Comment rechercher du code malveillant sans antivirus ni scanner. Journal de bord Nous utilisons notre cerveau et nos mains pour analyser les fichiers sur l'hébergement

Il faut le faire ensemble. Si vous éliminez la cause initiale du piratage (par exemple, une vulnérabilité dans l'extension CMS), mais ne supprimez pas tous les fichiers malveillants, l'attaquant pourra à nouveau accéder au site en utilisant l'un de ses scripts. Si vous supprimez tous les scripts malveillants téléchargés, mais n'éliminez pas la cause du piratage, l'attaquant pourra à nouveau pirater le site et y télécharger à nouveau des scripts.

Un spécialiste possédant les connaissances et l'expérience appropriées doit effectuer des travaux pour supprimer les scripts malveillants et analyser les causes du piratage :

  • Pour supprimer les scripts malveillants, vous avez besoin d'une connaissance du langage de programmation PHP, ainsi que d'une connaissance de « l'intérieur » des CMS populaires (Joomla, WordPress, etc.) et de leurs extensions. Cette connaissance est nécessaire pour distinguer les scripts directement du CMS et de ses extensions des fichiers superflus, et également pour pouvoir déterminer sans ambiguïté les actions qu'ils effectuent lorsqu'ils rencontrent des scripts douteux.
  • Pour analyser les causes du piratage, une expérience en administration de serveur est requise. Cela est nécessaire pour analyser l'état des fichiers du compte, l'heure à laquelle ils ont été modifiés, ainsi que pour comparer ces données avec les journaux du serveur afin de déterminer quelles actions de l'attaquant ont conduit au piratage des sites.

Par conséquent, si votre site a été piraté, il est recommandé, afin d'éviter des piratages répétés, de ne pas faire le travail vous-même, mais de contacter un spécialiste qui effectuera les diagnostics nécessaires et recommandera ou prendra les mesures nécessaires pour résoudre le problème, et qui peut garantir la qualité du résultat obtenu.

Cependant, il existe un certain nombre de mesures qui, dans certains cas, contribuent à rétablir le fonctionnement sûr du site sans connaissances particulières. La limitation de la méthode ci-dessous est que pour reprendre le fonctionnement du site, elle nécessite une copie de sauvegarde de celui-ci créée avant le piratage. Si la date de la violation est inconnue, vous pouvez essayer cette méthode en utilisant la sauvegarde la plus ancienne disponible. La deuxième limitation, conséquence de la première, est qu'après la restauration du site, les données ajoutées au site après la sauvegarde de restauration ont été créées (par exemple, de nouveaux articles, images ou documents). Si vous devez restaurer le site tout en conservant de nouvelles données, vous devez contacter un spécialiste.

Ces mesures ne permettent pas de déterminer la cause du piratage du site, mais chacune d'elles vise à éliminer l'une des causes potentielles de pénétration. Puisque la raison exacte du piratage est inconnue, il est nécessaire de tous les exécuter. Les actions sont organisées de manière à éliminer d'abord complètement la possibilité qu'un attaquant continue d'opérer sur le site ou le compte d'hébergement à ce moment-là, puis à empêcher l'attaquant de pénétrer dans le site à l'avenir.

Les étapes ci-dessous supposent que vous n'avez qu'un seul site Web sur votre compte d'hébergement. S'il existe plusieurs sites sur le compte, ils pourraient également être piratés, et le site pourrait être piraté via eux. Il faut soit transférer le site avec lequel les travaux de restauration sont effectués vers un compte distinct, soit effectuer la restauration de tous les sites hébergés sur le compte en même temps.

L'ordre des actions est important, il est donc nécessaire de les effectuer dans l'ordre exact dans lequel elles se trouvent ci-dessous.

  • Immédiatement après avoir découvert qu'un site a été piraté, il est nécessaire d'en bloquer complètement l'accès aux visiteurs. Ceci, d'une part, empêchera l'attaquant de mener des activités malveillantes sur le site, et d'autre part, ne lui permettra pas d'interférer avec les travaux de restauration. Cette étape est très importante, car la suppression des scripts malveillants et l'élimination de la cause du piratage ne se font pas du jour au lendemain - en règle générale, cela prend plusieurs heures. Si le site reste accessible de l'extérieur, l'attaquant pourra ré-uploader des scripts dans la section du site déjà effacée. Dans ce cas, un attaquant peut utiliser différentes adresses IP pour se connecter, donc refuser l'accès uniquement à une liste d'adresses IP ne fonctionnera pas. Pour garantir que le site est débarrassé des scripts malveillants détectés, il est nécessaire de bloquer complètement la capacité de l’attaquant à accéder au site, ce qui ne peut être fait qu’en bloquant complètement le site pour tous les visiteurs. Contactez le service d'assistance technique de l'hébergement qui héberge votre site pour le bloquer.
  • Après avoir bloqué le site, vous devez vérifier les ordinateurs à partir desquels vous travailliez avec le site avec un antivirus moderne doté de bases de données virales mises à jour. Si le site a été piraté en volant des mots de passe de compte à l'aide d'un virus, vous devez vous assurer que les travaux ultérieurs avec le site piraté sont effectués à partir d'un ordinateur qui ne contient pas de virus, sinon après avoir modifié les mots de passe d'accès, ils pourraient être à nouveau volés.
  • Après avoir bloqué le site et vérifié l'absence de virus, vous devez modifier tous les mots de passe d'accès à votre compte : accès via FTP, via SSH, ainsi que l'accès au panneau de contrôle d'hébergement. Si un attaquant a accédé aux fichiers du compte en utilisant l'une de ces méthodes, une fois les mots de passe modifiés, il ne pourra plus le faire.
  • Après avoir modifié les mots de passe, vous devez détruire tous les processus serveur exécutés sous le compte sur lequel le site est géré. Les processus lancés par un attaquant en arrière-plan, sans être détruits, pourront remplacer des scripts malveillants sur le site une fois les travaux de restauration effectués. Pour éviter que cela ne se produise, tous les processus en cours d'exécution avant le blocage du site doivent être détruits. Le site devrait déjà être bloqué à ce moment afin que l'attaquant ne puisse pas lancer de nouveaux processus en accédant à l'un de ses scripts sur le site. Pour détruire les processus en cours d'exécution sur votre compte, contactez le service d'assistance technique de l'hébergement qui héberge votre site.
  • Il est désormais impossible de pénétrer dans le site de l'extérieur et vous pouvez commencer à le restaurer.
  • Avant d'autres actions, supprimez tous les fichiers du site existants pour vous assurer qu'il n'y a pas de scripts malveillants ou de scripts CMS dans lesquels l'attaquant a inséré du code malveillant. Cette étape est également importante car lors de la restauration d'un site à partir d'une sauvegarde, les fichiers qui existaient avant la restauration ne sont pas toujours supprimés. Si, après restauration à partir d'une sauvegarde, d'anciens scripts malveillants restent sur le site, l'attaquant pourra réintégrer le site. Vous pouvez éviter cela en supprimant tous les fichiers du site avant d'effectuer la récupération.
  • Après avoir supprimé tous les fichiers du site, restaurez le site à partir d'une sauvegarde créée avant son piratage. Souvent, il suffit de restaurer uniquement les fichiers du site, mais si, après les avoir restaurés, des erreurs sont constatées dans le fonctionnement du site, il est nécessaire de restaurer complètement le site : à la fois les fichiers et la base de données.
  • Après la restauration à partir d'une sauvegarde, mettez à jour votre système de gestion de contenu (CMS) et vos extensions vers les dernières versions. Cela est nécessaire pour exclure la présence de vulnérabilités connues sur le site par lesquelles il pourrait être piraté. En règle générale, la mise à jour peut être effectuée via la section d'administration du CMS. Pour obtenir des instructions complètes sur la mise à jour du CMS, vous devez visiter le site Web du développeur du système. Il est important de mettre à jour non seulement le CMS lui-même, mais également toutes ses extensions, car le piratage se produit souvent via une vulnérabilité présente dans l'une des extensions du CMS (par exemple, plugins, thèmes, widgets, etc.). Pour le moment, il est encore impossible de débloquer le site pour les visiteurs, car il peut encore être vulnérable. Pour accéder à votre site pour une mise à jour, contactez le support technique de l'hébergement hébergeant votre site et demandez à autoriser l'accès au site uniquement à partir de l'adresse IP de votre ordinateur. Vous pouvez connaître votre adresse IP, par exemple sur inet.yandex.ru.
  • Après avoir mis à jour le système de gestion du site et ses extensions, rendez-vous dans la section administration du site et modifiez-y le mot de passe d'accès administrateur. Assurez-vous que parmi les utilisateurs du site, il n'y a pas d'autres utilisateurs disposant de privilèges administratifs (ils auraient pu être ajoutés par un attaquant), et s'il y en a, supprimez-les.
  • Maintenant que le site a été restauré à partir d'une sauvegarde et ne contient pas de scripts malveillants, que le CMS et ses extensions ont été mis à jour vers les dernières versions qui ne contiennent pas de vulnérabilités, et que les mots de passe d'accès au site et au compte d'hébergement ont été modifiés, vous pourra rouvrir le site aux visiteurs.

    • Toutes les actions ci-dessus doivent être effectuées conformément à l'ordre spécifié, sans omissions ni modifications. Si les actions sont exécutées de manière inexacte, des scripts malveillants ou des vulnérabilités peuvent rester sur le site, ce qui peut à nouveau être piraté par un attaquant après un court laps de temps. Si, pour une raison quelconque, il n'est pas possible d'effectuer les étapes ci-dessus sous la forme dans laquelle elles sont indiquées, contactez un spécialiste pour effectuer des travaux de restauration du site après un piratage.

    Pour protéger votre site contre les piratages répétés à l'avenir, vous devez respecter les recommandations suivantes :
  • Gardez une trace des mises à jour du CMS et de ses extensions sur les sites Web des développeurs et mettez-les rapidement à jour vers les dernières versions. Si un commentaire de mise à jour indique qu'il corrige une vulnérabilité, installez la mise à jour dès que possible.
  • Travaillez avec le site et le compte d'hébergement uniquement à partir d'ordinateurs protégés contre les virus par des antivirus modernes avec des bases de données virales constamment mises à jour.
  • Utilisez des mots de passe complexes afin qu’ils ne puissent pas être devinés grâce à une recherche dans le dictionnaire.
  • N'enregistrez pas les mots de passe FTP et SSH dans les programmes de connexion au site, et n'enregistrez pas le mot de passe d'accès à la zone d'administration du site et au panneau de contrôle d'hébergement dans votre navigateur.
  • De temps en temps (par exemple, une fois tous les trois mois), modifiez les mots de passe d'accès au site et au compte d'hébergement.
  • Si des virus ont été détectés sur l'ordinateur à partir duquel vous travailliez sur le site, modifiez au plus vite les mots de passe d'accès au site et au compte d'hébergement. Vous devez changer tous les mots de passe : les mots de passe d’accès via FTP, SSH, le mot de passe du panneau d’administration du site, ainsi que le mot de passe du panneau de contrôle d’hébergement.
  • Ne fournissez pas l'accès au site à des tiers, sauf si vous êtes sûr qu'ils suivront également ces directives.

    • WordPress est l'un des systèmes de gestion de contenu les plus populaires, utilisé à diverses fins, des blogs au commerce électronique. Il existe une large sélection de plugins et de thèmes WordPress. Il arrive que certaines de ces extensions tombent entre les mains des webmasters après qu'un attaquant ait travaillé dessus.

    Pour son propre bénéfice, il pourra y laisser des liens publicitaires ou du code avec lesquels il gérera votre site. De nombreux utilisateurs de WordPress n’ont pas beaucoup d’expérience en programmation Web et ne savent pas comment gérer cette situation.

    Pour eux, j'ai passé en revue neuf des outils les plus efficaces pour détecter les modifications malveillantes dans le code d'un site Web en cours d'exécution ou de modules complémentaires installés.

    1. Vérificateur d'authenticité du thème (TAC)

    Theme Authenticity Checker (TAC) est un plugin WordPress qui analyse chaque thème installé à la recherche d'éléments suspects comme des liens invisibles ou du code crypté Base64.

    Ayant détecté de tels éléments, TAC les signale à l'administrateur WordPress, lui permettant d'analyser en toute autonomie et, si nécessaire, de corriger les fichiers du thème source :

    2. Exploiter le scanner

    Exploit Scanner analyse l'intégralité du code source de votre site et le contenu de la base de données WordPress à la recherche d'inclusions douteuses. Tout comme TAC, ce plugin n’empêche pas les attaques ni ne combat automatiquement leurs conséquences.

    Il montre uniquement les symptômes d’infection détectés à l’administrateur du site. Si vous souhaitez supprimer le code malveillant, vous devrez le faire manuellement :

    3. Sécurité Sucuri

    Sucuri est une solution de sécurité WordPress bien connue. Le plugin Sucuri Security surveille les fichiers téléchargés sur un site WordPress, maintient sa propre liste de menaces connues et vous permet également d'analyser le site à distance à l'aide du scanner gratuit Sucuri SiteCheck. Moyennant des frais d'abonnement, vous pouvez renforcer encore la protection de votre site en installant un puissant pare-feu Sucuri Website Firewall :

    4. Anti-programme malveillant

    Anti-Malware est un plugin pour WordPress qui peut rechercher et supprimer les scripts de chevaux de Troie, les portes dérobées et autres codes malveillants.

    Les paramètres d'analyse et de suppression peuvent être personnalisés. Ce plugin peut être utilisé après inscription gratuite sur gotmls.

    Le plugin accède régulièrement au site Web du fabricant, transmettant des statistiques de détection de logiciels malveillants et recevant des mises à jour. Par conséquent, si vous ne souhaitez pas installer sur votre site de plugins qui surveillent son fonctionnement, alors vous devez éviter d'utiliser Anti-Malware :

    5. Protection des sites antivirus WP

    WP Antivirus Site Protection est un plugin qui analyse tous les fichiers téléchargés sur un site, y compris les thèmes WordPress.

    Le plugin possède sa propre base de données de signatures, qui est automatiquement mise à jour via Internet. Il peut supprimer automatiquement les menaces, avertir l'administrateur du site par e-mail et bien plus encore.

    Le plugin est installé et fonctionne gratuitement, mais il comporte plusieurs modules complémentaires payants qui méritent une attention particulière :

    6. Antivirus pour WordPress

    AntiVirus pour WordPress est un plugin facile à utiliser qui peut analyser régulièrement votre site et vous informer des problèmes de sécurité par e-mail. Le plugin dispose d'une liste blanche personnalisable et d'autres fonctionnalités :

    7. Scanner de logiciels malveillants Web Quterra

    Le scanner de Quterra vérifie un site Web pour les vulnérabilités, les injections de code tiers, les virus, les portes dérobées, etc. Le scanner possède des fonctionnalités aussi intéressantes que l'analyse heuristique et la détection de liens externes.

    Les fonctionnalités de base du scanner sont gratuites, tandis que certains services supplémentaires vous coûteront 60 $ par an :

    8. Clôture de mots

    Si vous recherchez une solution complète aux problèmes de sécurité de votre site Web, ne cherchez pas plus loin que Wordfence.

    Ce plugin offre une protection constante à WordPress contre les types d'attaques connus, une authentification à deux facteurs, la prise en charge d'une « liste noire » d'adresses IP d'ordinateurs et de réseaux utilisés par les pirates et les spammeurs, et l'analyse du site à la recherche de portes dérobées connues.

    Ce plugin est gratuit dans sa version de base, mais il dispose également de fonctionnalités premium, pour lesquelles le constructeur demande un modeste abonnement :

    9.Wemahu

    Wemahu surveille les modifications apportées au code de votre site et recherche les codes malveillants.

    La base de données sur laquelle les logiciels malveillants sont détectés est reconstituée selon la méthode du crowdsourcing : les utilisateurs eux-mêmes la reconstituent en envoyant les résultats de l'analyse des installations WordPress infectées au site Web de l'auteur du plugin. Le plugin prend également en charge l'envoi de rapports par e-mail et d'autres fonctionnalités utiles.

    La vérité est que le site peut être piraté tôt ou tard. Après avoir exploité avec succès la vulnérabilité, le pirate informatique tente de prendre pied sur le site en plaçant des shells Web et des téléchargeurs dans les répertoires système et en introduisant des portes dérobées dans le code de script et la base de données CMS.

    Les scanners aident à détecter les shells Web chargés, les portes dérobées, les pages de phishing, les spams et autres types de scripts malveillants - tout ce qu'ils connaissent et sont pré-ajoutés à la base de données de signatures de codes malveillants. Certains scanners, tels que AI-BOLIT, disposent d'un ensemble de règles heuristiques capables de détecter les fichiers contenant du code suspect souvent utilisé dans des scripts malveillants, ou les fichiers dotés d'attributs suspects pouvant être téléchargés par des pirates. Mais malheureusement, même si plusieurs scanners sont utilisés sur l'hébergement, il peut y avoir des situations où certains scripts de pirates ne sont pas détectés, ce qui signifie en fait que l'attaquant se retrouve avec une « porte dérobée » et peut pirater le site et en prendre le contrôle total. à tout moment.

    Les scripts modernes de logiciels malveillants et de pirates informatiques sont très différents de ceux d’il y a 4 à 5 ans. Actuellement, les développeurs de codes malveillants combinent obscurcissement, chiffrement, décomposition, chargement externe de code malveillant et autres astuces pour tromper les logiciels antivirus. Par conséquent, la probabilité de manquer de nouveaux logiciels malveillants est beaucoup plus élevée qu’auparavant.

    Que peut-on faire dans ce cas pour détecter plus efficacement les virus sur le site et les scripts de hackers sur l'hébergement ? Il est nécessaire d'utiliser une approche intégrée : une première analyse automatisée et une analyse manuelle ultérieure. Cet article abordera les options de détection de code malveillant sans scanner.

    Tout d’abord, regardons ce que vous devez exactement rechercher lors d’un hack.

  • Scripts de hackers.
    Le plus souvent, lors du piratage, les fichiers téléchargés sont des shells Web, des portes dérobées, des « uploaders », des scripts pour les courriers indésirables, des pages de phishing + des processeurs de formulaires, des portes et des fichiers de marqueurs de piratage (images du logo du groupe de hackers, fichiers texte avec « message » des pirates, etc.)
  • Injections (injections de code) dans des fichiers .
    Le deuxième type d’hébergement de code malveillant et de pirate informatique le plus populaire est l’injection. Des redirections mobiles et de recherche peuvent être injectées dans les fichiers .htaccess du site existant, des portes dérobées peuvent être injectées dans des scripts php/perl et des fragments javascript viraux ou des redirections vers des ressources tierces peuvent être intégrés dans des modèles .js et .html. Des injections sont également possibles dans des fichiers multimédias, par exemple.jpg ou. Souvent, le code malveillant se compose de plusieurs composants : le code malveillant lui-même est stocké dans l'en-tête exif du fichier jpg et est exécuté à l'aide d'un petit script de contrôle dont le code ne semble pas suspect au scanner.
  • Injections de bases de données.
    La base de données est la troisième cible d'un pirate informatique. Ici, des insertions statiques sont possibles, , , , qui redirigent les visiteurs vers des ressources tierces, les « espionnent » ou infectent l'ordinateur/l'appareil mobile du visiteur à la suite d'une attaque au volant.
    De plus, dans de nombreux CMS modernes (IPB, vBulletin, modx, etc.), les moteurs de modèles vous permettent d'exécuter du code PHP, et les modèles eux-mêmes sont stockés dans la base de données, de sorte que le code PHP des shells Web et des portes dérobées peut être construit directement. dans la base de données.
  • Injections dans les services de mise en cache.
    En raison d'une configuration incorrecte ou dangereuse des services de mise en cache, par exemple Memcached, des injections dans les données mises en cache « à la volée » sont possibles. Dans certains cas, un pirate informatique peut injecter du code malveillant dans les pages d'un site sans pirater directement le site.
  • Injections/éléments initiés dans les composants du système serveur.
    Si un pirate informatique a obtenu un accès privilégié (root) au serveur, il peut remplacer les éléments du serveur Web ou du serveur de mise en cache par des éléments infectés. Un tel serveur Web assurera, d’une part, le contrôle du serveur à l’aide de commandes de contrôle et, d’autre part, introduira de temps en temps des redirections dynamiques et du code malveillant dans les pages du site. Comme dans le cas d'une injection dans un service de mise en cache, l'administrateur du site ne pourra probablement pas détecter le fait que le site a été piraté, puisque tous les fichiers et la base de données seront originaux. Cette option est la plus difficile à traiter.

    • Supposons donc que vous ayez déjà vérifié les fichiers sur l'hébergement et le dump de la base de données avec des scanners, mais qu'ils n'aient rien trouvé et que le virus soit toujours sur la page ou que la redirection mobile continue de fonctionner lors de l'ouverture des pages. Comment chercher plus loin ?

    Recherche manuelle

    Sous Unix, il est difficile de trouver une paire de commandes plus utile pour rechercher des fichiers et des fragments que find/grep.

    trouver . -name '*.ph*' -mtime -7

    trouvera tous les fichiers qui ont été modifiés au cours de la semaine dernière. Parfois, les pirates « tordent » la date de modification des scripts afin de ne pas détecter de nouveaux scripts. Ensuite vous pouvez rechercher des fichiers php/phtml dont les attributs ont changé

    trouver . -name '*.ph*' -сtime -7

    Si vous avez besoin de rechercher des modifications dans un certain intervalle de temps, vous pouvez utiliser la même recherche

    trouver . -name '*.ph*' -newermt 2015-01-25 ! -newermt 2015-01-30 -ls

    Pour rechercher des fichiers, grep est indispensable. Il peut rechercher de manière récursive dans les fichiers un fragment spécifié

    grep -ril 'stummann.net/steffen/google-analytics/jquery-1.6.5.min.js' *

    Lors du piratage d'un serveur, il est utile d'analyser les fichiers dont l'indicateur guid/suid est défini

    trouver / -perm -4000 -o -perm -2000

    Pour déterminer quels scripts sont en cours d'exécution et chargent le processeur d'hébergement, vous pouvez appeler

    lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ‘ ( if(!str) ( str= ) else ( str=str””))END(print str)’` | grep vhosts | grep php

    Nous utilisons notre cerveau et nos mains pour analyser les fichiers sur l'hébergement
  • Nous allons dans les répertoires de téléchargement, de cache, tmp, de sauvegarde, de journal, d'images, dans lesquels quelque chose est écrit par des scripts ou téléchargés par les utilisateurs, et analysons le contenu à la recherche de nouveaux fichiers avec des extensions suspectes. Par exemple, pour Joomla, vous pouvez vérifier les fichiers .php dans le répertoire images:find ./images -name '*.ph*'. Très probablement, si quelque chose est trouvé, ce sera un malware.
    Pour WordPress, il est logique de vérifier les scripts dans le répertoire wp-content/uploads, les répertoires de thème de sauvegarde et de cache.
  • Recherche de fichiers avec des noms étranges
    Par exemple, php, pour info.php, n2fd2.php. Les fichiers peuvent être recherchés
    • - par des combinaisons de caractères non standards,
    • - la présence des chiffres 3,4,5,6,7,8,9 dans le nom du fichier
  • Nous recherchons des fichiers avec des extensions inhabituelles
    Disons que vous avez un site Web sur WordPress ou que pour eux, les fichiers avec les extensions .py, .pl, .cgi, .so, .c, .phtml, .php3 ne seront pas tout à fait ordinaires. Si des scripts et des fichiers portant ces extensions sont détectés, il s’agira très probablement d’outils de piratage. Le pourcentage de fausses détections est possible, mais il n'est pas élevé.
  • Nous recherchons des fichiers avec des attributs ou une date de création non standard
    La suspicion peut être provoquée par des fichiers dont les attributs diffèrent de ceux existants sur le serveur. Par exemple, tous les scripts .php ont été téléchargés via ftp/sftp et ont l'utilisateur user, et certains ont été créés par l'utilisateur www-data. Il est logique de vérifier les dernières. Ou si la date de création du fichier script est antérieure à la date de création du site.
    Pour accélérer la recherche de fichiers avec des attributs suspects, il est pratique d'utiliser la commande Unix find.
  • Nous recherchons des portes utilisant un grand nombre de fichiers .html ou .php
    S'il y a plusieurs milliers de fichiers .php ou .html dans le répertoire, il s'agit probablement d'une porte.
    • Journaux pour aider

    Le serveur Web, le service de messagerie et les journaux FTP peuvent être utilisés pour détecter les scripts malveillants et pirates.

    • La corrélation de la date et de l'heure d'envoi d'une lettre (qui peuvent être trouvées dans le journal du serveur de messagerie ou dans l'en-tête de service d'une lettre de spam) avec les requêtes du access_log permet d'identifier la méthode d'envoi du spam ou de trouver le script de l'expéditeur du spam.
    • L'analyse du journal de transfert FTP xferlog permet de comprendre quels fichiers ont été téléchargés au moment du hack, lesquels ont été modifiés et par qui.
    • Dans un journal de serveur de messagerie correctement configuré ou dans l'en-tête de service d'un courrier indésirable, si PHP est correctement configuré, il y aura un nom ou un chemin complet vers le script d'envoi, ce qui permet de déterminer la source du spam.
    • À l'aide des journaux de protection proactive des CMS et plugins modernes, vous pouvez déterminer quelles attaques ont été menées sur le site et si le CMS a pu y résister.
    • En utilisant access_log et error_log, vous pouvez analyser les actions d'un pirate informatique si vous connaissez les noms des scripts qu'il a appelés, l'adresse IP ou l'agent utilisateur. En dernier recours, vous pouvez consulter les requêtes POST le jour où le site a été piraté et infecté. Souvent, l'analyse permet de trouver d'autres scripts de hackers qui ont été téléchargés ou qui se trouvaient déjà sur le serveur au moment du piratage.
    Contrôle d'intégrité

    Il est beaucoup plus facile d'analyser un piratage et de rechercher des scripts malveillants sur un site Web si vous veillez à sa sécurité à l'avance. La procédure de contrôle d'intégrité permet de détecter en temps opportun les modifications apportées à l'hébergement et de déterminer le fait de piratage. L’un des moyens les plus simples et les plus efficaces consiste à placer le site sous un système de contrôle de version (git, svn, cvs). Si vous configurez correctement .gitignore, le processus de contrôle des modifications ressemble à un appel à la commande git status, et la recherche de scripts malveillants et de fichiers modifiés ressemble à git diff.

    De plus, vous disposerez toujours d'une copie de sauvegarde de vos fichiers, sur laquelle vous pourrez « restaurer » le site en quelques secondes. Les administrateurs de serveur et les webmasters avancés peuvent utiliser inotify, tripwire, auditd et d'autres mécanismes pour suivre l'accès aux fichiers et répertoires et surveiller les modifications dans le système de fichiers.

    Malheureusement, il n'est pas toujours possible de configurer un système de contrôle de version ou des services tiers sur le serveur. Dans le cas d'un hébergement mutualisé, il ne sera pas possible d'installer un système de contrôle de version et des services système. Mais ce n’est pas grave, il existe de nombreuses solutions toutes faites pour les CMS. Vous pouvez installer un plugin ou un script distinct sur le site qui suivra les modifications apportées aux fichiers. Certains CMS mettent déjà en œuvre une surveillance efficace des modifications et un mécanisme de contrôle d'intégrité (par exemple, Bitrix, DLE). En dernier recours, si l'hébergement dispose de ssh, vous pouvez créer un instantané de référence du système de fichiers avec la commande

    Promotion « 2 pour le prix de 1 »

    La promotion est valable jusqu'à la fin du mois.

    Lorsque vous activez le service « Site sous surveillance » pour un site Internet, le deuxième sur le même compte est connecté gratuitement. Sites suivants sur le compte - 1 500 roubles par mois pour chaque site.

    1. Décompressez-le dans le dossier du site.
    2. suivez le lien votre_site/fscure/
    3. tout

    Que peut-il faire?

    1. Recherche automatique de virus par signatures.
    2. Rechercher une chaîne dans les fichiers
    3. Suppression de fichiers
    4. Corrigez le code malveillant à l'aide d'expressions régulières

    Le script ne fera pas tout le travail à votre place et nécessite quelques connaissances minimales. Il est recommandé de faire une sauvegarde du site avant les travaux.

    Comment ça marche?

    Lors du premier lancement, il crée un index de fichiers. Le fichier fscure.lst se trouve dans le dossier. Affiche une liste de fichiers contenant des signatures potentiellement malveillantes. « Potentiellement malveillant » signifie que vous devrez décider s'il s'agit d'un virus ou non. La liste des signatures est configurée dans le fichier config.php, constante SCAN_SIGN. Avec les paramètres par défaut, le script ne vérifie pas les fichiers js et ne contient pas de signatures pour ceux-ci.

    Problèmes les plus courants

    1. ne crée pas l'index fscure.lst. Cela peut arriver s’il n’y a pas suffisamment de droits. Mettez 777 dans le dossier fscure

    2. Erreur 5xx. Le plus souvent "504 Gateway Time-out". Le script n'a pas le temps d'être traité et plante en raison d'un délai d'attente. Dans ce cas, il existe plusieurs façons d'accélérer son travail. La vitesse dépend principalement de la taille de l'index. C'est dans le fichier fscure.lst. Généralement, un fichier jusqu'à 5 Mo peut être traité dans 90 % des cas. S'il n'a pas le temps, vous pouvez réduire la « cupidité » du script en interdisant de scanner *.jpg;*.png;*.css dans la configuration.
    Dans le fichier config.php.

    // délimiteur ; définir("FILES_EXCLUDE","*.js;*.jpg;*.png;*.css");

    3. L'hébergement émet un avertissement comme
    (HEX)base64.inject.unclassed.6 : u56565656 : /var/www/u65656565/data/www/34535335353.ru/fscure/index.php

    Il n’y a aucun virus dans le script et il n’y en a jamais eu. Et (HEX)base64.inject.unclassed.6 est une construction comme "echo base64_decode(" , qui est souvent rencontrée et en soi est assez inoffensive. Cependant, dans la dernière version, j'ai remplacé ce code.

    Que faire si vous ne parvenez pas à trouver le virus vous-même ?

    Vous pouvez me contacter pour obtenir de l'aide. Mes tarifs sont modestes. Je garantis mon travail pendant 6 mois. Le coût des travaux est de 800 roubles. pour 1 emplacement. S'il y a plusieurs sites sur votre compte, le prix est déterminé individuellement.

    Si vous parvenez à tout faire vous-même, je vous serais reconnaissant d'obtenir une récompense financière ou un lien vers mon site.

    Mes prérequis :
    Yandex
    41001151597934

    argent Web
    Z959263622242
    R356304765617
    E172301357329

    Un code malveillant pénètre sur le site par négligence ou intention malveillante. Les objectifs des codes malveillants varient, mais ils nuisent ou interfèrent essentiellement avec le fonctionnement normal d’un site Web. Pour supprimer le code malveillant sur WordPress, vous devez d’abord le trouver.

    Qu'est-ce qu'un code malveillant sur un site WordPress ?

    En apparence, le plus souvent, un code malveillant est un ensemble de lettres et de symboles de l'alphabet latin. En fait, il s'agit d'un code crypté par lequel telle ou telle action est effectuée. Les actions peuvent être très différentes, par exemple, vos nouveaux posts sont immédiatement publiés sur une ressource tierce. Il s’agit essentiellement de voler votre contenu. Les codes ont également d'autres « tâches », par exemple placer des liens sortants sur les pages du site. Les tâches peuvent être les plus sophistiquées, mais une chose est claire : les codes malveillants doivent être traqués et supprimés.

    Comment les codes malveillants arrivent-ils sur un site Web ?

    Il existe également de nombreuses failles permettant aux codes d'accéder au site.

  • Le plus souvent, il s’agit de thèmes et plugins téléchargés depuis les ressources « de gauche ». Cependant, une telle pénétration est typique des liens dits cryptés. Le code explicite ne finit pas sur le site.
  • La pénétration d'un virus lors du piratage d'un site est la plus dangereuse. En règle générale, le piratage d'un site vous permet non seulement de placer un « code à usage unique », mais également d'installer du code contenant des éléments de malware (programme malveillant). Par exemple, vous trouvez un code et le supprimez, mais il est restauré après un certain temps. Il existe encore une fois de nombreuses options.

    • Permettez-moi de noter tout de suite que lutter contre de tels virus est difficile et que la suppression manuelle nécessite des connaissances. Il existe trois solutions au problème : la première solution consiste à utiliser des plugins antivirus, par exemple un plugin appelé BulletProof Security.

    Cette solution donne de bons résultats, mais prend du temps, quoique un peu. Il existe une solution plus radicale pour se débarrasser des codes malveillants, notamment des virus complexes, qui consiste à restaurer le site à partir de copies de sauvegarde du site préalablement réalisées.

    Puisqu’un bon webmaster le fait périodiquement, vous pouvez revenir à une version non infectée sans aucun problème. La troisième solution est pour les riches et les paresseux, il suffit de s'adresser à un « bureau » spécialisé ou à un spécialiste individuel.

    Comment rechercher du code malveillant sur WordPress

    Il est important de comprendre que le code malveillant sur WordPress peut se trouver dans n’importe quel fichier du site, et pas nécessairement dans le thème de travail. Il peut proposer un plugin, un thème ou du code « fait maison » tiré d’Internet. Il existe plusieurs façons de tenter de détecter un code malveillant.

    Méthode 1 : manuellement. Vous faites défiler tous les fichiers du site et les comparez avec les fichiers d'une sauvegarde non infectée. Si vous trouvez le code de quelqu'un d'autre, supprimez-le.

    Méthode 2 : Utilisation des plugins de sécurité WordPress. Par exemple, . Ce plugin a une fonctionnalité intéressante, analysant les fichiers du site pour détecter la présence de code d'autres personnes et le plugin s'acquitte parfaitement de cette tâche.

    Méthode 3. Si vous disposez d'un support d'hébergement raisonnable et qu'il vous semble qu'il y a quelqu'un d'autre sur le site, demandez-lui d'analyser votre site avec son antivirus. Leur rapport répertoriera tous les fichiers infectés. Ensuite, ouvrez ces fichiers dans un éditeur de texte et supprimez le code malveillant.

    Méthode 4. Si vous pouvez travailler avec un accès SSH au répertoire du site, alors allez-y, il a sa propre cuisine.

    Important! Quelle que soit la manière dont vous recherchez un code malveillant, avant de rechercher puis de supprimer le code, fermez l'accès aux fichiers du site (activez le mode maintenance). N'oubliez pas les codes qui sont eux-mêmes restaurés lorsqu'ils sont supprimés.

    Rechercher des codes malveillants à l'aide de la fonction eval

    Il existe une telle fonction en PHP appelée eval. Il vous permet d'exécuter n'importe quel code sur sa ligne. De plus, le code peut être crypté. C’est à cause du codage que le code malveillant ressemble à un ensemble de lettres et de symboles. Deux encodages populaires sont :

  • Base64 ;
  • Pourriture13.

    • En conséquence, dans ces codages, la fonction eval ressemble à ceci :

    • eval(base64_decode(...))
    • eval (str_rot13 (...)) //entre guillemets internes, ensembles de lettres et de symboles longs et peu clairs.

    L'algorithme de recherche de code malveillant à l'aide de la fonction eval est le suivant (nous travaillons depuis le panneau d'administration) :

    • allez dans l'éditeur du site (Apparence → Éditeur).
    • copiez le fichier function.php.
    • ouvrez-le dans un éditeur de texte (par exemple, Notepad++) et recherchez le mot : eval.
    • Si vous le trouvez, ne vous précipitez pas pour supprimer quoi que ce soit. Vous devez comprendre ce que cette fonction « demande » d’exécuter. Pour comprendre cela, le code doit être décodé. Pour le décodage, il existe des outils en ligne appelés décodeurs.
    Décodeurs/Encodeurs

    Les décodeurs fonctionnent simplement. Vous copiez le code que vous souhaitez décrypter, collez-le dans le champ du décodeur et décodez.

    Au moment de la rédaction de cet article, je n’ai trouvé aucun code crypté dans WordPress. J'ai trouvé le code sur le site Joomla. En principe, il n’y a aucune différence dans la compréhension du décodage. Regardons la photo.

    Comme vous pouvez le voir sur la photo, la fonction eval, après décodage, n'a pas affiché un code terrible qui menace la sécurité du site, mais un lien de copyright crypté de l'auteur du modèle. Il peut également être supprimé, mais il reviendra après la mise à jour du modèle si vous n'utilisez pas .

    En conclusion, je voudrais noter, pour ne pas attraper de virus sur le site :

    • Le code malveillant sur WordPress est souvent accompagné de thèmes et de plugins. Par conséquent, n'installez pas de modèles et de plugins à partir de ressources « de gauche », non vérifiées, et si vous le faites, vérifiez soigneusement la présence de liens et de fonctions exécutives de PHP. Après avoir installé des plugins et des thèmes à partir de ressources « illégales », vérifiez le site avec un logiciel antivirus.
    • Assurez-vous de faire des sauvegardes périodiques et d’en effectuer d’autres.

    ARTICLES LIÉS