WordPress je najpopulárnejší nástroj na vytváranie rôznych informačných webových stránok a blogov. Bezpečnosť vašich webových stránok je viac ako bezpečnosť vašich údajov. Je to oveľa dôležitejšie, pretože ide aj o bezpečnosť všetkých používateľov, ktorí čítajú váš zdroj a dôverujú mu. Preto je také dôležité, aby stránka nebola infikovaná vírusmi alebo iným škodlivým kódom.
Na to, ako ochrániť WordPress pred hackovaním, sa pozrieme v jednom z nasledujúcich článkov a teraz vám chcem povedať, ako skenovať web WordPress na vírusy a škodlivý kód, aby ste sa uistili, že je všetko v bezpečí.
Úplne prvá možnosť, ktorá vám napadne, je, že vás napadli hackeri a zabudovali ste ich zadné vrátka do kódu vašej stránky, aby ste mohli posielať spam, vkladať odkazy a iné zlé veci. Niekedy sa to stáva, ale je to dosť zriedkavé, ak aktualizujete softvér včas.
Existujú tisíce bezplatných tém a doplnkov WordPress, a to je tá hrozba. Jedna vec je, keď si stiahnete šablónu zo stránky WordPress, a iná, keď ju nájdete na ľavej stránke. Bezohľadní vývojári môžu do svojich produktov vkladať rôzne škodlivé kódy. Riziko je ešte väčšie, ak si zadarmo stiahnete prémiové šablóny, kde si hackeri môžu pokojne pridať nejakú bezpečnostnú dieru, cez ktorú potom preniknú a urobia si, čo potrebujú. To je dôvod, prečo je také dôležité kontrolovať webovú stránku wordpress, či neobsahuje vírusy.
Kontrola vírusov na stránke wordpress
Prvá vec, na ktorú sa treba obrátiť pri kontrole webových stránok na prítomnosť vírusov, sú doplnky WordPress. Rýchlo a jednoducho môžete prehľadávať svoje stránky a nájsť podozrivé časti kódu, ktoré sa oplatí hľadať, či už sú v téme, doplnku alebo samotnom jadre Wodpress. Poďme sa pozrieť na niektoré z najpopulárnejších doplnkov:
1. TOC
Tento veľmi jednoduchý doplnok kontroluje všetky motívy nainštalované na vašom webe na prítomnosť škodlivého kódu. Doplnok zisťuje skryté odkazy zašifrované vložením kódu base64 a zobrazuje aj podrobné informácie o nájdených problémoch. Nájdené časti kódu väčšinou nie sú vírusy, ale môžu byť potenciálne nebezpečné, takže by ste im mali venovať pozornosť.
Sprístupniť "vzhľad" -> "TAC" potom počkajte, kým sa overia všetky vlákna.
2. VIP skener
Veľmi podobný skeneru tém TOC, ale zobrazuje podrobnejšie informácie. Rovnaké možnosti na zisťovanie odkazov, skrytého kódu a iných škodlivých vložení. Stačí otvoriť položku VIP Scaner v sekcii nástrojov a analyzovať výsledok.
Možno stačí vymazať nepotrebné súbory, napríklad desktop.ini. Alebo sa musíte podrobnejšie pozrieť na to, čo sa deje v súboroch pomocou base64.
3. Anti-Malware z GOTMLS.NET
Tento plugin umožňuje nielen skenovať témy a jadro stránky na vírusy, ale aj chrániť stránku pred heslami hrubou silou a rôznymi XSS, SQLInj útokmi. Vyhľadávanie sa vykonáva na základe známych podpisov a zraniteľností. Niektoré slabé miesta je možné opraviť na mieste. Ak chcete spustiť skenovanie súborov, otvorte "Anti-malvare" v bočnom menu a kliknite "Spustiť skenovanie":
Pred spustením kontroly sa musia aktualizovať databázy podpisov.
4. Wordfence
Je to jeden z najpopulárnejších doplnkov na ochranu WordPress a skenovanie škodlivého softvéru. Okrem skenera, ktorý dokáže nájsť väčšinu záložiek v kóde WordPress, má neustálu ochranu pred rôznymi typmi útokov a hrubým vynucovaním hesiel. Plugin počas vyhľadávania nájde možné problémy s rôznymi pluginmi a témami, informuje vás o potrebe aktualizácie WordPress.
Otvorte kartu "WPDefence" v bočnej ponuke a potom prejdite na kartu "Skenovať" a stlačte "Spustiť skenovanie":
Skenovanie môže chvíľu trvať, ale po dokončení uvidíte podrobnú správu o zistených problémoch.
5. Antivírus
Toto je ďalší jednoduchý doplnok, ktorý naskenuje šablónu vašej webovej stránky na škodlivý kód. Nevýhodou je, že sa skenuje len aktuálna šablóna, no informácie sú zobrazené dostatočne podrobne. Uvidíte všetky nebezpečné funkcie, ktoré sú v téme a následne si môžete podrobne rozobrať, či predstavujú nejaké nebezpečenstvo. Nájdite položku "antivírus" v nastaveniach a potom kliknite "Skenovať šablóny tém teraz":
6. Kontrola integrity
Je tiež vhodné skontrolovať integritu súborov WordPress, v prípade, že sa vírus už niekde zaregistroval. Na tento účel môžete použiť doplnok Integrity Checker. Kontroluje zmeny vo všetkých súboroch jadra, doplnkov a šablón. Na konci kontroly sa zobrazia informácie o zmenených súboroch.
Online služby
Existuje aj niekoľko online služieb, ktoré vám umožňujú skontrolovať, či sa na vašom webe vo wordpresse nenachádzajú vírusy, alebo skontrolovať len šablónu. Tu sú niektoré z nich:
themecheck.org- stiahnete si archív tém a môžete sledovať všetky upozornenia na možné škodlivé funkcie, ktoré sa v ňom používajú. Môžete vidieť nielen informácie o svojej téme, ale aj o iných témach nahraných inými používateľmi, ako aj o rôznych verziách témy. Všetko, čo pluginy nájdu, môže nájsť aj túto stránku. Overenie vašej wordpressovej témy je tiež veľmi dôležité.
virustotal.com je známy zdroj, kde môžete skontrolovať, či sa na vašej webovej lokalite alebo v súbore šablóny nenachádzajú vírusy.
ReScan.pro- Kontrola stránok WordPress na prítomnosť vírusov pomocou tejto služby je bezplatná, vykonáva sa statická a dynamická analýza na zistenie možných presmerovaní, skener otvorí stránky stránky. Kontroluje stránku podľa rôznych zoznamov zakázaných položiek.
sitecheck.sucuri.net- jednoduchá služba na skenovanie stránok a tém na prítomnosť vírusov. Existuje plugin pre WordPress. Detekuje nebezpečné odkazy a skripty.
Manuálna kontrola
Nič nemôže byť lepšie ako manuálne overenie. Linux má skvelú pomôcku grep, ktorá vám umožňuje vyhľadávať výskyty ľubovoľných riadkov v priečinku so súbormi. Zostáva pochopiť, čo budeme hľadať:
eval - táto funkcia vám umožňuje spúšťať ľubovoľný php kód, nepoužívajú ju sebarešpektujúce produkty, ak niektorý z pluginov alebo téma používa túto funkciu s takmer stopercentnou pravdepodobnosťou, môžeme povedať, že je tam vírus;
- base64_decode- šifrovacie funkcie môžu byť použité v spojení s eval na skrytie škodlivého kódu, ale môžu byť použité aj na mierové účely, takže buďte opatrní;
- sha1- iný spôsob šifrovania škodlivého kódu;
- gzinflate- kompresná funkcia, rovnaké ciele, spolu s eval, napr. gzinflate (base64_decode (kód);
- strrev- prevráti reťazec dozadu, nie dopredu, ako voliteľnú možnosť je možné použiť primitívne šifrovanie;
- vytlačiť- výstup informácií do prehliadača spolu s gzinflate alebo base64_decode je nebezpečný;
- file_put_contents- Samotný WordPress alebo doplnky môžu stále vytvárať súbory v súborovom systéme, ale ak to robí téma, mali by ste sa mať na pozore a skontrolovať, prečo to potrebuje, aby sa mohli nainštalovať vírusy;
- file_get_contents- vo väčšine prípadov sa používa na mierové účely, ale dá sa použiť na stiahnutie škodlivého kódu alebo čítanie informácií zo súborov;
- zvlniť- ten istý príbeh;
- fopen- otvorí súbor na zápis, nikdy neviete prečo;
- systém- funkcia vykoná príkaz v systéme Linux, ak to robí samotná téma, plugin alebo wordpress, s najväčšou pravdepodobnosťou je tam vírus;
- symbolický odkaz- vytvára v systéme symbolické odkazy, je možné, že vírus sa snaží sprístupniť hlavný súborový systém zvonku;
- kopírovať- skopíruje súbor z jedného miesta na druhé;
- getcwd- vráti názov aktuálneho pracovného adresára;
- cwd- zmení aktuálny pracovný priečinok;
- ini_get- dostáva informácie o nastaveniach PHP, často na mierové účely, ale nikdy neviete;
- error_reporting (0)- zakáže výstup akýchkoľvek chybových hlásení;
- window.top.location.href- funkcia javascript používaná na presmerovanie na iné stránky;
- hacknutý- tak, pre každý prípad, skontrolujeme, zrazu sa nám to sám hacker rozhodol povedať.
Každé jednotlivé slovo môžete v príkaze nahradiť takto:
grep -R "hacknutý" / var / www / cesta / k / súborom / wordpress / wp-content /
Prípadne použite jednoduchý skript, ktorý vyhľadá všetky slová naraz:
hodnoty = "base64_decode (
eval (base64_decode
gzinflate (base64_decode (
getcwd ();
strrev (
chr (ord (
cwd
ini_get
window.top.location.href
kopírovať (
eval (
systém (
symbolický odkaz (
error_reporting (0)
vytlačiť
file_get_contents (
file_put_contents (
fopen (
hacknutý "
cd / var / www / cesta / k / súborom / wordpress / wp-content /
$ fgrep -nr --include \ *. php "$ values" *
Dnes mi Yandex.Webmaster dal nejaké nepríjemné správy týkajúce sa jedného z mojich zdrojov. Správa informovala, že na stránkach stránky sa našiel škodlivý kód, ktorý môže byť nebezpečný pre počítače návštevníkov. Pri otváraní stránok lokality nemôže škodlivý kód viesť k nežiaducim následkom pre používateľa: infekcia počítača vírusmi, neoprávnené použitie jeho zdrojov, poškodenie a dokonca aj krádež osobných údajov.
(N.A. včasná aktualizácia verzie prehliadača zvýši bezpečnosť internetu)
Otázka, ako a odkiaľ sa na stránke vzal škodlivý kód, bola hlavnou otázkou, na ktorú som potreboval dostať odpoveď. Zdroj si predsa administrujem sám, heslo pre FTP prístup mám len ja a nie sú ľudia, ktorí by chceli na stránkach robiť zmeny.
Začal som si pamätať, aké zmeny a z ktorého počítača boli v súvislosti s touto stránkou nedávno vykonané a pamätal som si to.
Pred niekoľkými dňami sa objavila požiadavka cez FTP prístup z počítača, ktorý mal zastaranú antivírusovú databázu. Bol to pracovný počítač, z ktorého teraz píšem tento príspevok.
Stiahol som si tridsaťdňovú skúšobnú verziu antivírusového programu a skontroloval systém. V skutočnosti sa ukázalo, že obsahuje niekoľko súborov infikovaných trójskym koňom. Neskôr moje zistenia potvrdila podporná služba poskytovateľa hostingu a vývojári antivírusového softvéru.
Po zistení, lokalizácii a odstránení príčiny infekcie bolo možné pristúpiť k ďalšej fáze a odstrániť škodlivý kód zo stránky. Chcem zdôrazniť, že najdôležitejšie je zistiť zdroj nákazy a až potom odstraňovať následky. Tým sa zníži pravdepodobnosť opätovného výskytu problému a v niektorých prípadoch bez odstránenia zdroja nie je liečba miesta vôbec možná.
Škodlivý kód na stránke obsahoval nasledujúci skript:
Tento skript bol umiestnený na konci každej stránky medzi značky