosyalarını kontrol etmez ve onlar için imzalar içermez.

En yaygın sorunlar

1. fscure.lst dizinini oluşturmaz. Yeterli hak yoksa gerçekleşebilir. 777'yi fscure klasörüne koyun

2. 5xx hatası. Çoğu zaman "504 Ağ Geçidi Zaman Aşımı". Komut dosyasının işlenecek zamanı yok ve zaman aşımı nedeniyle çöküyor. Bu durumda işini hızlandırmanın birkaç yolu vardır. Hız öncelikle endeksin boyutuna bağlıdır. Fscure.lst dosyasındadır. Tipik olarak, vakaların %90'ında 5 MB'a kadar bir dosya işlenebilir. Zamanı yoksa, yapılandırmada *.jpg;*.png;*.css'nin taranmasını yasaklayarak betiğin "açgözlülüğünü" azaltabilirsiniz.
Config.php dosyasında.

// sınırlayıcı; define("FILES_EXCLUDE","*.js;*.jpg;*.png;*.css");

3. Hosting şöyle bir uyarı veriyor
(HEX)base64.inject.unclassed.6: u56565656: /var/www/u65656565/data/www/34535335353.ru/fscure/index.php

Senaryoda virüs yok ve hiçbir zaman da olmadı. (HEX)base64.inject.unclassed.6 ise sıklıkla karşılaşılan ve kendi içinde oldukça zararsız olan "echo base64_decode(" gibi bir yapıdır. En son sürüm, bu kodu değiştirdim.

Virüsü kendiniz bulamazsanız ne yapmalısınız?

Yardım için benimle iletişime geçebilirsiniz. Oranlarım mütevazı. 6 ay iş garantisi veriyorum. İşin maliyeti 800 ruble. 1 site için. Hesabınızda birden fazla site varsa fiyat tek tek belirlenir.

Her şeyi kendiniz yapmayı başardıysanız, maddi bir ödül veya siteme bir bağlantı için minnettar olurum.

Gereksinimlerim:
yandex
41001151597934

İnternet parası
Z959263622242
R356304765617
E172301357329

Hayatın gerçeği sitenin er ya da geç hacklenebileceğidir. Güvenlik açığından başarıyla yararlandıktan sonra, bilgisayar korsanı, bilgisayar korsanı web kabuklarını ve indiricilerini sistem dizinlerine yerleştirerek ve komut dosyası koduna ve CMS veritabanına arka kapılar yerleştirerek sitede yer edinmeye çalışır.

Tarayıcılar, yüklenen web kabuklarını, arka kapıları, kimlik avı sayfalarını, spam e-posta gönderenleri ve diğer kötü amaçlı komut dosyası türlerini, yani onların bildiği ve kötü amaçlı kod imza veritabanına önceden eklenmiş olan her şeyi algılamaya yardımcı olur. AI-BOLIT gibi bazı tarayıcılar, genellikle kötü amaçlı komut dosyalarında kullanılan şüpheli kod içeren dosyaları veya bilgisayar korsanları tarafından indirilebilecek şüpheli özelliklere sahip dosyaları algılayabilen bir dizi buluşsal yönteme sahiptir. Ancak maalesef hosting üzerinde birden fazla tarayıcı kullanılsa bile bazı hacker scriptlerinin tespit edilemediği durumlar olabiliyor, bu da aslında saldırganın bir “arka kapı” ile kalması ve siteyi hackleyerek sitenin kontrolünü ele geçirebilmesi anlamına geliyor. tam kontrol istediğin zaman.

Modern kötü amaçlı yazılım ve hacker komut dosyaları, 4-5 yıl öncekilerden önemli ölçüde farklıdır. Şu anda kötü amaçlı kod geliştiricileri, antivirüs yazılımını kandırmak için gizleme, şifreleme, ayrıştırma, kötü amaçlı kodun dışarıdan yüklenmesi ve diğer hileleri bir araya getiriyor. Bu nedenle, yeni kötü amaçlı yazılımların gözden kaçırılma olasılığı eskisinden çok daha yüksektir.

Bu durumda sitedeki virüsleri ve barındırmadaki hacker komut dosyalarını daha etkili bir şekilde tespit etmek için ne yapılabilir? Entegre bir yaklaşımın kullanılması gereklidir: ilk otomatik tarama ve daha fazla manuel analiz. Bu makalede, tarayıcılar olmadan kötü amaçlı kodları tespit etmeye yönelik seçenekler tartışılacaktır.

Öncelikle hack sırasında tam olarak nelere dikkat etmeniz gerektiğine bakalım.

Hacker komut dosyaları.
Çoğu zaman, bilgisayar korsanlığı sırasında indirilen dosyalar web kabukları, arka kapılar, "yükleyiciler", spam postalara yönelik komut dosyaları, kimlik avı sayfaları + form işleyicileri, giriş kapıları ve bilgisayar korsanlığı işaretleyici dosyalarıdır (bilgisayar korsanı grubunun logosundan resimler, metin dosyaları bilgisayar korsanlarından gelen bir “mesaj” vb. ile)

Mevcut .
Kötü amaçlı ve hacker kodu barındırmanın ikinci en popüler türü enjeksiyonlardır. Mobil ve arama yönlendirmeleri mevcut site .htaccess dosyalarına enjekte edilebilir, arka kapılar php/Perl komut dosyalarına enjekte edilebilir ve viral javascript parçaları veya üçüncü taraf kaynaklara yönlendirmeler .js ve .html şablonlarına yerleştirilebilir. Medya dosyalarına da enjeksiyon yapılabilir, örneğin.jpg veya. Kötü amaçlı kod genellikle birkaç bileşenden oluşur: Kötü amaçlı kodun kendisi jpg dosyasının exif başlığında saklanır ve kodu tarayıcıya şüpheli görünmeyen küçük bir kontrol komut dosyası kullanılarak yürütülür.

Veritabanı enjeksiyonları.
Veritabanı bir bilgisayar korsanının üçüncü hedefidir. Burada, ziyaretçileri üçüncü taraf kaynaklara yönlendiren, onları "gözetleyen" veya bir arabadan saldırı sonucu ziyaretçinin bilgisayarına/mobil cihazına bulaşan statik eklentiler mümkündür.
Ayrıca birçok modern CMS'de (IPB, vBulletin, modx, vb.) şablon motorları çalıştırmanıza olanak tanır php kodu ve şablonların kendileri veritabanında saklanır, böylece web kabuklarının ve arka kapıların PHP kodu doğrudan veritabanına yerleştirilebilir.

Önbelleğe alma hizmetlerine enjeksiyonlar.
Önbelleğe alma hizmetlerinin yanlış veya güvenli olmayan şekilde yapılandırılmasının bir sonucu olarak, örneğin memcached, önbelleğe alınan verilere "anında" enjeksiyon yapılması mümkündür. Bazı durumlarda bilgisayar korsanı, siteyi doğrudan hacklemeden sitenin sayfalarına kötü amaçlı kod ekleyebilir.

Sunucu sistemi bileşenlerindeki enjeksiyonlar/başlatılan öğeler.
Bir bilgisayar korsanı sunucuya ayrıcalıklı (kök) erişim elde etmişse, web sunucusunun veya önbellekleme sunucusunun öğelerini virüslü olanlarla değiştirebilir. Böyle bir web sunucusu, bir yandan kontrol komutlarını kullanarak sunucu üzerinde kontrol sağlayacak, diğer yandan zaman zaman sitenin sayfalarına dinamik yönlendirmeler ve kötü amaçlı kodlar sokacaktır. Önbellekleme hizmetine enjeksiyon yapılması durumunda olduğu gibi, tüm dosyalar ve veritabanı orijinal olacağından site yöneticisi büyük olasılıkla sitenin saldırıya uğradığını tespit edemeyecektir. Bu seçenek tedavi edilmesi en zor olanıdır.

Yani, barındırma ve veritabanı dökümü üzerindeki dosyaları tarayıcılarla zaten kontrol ettiğinizi, ancak hiçbir şey bulamadığınızı ve virüsün hala sayfada olduğunu veya sayfaları açarken mobil yönlendirmenin çalışmaya devam ettiğini varsayalım. Daha fazla nasıl arama yapılır?

Manuel arama

Unix'te, dosyaları ve parçaları bulmak için find / grep'ten daha değerli bir komut çifti bulmak zordur.

bulmak . -name '*.ph*' -mtime -7

Geçen hafta değiştirilen tüm dosyaları bulacaksınız. Bazen bilgisayar korsanları, yeni komut dosyalarını tespit etmemek için komut dosyalarının değiştirilme tarihini "çevirir". Daha sonra öznitelikleri değişen php/phtml dosyalarını arayabilirsiniz.

bulmak . -name '*.ph*' -сtime -7

Belirli bir zaman aralığında değişiklikleri bulmanız gerekiyorsa aynı bulma yöntemini kullanabilirsiniz.

bulmak . -name '*.ph*' -newermt 2015-01-25 ! -newermt 2015-01-30 -ls

Dosyaları aramak için grep vazgeçilmezdir. Belirli bir parça için dosyalar arasında yinelemeli olarak arama yapabilir

grep -ril 'stummann.net/steffen/google-analytics/jquery-1.6.5.min.js' *

Bir sunucuyu hacklerken, guid/suid bayrağı ayarlanmış dosyaları analiz etmek faydalıdır.

bul / -perm -4000 -o -perm -2000

Şu anda hangi komut dosyalarının çalıştığını ve barındırma CPU'sunu yüklediğini belirlemek için arayabilirsiniz.

lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ‘ ( if(!str) ( str= ) else ( str=str””))END(print str)’` | grep hayaletleri | grep php

Barındırmadaki dosyaları analiz etmek için beynimizi ve ellerimizi kullanırız

Komut dosyaları tarafından bir şeyin yazıldığı veya kullanıcılar tarafından yüklenen yükleme, önbellek, tmp, yedekleme, günlük, resim dizinlerine gidiyoruz ve içeriği şüpheli uzantılara sahip yeni dosyalar için tarıyoruz. Örneğin, joomla için, resimler:find ./images -name '*.ph*' dizinindeki .php dosyalarını kontrol edebilirsiniz. Büyük olasılıkla, bir şey bulunursa, bu kötü amaçlı yazılım olacaktır.
WordPress için, komut dosyaları için wp-content/uploads dizinini, yedekleme ve önbellek tema dizinlerini kontrol etmek mantıklıdır.

Garip adlara sahip dosyalar aranıyor
Örneğin php, fyi.php, n2fd2.php. Dosyalar aranabilir

• - standart olmayan karakter kombinasyonları ile,
• - dosya adında 3,4,5,6,7,8,9 sayılarının varlığı

Olağandışı uzantılara sahip dosyalar arıyoruz
Diyelim ki WordPress üzerinde bir web siteniz var veya onlar için .py, .pl, .cgi, .so, .c, .phtml, .php3 uzantılı dosyalar pek de sıradan olmayacaktır. Bu uzantılara sahip herhangi bir komut dosyası ve dosya tespit edilirse, büyük olasılıkla hacker araçları olacaktır. Yanlış tespitlerin yüzdesi mümkündür ancak yüksek değildir.

Standart olmayan niteliklere veya oluşturulma tarihine sahip dosyalar arıyoruz
Şüphe, sunucuda mevcut olanlardan farklı niteliklere sahip dosyalardan kaynaklanabilir. Örneğin, tüm .php komut dosyaları ftp/sftp yoluyla yüklendi ve kullanıcı kullanıcısı var, bazıları ise www-data kullanıcısı tarafından oluşturuldu. En son olanları kontrol etmek mantıklıdır. Veya komut dosyası oluşturma tarihi, site oluşturma tarihinden önceyse.
Şüpheli özelliklere sahip dosyaların aranmasını hızlandırmak için Unix bul komutunu kullanmak uygundur.

Çok sayıda .html veya .php dosyası kullanarak kapıları arıyoruz
Dizinde birkaç bin .php veya .html dosyası varsa, bu büyük olasılıkla bir kapı aralığıdır.

Yardımcı olacak günlükler

Kötü amaçlı ve korsan komut dosyalarını tespit etmek için web sunucusu, e-posta hizmeti ve FTP günlükleri kullanılabilir.

• Mektubun gönderilme tarihi ve saatinin korelasyonu (günlükten bulunabilir) posta sunucusu Access_log'dan gelen isteklerle birlikte spam gönderme yöntemini tanımlamaya veya spam gönderen komut dosyasını bulmaya yardımcı olur.

• FTP xferlog aktarım günlüğünün analizi, saldırı sırasında hangi dosyaların indirildiğini, hangilerinin değiştirildiğini ve kim tarafından yapıldığını anlamanıza olanak tanır.

• Doğru yapılandırılmış bir posta sunucusu günlüğünde veya bir spam e-postanın hizmet başlığında, eğer PHP doğru şekilde yapılandırılmışsa, gönderen komut dosyasının bir adı veya tam yolu olacaktır; bu, spam kaynağının belirlenmesine yardımcı olur.

• Modern CMS ve eklentilerin proaktif koruma kayıtlarını kullanarak sitede hangi saldırıların gerçekleştirildiğini ve CMS'nin bunlara direnip direnemediğini belirleyebilirsiniz.

• Access_log ve error_log'u kullanarak, çağırdığı komut dosyalarının adlarını, IP adresini veya Kullanıcı Aracısını biliyorsanız, bir bilgisayar korsanının eylemlerini analiz edebilirsiniz. Son çare olarak, sitenin saldırıya uğradığı ve bulaştığı gündeki POST isteklerini görüntüleyebilirsiniz. Çoğu zaman analiz, indirilen veya hackleme sırasında zaten sunucuda bulunan diğer hacker komut dosyalarını bulmanızı sağlar.

Bütünlük kontrolü

Güvenliğine önceden dikkat ederseniz, bir hack'i analiz etmek ve bir web sitesindeki kötü amaçlı komut dosyalarını aramak çok daha kolaydır. Bütünlük kontrolü prosedürü, barındırmadaki değişiklikleri zamanında tespit etmeye ve bilgisayar korsanlığı gerçeğini belirlemeye yardımcı olur. En basitlerinden biri ve etkili yollar– siteyi sürüm kontrol sistemine (git, svn, cvs) yerleştirin. .gitignore'u doğru şekilde yapılandırırsanız, değişiklik kontrol süreci git status komutunu çağırmak gibi görünür ve kötü amaçlı komut dosyalarını ve değiştirilen dosyaları aramak git diff gibi görünür.

Ayrıca her zaman sahip olacaksın yedek kopya siteyi birkaç saniye içinde "geri alabileceğiniz" dosyalar. Sunucu yöneticileri ve ileri düzey web yöneticileri, dosyalara ve dizinlere erişimi izlemek ve dosya sistemindeki değişiklikleri izlemek için inotify, tripwire, Auditd ve diğer mekanizmaları kullanabilir.

Ne yazık ki sunucu üzerinde sürüm kontrol sistemi veya üçüncü taraf hizmetleri yapılandırmak her zaman mümkün olmuyor. Paylaşımlı hosting durumunda sürüm kontrol sistemi ve sistem hizmetlerinin kurulumu mümkün olmayacaktır. Ancak önemli değil, CMS için oldukça fazla hazır çözüm var. Siteye, dosyalardaki değişiklikleri izleyecek bir eklenti veya ayrı bir komut dosyası yükleyebilirsiniz. Bazı CMS'ler halihazırda etkili değişiklik izleme ve bütünlük kontrol mekanizması uygulamaktadır (Örneğin, Bitrix, DLE). Son çare olarak eğer hostingde ssh varsa referans cast oluşturabilirsiniz. dosya sistemi takım

Promosyon “1 fiyatına 2”

Kampanya ay sonuna kadar geçerlidir.

Bir web sitesi için "Site gözetim altında" hizmetini etkinleştirdiğinizde aynı hesaptaki ikinci siteye ücretsiz olarak bağlanır. Hesaptaki sonraki siteler - her site için ayda 1.500 ruble.