Kuinka tarkistaa malli haitallisen koodin varalta. Toipuminen tai hoito. Erikoistuneet virustorjuntaohjelmat WordPressille

WordPress-alusta on saamassa yhä enemmän suosiota bloggaajien keskuudessa kätevän ja nopea prosessi verkkosivuston luominen ja hallinta. Erikseen on syytä huomata suuri määrä tähän järjestelmään on saatavilla ilmaisia ​​laajennuksia ja widgetejä. Tämän alustan pohjalta voit rakentaa tavallisen blogin lisäksi myös kokonaisen verkkokaupan, uutisportaalin tai verkkoelokuvan.

Useimmissa tämän ilmaisen sisällönhallintajärjestelmän varaan rakennetuissa Web-sivustoissa on kuitenkin tiettyjä tietoturva-aukkoja. WordPress-kehittäjät yrittävät tietysti sulkea ne nopeasti ja julkaista päivityksiä paitsi itse alustalle myös vakioteemoja ja laajennuksia. Aina ei kuitenkaan ole mahdollista suojautua hakkeroinnilta.

Alustan virallisilla verkkosivuilla esitellyn viimeisimmän tutkimuksen perusteella saa selkeän käsityksen tartuntamekanismeista, sillä WordPressille rakennettu sivusto voidaan hakkeroida pääasiassa kolmannen osapuolen lisäosien tai muokattujen teemojen kautta.

Useimmat kokemattomat Web-järjestelmänvalvojat joutuvat hakkerointiin paniikkiin ja tekevät peruuttamattomia virheitä, jotka voivat johtaa koko tietokannan tai tiedostojen menettämiseen. Tässä artikkelissa yritämme kertoa sinulle kuinka "parantaa" Web-sivusto ja palauttaa se tilaan, jossa se oli ennen hakkerointia.

Varmuuskopioida

On kaksi tapaa Varakopio Verkkosivusto: kopiointi lähdetiedostot ja kopioida tietokanta (DB). WordPressille on olemassa vakio työkalu varmuuskopiointia varten, mutta se luo vain kopion tietokannasta.

Tiedostojen varmuuskopiointiin voit käyttää kolmannen osapuolen laajennuksia tai täysin automaattista varmuuskopiointia, jonka työkalut ovat yleensä saatavilla isännöinnistä. Täydellisen varmuuskopion luominen tietyllä aikataululla ei ole kovin vaikeaa, mutta myöhemmin tämä prosessi voi säästää järjestelmänvalvojan hermoja ja säästää huomattavasti aikaa. Jos et voi määrittää täydellistä tietojen varmuuskopiointimekanismia itse, on erittäin suositeltavaa, että otat yhteyttä isännöitsijään ongelman ratkaisemiseksi tärkeä asia. Aloittelevia Web-järjestelmänvalvojia voidaan neuvoa suorittamaan manuaaliset varmuuskopiot säännöllisesti.

Jos kopio sivustosta ja tietokannasta on tallennettu flash-asemaan, tämä on sataprosenttinen takuu, että voit helposti palauttaa Web-sivuston milloin tahansa.

Toipuminen tai hoito

Lähes kaikki Web-sivustot on suunniteltu tuottamaan tuloja omistajalleen. Tästä syystä Web-sivuston pakollinen vaatimus on toimia 24x7 (24 tuntia vuorokaudessa, 7 päivää viikossa) ja teknisten töiden ajaksi minimaaliset seisokit.

Siksi, jos Web-sivusto on saanut tartunnan, järjestelmänvalvojat pyrkivät palauttamaan tiedot varmuuskopioista mahdollisimman nopeasti. Mutta koska ongelma ei poistu ja Web-sivustossa on edelleen "aukko" turvajärjestelmässä, toinen hakkerointi tapahtuu hyvin pian, eikä se vie hyökkääjältä paljon aikaa.

Tämä tilanne toistuu yhä uudelleen, etenkin suosituilla verkkosivustoilla, joten oikea ratkaisu ongelmaan olisi sulkea haavoittuvuus välittömästi. Jos rajoitat vain Web-sivuston jatkuvaan palauttamiseen, voit menettää kaikki ilmaisimet hakukoneissa ja jopa joutua niiden suodattimen alle haittaohjelmien leviämisen vuoksi.

Kuinka tunnistaa haittaohjelmat

Mistä voit kertoa, jos verkkosivusto on hakkeroitu, ja tunnistaa ensimmäiset infektion oireet? Itse asiassa se on hyvin yksinkertaista, liikennetilastojen epäonnistuminen, uudelleenohjaukset tuntemattomille Web-sivustoille, liiallinen liikenteen kulutus - kaikki nämä ovat merkkejä tartunnasta ja haitallisten linkkien esiintymisestä, jotka alentavat resurssin luokitusta. Puhumattakaan ilmeisistä tilanteista, joissa Yandexin tai Googlen hakutuloksissa näkyy merkki, joka osoittaa, että Web-sivustosi on "tartunnan saanut".

Kun vierailet tartunnan saaneella sivustolla Opera-, Chrome- tai Firefox-selaimissa, näyttöön tulee varoitusikkuna tartunnan saaneesta resurssista, koska näillä selaimilla on omat perustansa tartunnan saaneiden sivustojen tunnistamiseen. Paikallinen virustorjunta voi loppujen lopuksi määrittää, että Web-sivusto on saanut tartunnan, kun näet viestin, kun yrität siirtyä sisäisiltä sivuilta toiselle. Saattaa käydä ilmi, että sivusto on hakkeroitu ja sitä käytetään lähettämiseen mainosroskapostia. Voit ottaa selvää tästä, kun saat ilmoituksia aiheesta massapostitus roskapostia.

Mitä tällaisissa tilanteissa pitäisi tehdä? Ensin sinun on määritettävä, missä virus tai mainoslinkki piiloutuu ja miten ne pääsivät sivustolle, koska sivuston teemat, tietokanta tai ydin voivat olla "tartunnan saaneita".

Yksinkertaisin, mutta myös eniten pitkä matka viruksen etsiminen on yrittää seurata tiedostojen muokkauspäiviä. Oletetaan, että suurimmalla osalla tärkeimpien hakemistojen tiedostoista (wp-includes, wp-admin jne.) on sama luontipäivämäärä, mutta yksi tai kaksi tiedostoa on myöhemmin. Tarkista nämä tiedostot ja vertaa niitä WordPress-jakelun tiedostoihin. Voit myös vertailla tiedostoja koon mukaan Koko ohjelma Komentaja. Jäljelle jää vain sisällön vertailu epäilyttäviä tiedostoja ja selvittää, mitä varten löydetyt ylimääräiset koodinpalat ovat.

Kuinka tarkistaa renderöity HTML-koodi

Ehkä jostain syystä et pystynyt havaitsemaan ongelmaa yllä kuvatulla menetelmällä. Sitten voit yrittää löytää tartunnan lähteen toisella tavalla.

Sinun on avattava "tartunnan saanut" verkkosivusto selaimessa (mieluiten Opera tai Firefox) ja valittava kontekstivalikko kohde "Näytä lähde sivusto ". Jos tiedät HTML:n, pystyt todennäköisesti havaitsemaan epäilyttäviä rivejä. Nämä voivat olla tuntemattomia linkkejä sivustoille, "pakatun" tai salatun (base64) koodin paloja tai se voi olla tuntematon Javascriptin fragmentti, joka todennäköisesti myös salattu. Selvitä, että se löytyy fragmentin koodissa olevalla eval-komennolla. Tämä tarkoittaa yleensä sitä, että joku yritti piilottaa todellisen. Javascript-koodi, jonka pitäisi herättää epäilyksiä. Kuvassa 1 on esimerkki epäilyttävästä koodista.

Riisi. 1 fragmentti epäilyttävästä HTML-koodista

Muuten, jos verkkosivusto käyttää ilmaista mallia kolmannen osapuolen valmistajalta, tällä menetelmällä voit löytää mallin tekijöiden upotettuja mainoslinkkejä. Yleensä tällaiset linkit ovat vaarattomia, ts. eivät ole viruksia. Ne voivat kuitenkin vaikuttaa kielteisesti Web-sivuston sijoitukseen hakukoneissa ja ohjata liikennettä kolmannen osapuolen resurssiin.

Jos verkkosivustojen sivuilla olevaa haitallista koodia ei voida havaita yllä kuvatuilla menetelmillä, voit käyttää kolmannen osapuolen verkkotyökaluja. Voit esimerkiksi asettaa WordPress-laajennus Hyödynnä Scanneria, joka tarkistaa säännöllisesti verkkosivuston ja havaitsee haittaohjelmat. Laajennus tarjoaa yksityiskohtaisen raportin ja korostaa rivit, jotka tulee poistaa myöhemmin.

Lisäksi voit skannata Web-sivuston online-skannerilla Sucuri SiteCheck - tämä palvelu on täysin ilmainen, ja maksua vastaan ​​voit tilata resurssin täydellisen käsittelyn.

Kuinka tarkistaa laajennukset ja teemat haitallisen koodin varalta

Teemojen osalta voit manuaalisesti jäljittää niissä olevaa haitallista koodia tai asentaa TAC-laajennuksen, joka toimii teematiedostojen kanssa ja tarkistaa, onko niissä ylimääräisiä linkkejä ja viruskoodia. Tämän laajennuksen avulla voit tarkistaa sekä jo asennetut teemat että uudet.

On erittäin helppoa havaita viruksen esiintyminen teemassa tai laajennuskoodissa. Jos aktiivinen teema perustuu johonkin virallisista teemoista, sinun tarvitsee vain verrata alkuperäinen koodi tarkistettavan aiheen koodilla. Lataa tätä varten oletusteema, joka sisältyy WordPress-jakeluun, vaihda sen nimi ja vaihda suunnittelu siihen. Jäljelle jää vain tarkistaa palvelimen luoma HTML-koodi viruksen varalta, ja jos se havaitaan, ongelma ei selvästikään ole tässä.

Jos aktiivisista teematiedostoista löytyi haitallista koodia ja ne on asennettu, mutta niitä ei aktivoitu lisäaiheita, sinun on tarkistettava jokainen niistä, koska ehkä virus saastuttaa tiettyjä tiedostoja teemahakemistosta. On parasta käyttää vain yhtä teemaa ja poistaa kaikki passiiviset.

Virusten löytäminen laajennuskoodista ei myöskään ole erityisen vaikeaa. Sinun tulee jatkuvasti poistaa laajennukset käytöstä ja tarkistaa luotu HTML-koodi. Näin voit tunnistaa tartunnan saaneen laajennuksen, poistaa sen ja asentaa sen uudelleen säilytyspaikasta.

Parhaat tavat suojata Wordpress-laajennuksia ja teemoja:

  • lataa ja asenna teemoja ja laajennuksia vain luotettavilta verkkosivustoilta;
  • älä käytä "hakkeroituja" maksullisia laajennuksia ja teemoja;
  • poista käyttämättömät laajennukset ja teemat;
Kuinka löytää haitallinen koodi WordPressin ydintiedostoista

Jos olet tarkistanut lisäosat ja teemat, mutta et silti pysty määrittämään tartunnan lähdettä, se saattaa sijaita suoraan WordPressin ydintiedostoissa. Ytimen tartunta voi tarkoittaa, että hyökkääjä pääsi sivuston järjestelmänvalvojaan arvaamalla tai sieppaamalla salasanan päästäkseen Web-sivustoon FTP:n kautta.

Tarkista ensin virusten varalta tietokone, josta käytit Web-sivuston FTP- tai hallintaliittymää. Salasana on saatettu varastaa tietokoneeltasi troijalaisen viruksen avulla, joka välitti luottamuksellisia tietoja hyökkääjälle.

Usein hyökkääjät upottavat uudelleenohjauskoodeja .htaccess-tiedostoon, salattuja linkkejä haitallisiin komentosarjoihin, jotka sijaitsevat etäpalvelimet, joten sinun on ensin verrattava tätä tiedostoa jakelun alkuperäiseen tiedostoon. Erityistä huomiota tulee kiinnittää seuraaviin linjoihin:

RewriteCond %(HTTP_REFERER) .*yandex.* RewriteRule ^(.*)$ http://unknownsite.com/

Jos tällaisia ​​rivejä löytyy, älä poista niitä heti. Pyydä ensin palveluntarjoajaltasi lokit .htaccess-tiedoston likimääräisten muutosten ajalta ja analysoi, mistä IP-osoitteesta tämä tiedosto lähetettiin ja milloin. On mahdollista, että muita tiedostoja on muutettu samaan aikaan.

Jos vain tämä tiedosto on muutettu, sinun tulee vaihtaa FTP:n ja järjestelmänvalvojan käyttöliittymän salasanat. Jos muutoksia havaittiin myös *.php-, *.html-tiedostoissa, niin todennäköisesti sivustolle ladattiin PHP-skripti, jonka kautta hyökkääjä pääsi käsiksi kaikkiin saatavilla oleviin tietoihin.

Tämäntyyppisten uhkien estäminen on melko yksinkertaista eikä vaadi erityisiä kustannuksia. On tärkeää muistaa seuraavat säännöt:

  • älä tallenna salasanoja FTP-hallintaohjelmiin tai sähköpostiviesteihin;
  • päivittää säännöllisesti WordPressin ydin;
  • päivitä laajennuksia ja teemoja;
  • Älä käytä yksinkertaisia ​​salasanoja.

On täysin mahdollista, että noudatit alun perin kaikkia näitä sääntöjä, ja pointti ei ole Web-sivuston haavoittuvuus, vaan itse palvelimen, jolla resurssi sijaitsee, riittämätön suojaus. Tällaisissa tapauksissa lähetä yksityiskohtainen kuvaus ongelmasta osoitteeseen tekninen tuki isännöintipalveluntarjoaja ja työskentele yhdessä löytääksesi ratkaisun ongelmaan.

Kuinka löytää haitallinen SQL-injektio WordPressissä

Olemme siis jo tarkastelleet erilaisia ​​tapoja tartuttaa ja desinfioida Web-sivusto, joka perustuu ilmaiseen CMS WordPressiin. Mutta yksi suosituimmista tunkeutumis- ja hakkerointimenetelmistä on SQL-injektio (sql-injektio). Tämä tartuntatapa perustuu tietokantapyynnön laatimiseen, jossa järjestelmänvalvojan käyttöliittymän salasana varastetaan tai saadaan muuta luottamuksellista tietoa. WordPressin osalta voimme sanoa, että tällä hetkellä tiedossa Viimeisin päivitys"aukot" tietokannan turvajärjestelmässä ja kyselyjen suodatuksessa on poistettu.

Suojautuaksesi verkkosivustojen hakkeroimiselta SQL-injektion avulla sinun tulee valita lisäosat huolellisesti, koska ne toimivat tietokannan kanssa, ja siksi riittämättömästi tunnollinen kehittäjä voi jättää porsaanreiän hyökkääjille. Ehkä jotkut ilmaiset laajennukset integroivat tarkoituksella tällaisen piilotetun tulon. Kun valitset laajennuksen, sinun on ohjattava paitsi sen ominaisuudet, myös sen suosio sekä tehtyjen asennusten määrä. Kannattaa myös tutustua kehittäjän sivulle jätettyihin arvosteluihin. Jos sinulla on pienintäkään epäilystä, tai löytää negatiivinen arvostelu turvallisuuden suhteen on parempi olla riskeeraamatta ja asentaa toinen laajennus, jolla on samanlaiset toiminnot.

Useimmat sisällönhallintajärjestelmät on rakennettu siten, että käyttäjä, jolla on vain vähän ohjelmointitaitoja, voi asentaa sen, määrittää sen, ottaa käyttöön jonkin ehdotetuista suunnittelutyypeistä ja alkaa täyttää Web-sivustoa tarvittavilla tiedoilla. Siksi Web-sivustot ovat usein kokemattomien järjestelmänvalvojien käsissä, jotka eivät voi tunnistaa tällaista tunkeutumista SQL-injektion avulla.

Mutta aiemmin mainittu WordPress Exploit Scanner -laajennus voi toimia myös tietokannan kanssa, ja joissain tapauksissa se löytää tietokantaan upotettuja vieraita toimintoja. Sinun tarvitsee vain poistaa se manuaalisesti käyttämällä erityisiä SQL-komentoja tietokannan hallintaohjelmassa PHPMyAdmin tiedot. Tällaiset toimenpiteet on suoritettava erittäin huolellisesti, koska virheellinen kysely tai komento voi vahingoittaa tietokannan rakennetta tai sisältöä. Jotta näin ei tapahdu, sinun tulee huolehtia tietokannan varmuuskopioiden luomisesta etukäteen. Muuten, Exploit Scanner itse voi tarjota suosituksia SQL-kyselyjen korjaamiseen.

Käytännöllisiä tapoja suojata sivustoille rakennettuja WordPress pohjainen

Löydät Internetistä paljon neuvoja ilmaisella CMS WordPressillä toimivan verkkosivuston suojaamiseen ja suojaamiseen. Alla on luettelo tehokkaimmista suosituksista:

  • Sinun tulee muuttaa ja koskaan käyttää vakionimiä käyttäjille, joilla on järjestelmänvalvojan oikeudet, esimerkiksi admin, administrator jne.;
  • on tarpeen asentaa captcha, mikä vähentää merkittävästi hakkeroinnin riskiä raa'alla pakottamalla salasanoja;
  • Hallintaliittymään pääsemiseksi on käytettävä vähintään 8-10 merkin pituista monimutkaista aakkosnumeerista salasanaa;
  • Salasanaa ei pidä tallentaa verkkoselaimeen, tekstitiedostoihin jne., offline-tallennus paperille on paljon luotettavampaa;
  • Sinun on myös suojattava postilaatikon salasana, joka määritettiin WordPressin asennuksen yhteydessä;
  • Suorita säännölliset varmuuskopiot manuaalisesti tai käyttämällä erityisiä laajennuksia tai kolmannen osapuolen ohjelmia, ja tuloksena olevat varmuuskopiot on säilytettävä useissa paikoissa;
  • älä asenna laajennuksia tuntemattomista lähteistä, hakkeroituja maksullisia laajennuksia ja teemoja;
  • sinun tulee asentaa lisäosat, jotka vastaavat tiedostojen ja tietokantojen turvallisuudesta WordPress-tiedot ja tarkista säännöllisesti sivuston tila virustorjuntaohjelmalla;
  • päivitä ydin, laajennukset ja teemat ajoissa (muista tehdä täydellinen varmuuskopio ennen jokaista päivitystä);
  • admin.php-tiedosto tulee nimetä uudelleen, jotta sen tunnistaminen olisi vaikeaa;
  • rekisteröi verkkosivustosi Yandexiin tai Googleen ollaksesi tietoinen sivuston turvallisuuteen ja indeksointiin liittyvistä ongelmista;
  • sinun on tarkistettava hakemistojen käyttöoikeudet ja WordPress-tiedostoja: hakemistojen oikeudet on asetettu arvoon 755, kaikille tiedostoille 644, erikseen wp-content-hakemistolle oikeuksien tulisi olla 777;
  • jos käyttäjiä ei tarvitse rekisteröidä, on parempi poistaa tämä toiminto kokonaan käytöstä;
  • Voit myös poistaa kommentointimahdollisuuden käytöstä ja jättää vain lomakkeen kommentointia varten sosiaalisten verkostojen kautta;
  • sinun tulee poistaa juurihakemistossa oleva readme.htm-tiedosto, joka tallentaa tiedot asennetusta WordPress-versiosta (tämä tulee tehdä jokaisen CMS-päivityksen jälkeen);
  • Myös maininta käyttämästäsi WordPress-versiosta tulee poistaa functions.php-tiedostosta lisäämällä rivi: remove_action("wp_head", "wp_generator");
Mitä tehdä, jos ongelmaa ei vieläkään voida ratkaista?

Ei ole toivottomia tilanteita. Saattaa näyttää siltä, ​​että olet kokeillut ehdottomasti kaikkia neutralointimenetelmiä. viruskoodi tai piilomainoslinkkejä. On mahdollista, että sivusto on lakannut toimimasta epäonnistuneen virushoidon vuoksi, etkä voi enää palauttaa sitä. Älä vaivu epätoivoon, vaan yritä ottaa yhteyttä asiantuntijoihin, jotka maksua vastaan ​​auttavat sinua palauttamaan Web-sivustosi ja antavat neuvoja sen turvallisuuden ja suorituskyvyn parantamiseksi. Voit kirjoittaa WordPressin tekniseen tukeen ja etsiä vastauksen WordPress Codex tai kysy virallisella foorumilla.

Jos pääsit eroon viruksista, määritit turvallisuudesta vastaavat laajennukset oikein, vaihdoit salasanat ja jonkin ajan kuluttua tilanne toistui uudelleen, sinun kannattaa harkita isännöintipalveluntarjoajan vaihtamista. Todennäköisimmin palvelimet, joilla Web-sivusto sijaitsee, ovat huonosti suojattuja tai ne on määritetty väärin.

Johtopäätös

Suurin osa esitetyistä vinkeistä säilyy ajankohtaisina hyvin pitkään, koska ne eivät koske vain WordPressiä, vaan kaikkia Web-sivustoja käytetystä alustasta riippumatta. Internet kehittyy nopeasti, uusia päivityksiä tulee jatkuvasti ja uusia viruksia kirjoitetaan, tietoturva-aukot CMS:ssä ja eri palveluissa korjataan. Pysy ajan tasalla, päivitä ja päivitä Web-sivustosi säännöllisesti, niin voit välttää tällaiset hätätilanteet.

Yhtenä yleisimmin käytetyistä verkkosisällön julkaisualustoista WordPress on usein saastuttanut haittaohjelmia, troijalaisia ​​viruksia, haitallista koodia ja muita vaarallisia asioita. On olemassa useita käytännön oppaita, jotka liittyvät WordPress-tietoturvaan ja sivustosi puhdistamiseen haittaohjelmilta (haitallinen koodi). Tämä aihe on niin tärkeä ja tärkeä verkkosivustojen omistajille, että ei ole mitään väärää palata sen keskusteluun uudestaan ​​​​ja uudestaan.

Aloittelijat, jotka ovat juuri aloittaneet erillisen sisällönhallintajärjestelmän käytön omalla verkkopalvelimellaan, joutuvat paniikkiin, kun he törmäävät sivustollaan haittaohjelmiin ensimmäistä kertaa. Yrittessään palauttaa sivustonsa he sallivat lisävirheitä, joka usein johtaa täydellinen menetys tiedostot ja tärkeät tiedot. Tässä artikkelissa opimme löytämään, tunnistamaan ja poistamaan haittaohjelmat oikein, jotta et vahingoita tietojasi ja sivuston päätiedostoja.

Tee varmuuskopiot sivustostasi

Ennen kuin siirrymme keskustelemaan haittaohjelmista ja hakkeroiduista WordPress-sivustoista, on tärkeää keskustella sivustosi tietojen varmuuskopioiden luomisesta. Jos olet uusi WordPressin avulla ja olet vakavasti sitoutunut julkaisemaan verkkosisältöä, niin ensimmäinen asia, joka sinun tulee tehdä, on nopeasti hallita varmuuskopioiden luontitaito.

Sivustosi säännöllisten varmuuskopioiden tulee sisältää paitsi sivuston tietokanta myös kaikki päätiedostot. Tämä prosessi ei vie edes muutamaa minuuttia, mutta se säästää paljon aikaa ja hermoja tulevaisuudessa ja estää sinua useilta vakavilta ongelmilta. Suosittelen Backup Buddya, Cloudsafe365:tä ja VaultPressiä ensiluokkaisina ratkaisuina rutiinivarmuuskopiointiin ja tietojen palauttamiseen niistä tarvittaessa. Tähän tarkoitukseen on myös ilmaisia ​​laajennuksia, kuten WP-DBManager ja opas manuaalisten varmuuskopioiden luomiseen.

Pitäisikö minun palauttaa sivusto vai etsiä haittaohjelmia siitä?

Jos käytät varmuuskopiointipalvelua, kuten Backup Buddy tai VaultPress, sinulla on mahdollisuus palauttaa sivustosi useammille varhainen versio. Uskon kuitenkin, että tämä ei ole kaikkein eniten paras idea. Sivuston palauttaminen tutkimatta epäonnistumisen syitä ja haittaohjelmien poistaminen voi johtaa siihen, että sivustollasi on edelleen haavoittuvuuksia. Siksi paras tapa olisi löytää haavoittuvuus, korjata se ja palauttaa sitten sivuston tila.

Haittaohjelmien esiintymisen määrittäminen sivustolla

Haittaohjelmat ovat tyypillisesti sivustollasi olevaa haitallista sisältöä, joka lisätään sivustoon lisäämällä koodia sivuston sivuille, teemoihin, laajennuksiin, tiedostoihin tai tietokantaan. Tämä koodi saattaa sisältää ohjelmistoja, jotka vahingoittavat sivustollasi vierailevien käyttäjien tietokoneita, muita verkkosivustoja ja oman sivustosi sisäisiä kehyksiä. Paljon erilaisia ​​tekniikoita Haitallisen koodin lisäämistä käytetään hyökkäyksiin WordPress-sivustoja vastaan.

Tarkistetaan käsiteltyä HTML-koodia

Voimme aloittaa haittaohjelmien etsimisen etsimällä, missä ja miten haitallinen koodi laukeaa verkkosivustollasi.

  • Onko tämä koodi kaikilla sivuilla?
  • Näkyykö se vain tietyillä sivuilla vai tietyissä viesteissä?
  • Mistä haitallinen koodi oikein on peräisin? Lisätäänkö se alatunnisteeseen, sivuston ylätunnisteeseen, pääsisältöön vai sivuston sivupalkkeihin?

Vastaukset näihin kysymyksiin auttavat sinua päättämään, mitkä sivuston tiedostot tulisi tarkistaa ensin.

Tarkistamme laajennuksesi ja teemasi haitallisen koodin varalta

Verkkosivuston teemoja ja laajennuksia vastaan ​​hyökätään useimmiten. Voit aloittaa tarkistamalla teematiedostosi haitallisen koodin varalta. Jos teemakansiossasi on useampi kuin yksi suunnitteluteema, sinun tulee tarkistaa kaikki teemat, myös ne Tämä hetki epäaktiivinen.

Lisää yksinkertaisella tavalla Testi on ladata varmuuskopio teemakansiostasi ja poistaa kaikki teemat verkkopalvelimelta. Lataa sitten uusi kopio oletusteemasta ja isännöi sitä verkkopalvelimellasi. Tarkista nyt verkkosivustosi: jos haitallinen koodi on poissa, se tarkoittaa, että se oli kaikki yhdessä teematiedostoista. Voit nyt puhdistaa vanhan teemasi avaamalla tiedostot manuaalisesti editorissa ja vertaamalla "puhtaan" teeman koodia ja teemaasi mahdollisten outojen tai epäilyttävien koodien sisällyttämisen varalta. Voit myös ladata uuden kopion teemasta kehittäjien sivustolta.

Oletetaan, että olet käynyt läpi kaikki tiedostot ja aiheet etkä löytänyt niistä haitallista koodia. Sitten seuraava askel- etsi laajennuksista. Käytä samaa menetelmää, jota käytimme teemoissa. Lataa lisäosien varmuuskopio kansioon ja poista ne sitten palvelimeltasi. Tarkastele nyt sivustoa selaimessasi ja tarkista, onko haitallinen koodi kadonnut. Jos kyllä, ongelma oli yhdessä sivuston laajennuksistasi. Jos huomaat haittaohjelmien ilmestyvän uudelleen sivustolle laajennuksen tai laajennuksien asentamisen ja aktivoinnin jälkeen, poista tämä laajennus verkkopalvelimeltasi.

Parhaat käytännöt teemojen ja laajennusten suojaamiseen ovat:
  • Poista tarpeettomat teemat ja laajennukset verkkopalvelimeltasi.
  • Varmista, että teemasi ja laajennuksesi ovat aina luotettavista lähteistä.
  • Päivitä sivustosi teemat ja laajennukset säännöllisesti.
  • Älä käytä premium-laajennuksia ja maksullisia teemoja, ladattu torrenteista tai epävirallisista sivustoista.
WordPressin ydintiedostoihin lisätyn haitallisen koodin löytäminen

Jos olet jo tarkistanut sekä teemat että laajennukset, eikä haitallinen koodi ole kadonnut mihinkään, niin seuraava askel Hakusi tarkoituksena on tarkistaa WordPressin ydintiedostot. Suosittelen tässäkin tapauksessa käyttämään samaa lähestymistapaa kuin laajennuksiin ja teemoihin.

Ensin teemme varmuuskopion kaikista sivustosi tiedostoista (on tärkeää, että varmuuskopio sisältää tiedostoja, kuten wp-config, wp-content-kansio, .htaccess ja robots.txt). Kun varmuuskopiointi on valmis, aloita kaikkien tiedostojen poistaminen verkkopalvelimeltasi. Lataa nyt uusi WordPress-kopio ja asenna se palvelimellesi. Täytä wp-config tietokannastasi olevilla tiedoilla. Siirry nyt sivustolle ja katso, onko siinä haitallista koodia jäljellä. Jos haittaohjelma on poissa, ydintiedostosi ovat saastuneet. Palauta nyt huolellisesti kuvat, videot ja äänitiedostot verkkosivustosi varmuuskopiosta.

Parhaat käytännölliset tavat suojata kooditiedostoja WordPressissä
  • Varmista, että kaikki sivuston tiedostojen käyttöoikeudet on asetettu arvoon 644.
  • Älä muokkaa tai vaihda WordPressin ydintiedostoja.
  • Käytä vahvoja salasanoja Shell-, FTP-, DB- ja WordPress-hallintapaneelissa.
Haitallisen SQL-lisäyksen löytäminen WordPressistä

Yllä olemme jo tutkineet WordPress-laajennuksia, teemoja ja ydintä. Jos kaikki tämä ei auta tuhoamaan haitallista koodia, on aika ottaa tietokanta vastaan. Varmista ensin, että olet varmuuskopioinut sivustosi tietokannan. Jos teet varmuuskopioita säännöllisesti, voit aina helposti palauttaa tietokannan aiemman version. Mutta ennen sitä varmista, että haitallinen koodi on hiipinyt tietokantaan.

Lataa ja asenna WordPress Exploit Scanner -laajennus. Aktivoi se ja indeksoi verkkosivustosi. Exploit Scanner tarkistaa tietokannastasi, ydintiedostoistasi, laajennuksistasi ja teemoistasi epäilyttävän koodin varalta ja antaa sinulle skannaustuloksen. Kun tarkistus on valmis, tarkistat tulokset: jos löydät paljon virheilmoituksia ja vääriä hälytyksiä, sinun on valittava tulokset erittäin huolellisesti. Tämä laajennus ei poista mitään tiedostoistasi ja tietokannastasi. Kun saat selville, mihin haitallinen koodi on asennettu, sinun on poistettava nämä tiedostot manuaalisesti itse.

Jos et ole vielä tehnyt varmuuskopiota tietokannastasi, tee se ennen kuin teet mitään muutoksia tietokantaan. Varmuuskopio, vaikka siinä olisi haitallista koodia, on aina parempi kuin ei varmuuskopioita ollenkaan.

Kopioi koodi, joka vaikuttaa epäilyttävältä ja jonka skannerilaajennus tunnisti, ja suorita mysql-kysely phpMyAdminilla:

SELECT * From wp_comments, jossa comment_content Kuten "%SuspiciousCodeHere%"

Riippuen siitä, mihin tämä epäilyttävä koodi on lisätty (viesteissä, kommenteissa tai taulukoissa), sinun on suoritettava tämä kysely sivuston useissa kentissä ja taulukoissa. Jos tuloksena olevat rivit eivät sisällä liikaa koodia, voit muokata tiedostoja ja kenttiä manuaalisesti haitallisen koodin poistamiseksi. Toisaalta, jos se palautti liian monta riviä, saatat joutua suorittamaan automaattisen korjauksen tietokannan kentille, mikä on melko riskialtista, ja jos et osaa käyttää tätä työkalua oikein, voit menettää kaikki tiedot. sivustoltasi.

Oletko tehnyt kaikki edellä mainitut, mutta sinulla on edelleen ongelmia?

Uskon, että useimmat ihmiset pystyvät itsenäisesti ja suhteellisen helposti tunnistamaan, löytämään ja poistamaan haitallista koodia WordPress-sivustoillaan. Mutta joskus haittaohjelmat ovat hyvin naamioituja, eikä niitä ole helppo poistaa. Jos olet kokeillut kaikkia yllämainittuja menetelmiä etkä ole vieläkään saanut selville tai poistamaan mitään, niin on aika kutsua WordPress-tietoturvaasiantuntijoita, käyttää verkkopalveluita tai konsulttien palveluita, jotka puhdistavat sivustosi haittaohjelmista pientä maksua vastaan.

Sucurin verkkosivujen seuranta- ja siivouspalvelut Sucuri on yritys, joka käsittelee verkkosivujen valvontaa ja turvallisuutta. Ne tarjoavat erilaisia ​​hinnoittelusuunnitelmia, haittaohjelmien poistoa, verkkosivustojen valvontaa ja ilmaiset palvelut skannaussivustoja. Toimenpide on melko yksinkertainen eikä vaadi sinulta mitään: he vain tutkivat sivustosi, lähettävät sinulle ilmoituksen, jos he löytävät jotain epäilyttävää tai vaarallista, ja sitten voit rekisteröityä Sucuri-verkkosivustolla ja siirtää tehtävän asiantuntija. He väittävät, että useimmat asiakassivustot puhdistetaan 4 tunnin kuluessa.

Etsimme henkilökohtaista WordPress-tietoturvaasiantuntijaa

On monia freelance-sivustoja, joissa voit lähettää työtarjouksen tietoturvakonsultille, joka korjaa sivustosi tartuntaongelman. Valitse kaikista saaduista ehdotuksista se, joka näyttää sinusta kokeneimmalta ja asiantuntevimmalta. Voit myös jättää työpyynnön sivustosi puhdistamiseksi haittaohjelmista WordPress Jobsissa tai Smashing Magazine's Jobs Boardissa. Varmista vain, että henkilö, jonka palkkaat suorittamaan näitä tehtäviä, on kokenut, hyvämaineinen ja positiivisia arvosteluja edellisestä työstä.

Johtopäätös

WordPress on niin turvallinen käyttää kuin se voi olla. Sivuston omistajana olet vastuussa sivustosta ja terveen järjen käyttämisestä yleisten sivuston turvallisuusuhkien käsittelyssä. Käytä vahvoja salasanoja, tarkista tiedostojen käyttöoikeudet, tyhjennä kirjanmerkit säännöllisesti ja luo säännöllisiä varmuuskopioita – ja sinulla ei ole ongelmia.

Analysoi tartuntamenetelmät:

    Hyökkääjä voi hankkia järjestelmänvalvojan salasanat CMS-paneelit, FTP- tai SSH-tilejä. Yleensä salasanat arvataan tai varastetaan käyttämällä troijalaisia ​​ohjelmia, jotka saastuttavat verkkovastaavan tietokoneen.

    Verkkosovellusten haavoittuvuudet voivat antaa kolmansille osapuolille mahdollisuuden lähettää mielivaltaista koodia sivustolle.

    Ulkoisen resurssin tartunnan vuoksi ( Kumppanuusohjelma, bannerijärjestelmä, laskuri) sinulle annettu koodi voi olla vaarallinen käyttäjille.

Etsi selaimen haittaohjelmat

Analysoi tartunnan tiedot Yandex.Webmasterin Suojaus ja rikkomukset -osiossa. Osio sisältää luettelon tartunnan saaneista sivuista, tarkistusten päivämäärät ja viruksentorjuntaohjelman tekemät tuomiot. Klikkaamalla tuomion otsikossa olevaa linkkiä näet sen kuvauksen ja likimääräinen näkymä tuomiota vastaava koodi (koodi, joka näkyy suoraan sivuston sivuilla).

Voit myös toistaa ongelman itse virtuaalikoneen avulla.

Etsi palvelinpuolen haittaohjelmat
  • Pysäytä verkkopalvelin suojataksesi sivuston kävijöitä mahdollisilta vaaroilta. Tarkista sitten verkkopalvelintiedostot ja kaikki työasemat, joista palvelinta hallitaan virustorjuntaohjelmalla (voit käyttää ilmaisia ​​virustorjuntaohjelmia) ja vaihda kaikki salasanat: root, FTP, SSH, alkaen hallintopaneelit hosting ja CMS.
  • Jos se on tehty ennen tartuntaa varmuuskopio sivusto, palauta se.
  • Päivitä kaikki sivuston käyttämät ohjelmat uusimpiin versioihin ja etsi korjattujen haavoittuvuuksien kuvaukset. Ehkä tämä auttaa ymmärtämään, kuinka sivusto on saanut tartunnan.
  • Poista tarpeettomat käyttäjät, joilla on laajennetut oikeudet, ja tarkista huolellisesti, onko palvelimessa Web Shellin olemassaolo, jolla hyökkääjä voi muuttaa sivuston koodia ohittamalla valtuutuksen.
  • Tarkista haitallinen koodi:

      kaikissa palvelinskripteissä, CMS-malleissa, tietokannassa;

      V asetustiedostot Web-palvelin tai palvelimen komentosarjatulkki;

      jos käytät jaettua isännöintiä, tarkista muut samalla palvelimella sijaitsevat sivustot - koko palvelin voi olla saastunut.

    • Haitallisen koodin merkkejä:

      Koodi on vieras tai tuntematon, eikä se vastaa varmuuskopio- tai versionhallintajärjestelmää.

      Obfuskoitu (lukematon, jäsentämätön) koodi.

      Tiedostojen muokkauspäivä on sama kuin tartunnan ajankohta tai myöhempi. Tämä vaihtoehto ei ole luotettava, koska virus saattaa muuttaa tiedostojen muokkauspäivämäärää.

      Haitalliselle koodille ominaisten toimintojen käyttö. Esimerkkejä tällaisista toiminnoista varten PHP kieli:

      • dynaaminen koodin suoritus (eval, assert, create_function);

    Haitallinen koodi on poistettu, mitä seuraavaksi?

    Sivuston vaarallisuusmerkki hakutuloksista poistetaan, jos Yandex-robotti ei havaitse tartuntaa seuraavan tarkistuksen aikana. Voit nopeuttaa uudelleentarkistusta napsauttamalla Yandex.Webmaster-käyttöliittymän Suojaus ja rikkomukset -osiossa Korjasin kaikki -painiketta.

    Suosittelemme, että tarkistat tiedostot ja sivuston koodin säännöllisesti uudelleen useiden viikkojen ajan tartunnan jälkeen siltä varalta, että hyödynnettyä haavoittuvuutta ei ole korjattu tai hyökkääjillä on edelleen pääsy sivustolle.

    Jos löydät jotain mielenkiintoista

    Yandex etsii ja tutkii jatkuvasti uudentyyppisiä infektioita ja julkaisee tutkimustuloksia Yandexin Safe Search -blogissa.

    Jos löydät sivustoltasi haitallista tai epäilyttävää koodia,


    Elämän totuus on, että sivusto voidaan hakkeroida ennemmin tai myöhemmin. Hyödynnettyään onnistuneesti haavoittuvuutta, hakkeri yrittää saada jalansijaa sivustolla sijoittamalla hakkereiden web-kuoret ja latausohjelmat järjestelmähakemistoihin ja ottamalla käyttöön takaovia komentosarjakoodiin ja CMS-tietokantaan.

    Haitallisen koodin havaitsemiseksi tiedostoista ja tietokannoista on erikoisratkaisuja - virustorjunta ja skannerit isännöintiin. Niitä ei ole monia, suositut ovat AI-BOLIT, MalDet (Linux Malware Detector) ja ClamAv.

    Skannerit auttavat havaitsemaan ladatut web-suojat, takaovet, phishing-sivut, roskapostin lähettäjät ja muun tyyppiset haitalliset skriptit – kaikki, mitä he tietävät ja jotka on lisätty valmiiksi haitallisen koodin allekirjoitustietokantaan. Joillakin skannereilla, kuten AI-BOLITilla, on joukko heuristisia sääntöjä, jotka voivat havaita tiedostot, joissa on epäilyttävää koodia, jota käytetään usein haitallisissa komentosarjoissa, tai tiedostot, joilla on epäilyttäviä määritteitä ja jotka hakkerit voivat ladata. Mutta valitettavasti, vaikka isännöinnissä käytettäisiin useita skannereita, tilanteet, joissa jotkut hakkereiden skriptit jäävät huomaamatta, ovat valitettavasti mahdollisia, mikä tarkoittaa, että hyökkääjälle jää "takaovi" ja hän voi hakkeroida sivuston ja saada sen hallintaansa. täysi hallinta milloin tahansa.

    Nykyaikaiset haittaohjelmat ja hakkereiden skriptit eroavat merkittävästi 4–5 vuoden takaisista. Tällä hetkellä haitallisen koodin kehittäjät yhdistävät hämärtämistä, salausta, hajottamista, haitallisen koodin ulkoista lataamista ja muita temppuja huijatakseen virustorjuntaohjelmistoa. Siksi uusien haittaohjelmien puuttumisen todennäköisyys on paljon suurempi kuin ennen.

    Mitä tässä tapauksessa voidaan tehdä, jotta sivustolla olevat virukset ja isännöinnissä olevat hakkeriohjelmat havaitaan tehokkaammin? On tarpeen käyttää integroitua lähestymistapaa: ensimmäinen automaattinen skannaus ja manuaalinen jatkoanalyysi. Tässä artikkelissa käsitellään vaihtoehtoja haitallisen koodin havaitsemiseen ilman skannereita.

    Katsotaanpa ensin, mitä tarkalleen sinun pitäisi etsiä hakkeroinnin aikana.

  • Hakkeri skriptit.
    Useimmiten hakkeroinnin yhteydessä ladattavat tiedostot ovat web-shellejä, takaovia, "lataajia", roskapostiskriptejä, phishing-sivuja + lomakkeiden käsittelijöitä, oviaukoja ja hakkerointimerkkitiedostoja (kuvia hakkeriryhmän logosta, tekstitiedostoja"viestillä" hakkereilta jne.)
  • Injektiot (koodiinjektiot) olemassa oleviin .
    Toiseksi suosituin haitallisen ja hakkerikoodin isännöintityyppi on ruiskeet. SISÄÄN olemassa olevia tiedostoja website.htaccess voi lisätä mobiili- ja hakuuudelleenohjauksia, lisätä takaovia php/perl-skripteihin, upottaa virusten javascript-fragmentteja tai uudelleenohjauksia .js- ja .html-malleihin kolmannen osapuolen resurssit. Injektiot ovat mahdollisia myös mediatiedostoissa, esimerkiksi.jpg tai. Usein haitallinen koodi koostuu useista komponenteista: itse haitallinen koodi on tallennettu exif-otsikkoon jpg tiedosto, mutta se suoritetaan pienellä ohjausskriptillä, jonka koodi ei näytä skannerille epäilyttävältä.
  • Tietokanta-injektiot.
    Tietokanta on hakkerin kolmas kohde. Täällä ovat mahdollisia staattiset lisäykset, , , , jotka ohjaavat vierailijat kolmannen osapuolen resursseihin, "vakoilevat" niitä tai tartuttavat vierailijan tietokoneen/mobiililaitteen drive-by-hyökkäyksen seurauksena.
    Lisäksi monissa nykyaikaisissa CMS-järjestelmissä (IPB, vBulletin, modx jne.) mallimoottorit antavat sinun suorittaa php koodi, ja itse mallipohjat on tallennettu tietokantaan, joten web-shelleiden ja takaovien PHP-koodi voidaan rakentaa suoraan tietokantaan.
  • Injektiot välimuistipalveluissa.
    Välimuistipalveluiden virheellisen tai epäturvallisen konfiguroinnin seurauksena, esimerkiksi välimuistiin tallennetut tiedot, injektiot välimuistiin "lennossa" ovat mahdollisia. Joissakin tapauksissa hakkeri voi syöttää haitallista koodia sivuston sivuille hakkeroimatta sivustoa suoraan.
  • Injektiot / aloitetut elementit sisään järjestelmän komponentit palvelin.
    Jos hakkeri on saanut etuoikeutetun (root) pääsyn palvelimeen, hän voi korvata verkkopalvelimen tai välimuistipalvelimen elementit tartunnan saaneilla. Tällainen verkkopalvelin toisaalta ohjaa palvelinta ohjauskomentojen avulla ja toisaalta tuo ajoittain dynaamisia uudelleenohjauksia ja haitallista koodia sivuston sivuille. Kuten välimuistipalveluun lisäyksen tapauksessa, sivuston ylläpitäjä ei todennäköisesti pysty havaitsemaan, että sivusto on hakkeroitu, koska kaikki tiedostot ja tietokanta ovat alkuperäisiä. Tämä vaihtoehto on vaikein hoitaa.

    • Oletetaan siis, että olet jo tarkistanut isännöinnissä olevat tiedostot ja tietokantavedosten skannereilla, mutta he eivät löytäneet mitään ja virus on edelleen sivulla tai mobiiliuudelleenohjaus jatkaa toimintaansa sivuja avattaessa. Kuinka etsiä lisää?

    Manuaalinen haku

    Unixissa on vaikea löytää arvokkaampaa komentoparia tiedostojen ja fragmenttien etsimiseen kuin find / grep.

    löytö . -nimi '*.ph*' -mtime -7

    löytää kaikki tiedostot, joita on muutettu viimeisen viikon aikana. Joskus hakkerit "vääntävät" skriptien muokkauspäivämäärää, jotta ne eivät havaitse uusia skriptejä. Sitten voit etsiä php/phtml-tiedostoja, joiden attribuutit ovat muuttuneet

    löytö . -nimi '*.ph*' -сtime -7

    Jos haluat etsiä muutoksia tietyllä aikavälillä, voit käyttää samaa hakua

    löytö . -nimi '*.ph*' -newermt 25-01-2015 ! -newermt 2015-01-30 -ls

    Tiedostojen etsimiseen grep on välttämätön. Se voi etsiä rekursiivisesti tiedostoista tiettyä fragmenttia

    grep -ril ‘stummann.net/steffen/google-analytics/jquery-1.6.5.min.js’ *

    Palvelinta hakkeroitaessa on hyödyllistä analysoida tiedostoja, joissa on guid/suid-lippu

    etsi / -perm -4000 -o -perm -2000

    Voit määrittää, mitkä komentosarjat ovat parhaillaan käynnissä ja lataavat isäntäprosessoria soittamalla

    lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ‘ ( if(!str) ( str=$1 ) else ( str=str”,”$1))END(print str)’` | grep vhosts | grep php

    Käytämme aivojamme ja käsiämme analysoidaksemme tiedostoja isännöinnissä
  • Siirrymme lataus-, välimuisti-, tmp-, varmuuskopio-, loki-, kuvahakemistoihin, joihin skripteillä kirjoitetaan tai käyttäjien lataamia tiedostoja, ja etsitään sisällöstä uusia tiedostoja, joilla on epäilyttävät laajennukset. Esimerkiksi joomlalle voit tarkistaa .php-tiedostot hakemistosta images:find ./images -nimi '*.ph*'. Todennäköisesti jos jotain löytyy, se on haittaohjelma.
    WordPressissä on järkevää tarkistaa komentosarjat wp-content/uploads-hakemistosta, varmuuskopiointi- ja välimuistiteemahakemistoista.
  • Etsin tiedostoja, joilla on outoja nimiä
    Esimerkiksi php, fyi.php, n2fd2.php. Tiedostoja voi etsiä
    • epätyypillisillä merkkiyhdistelmillä,
    • tiedostonimissä on numeroita 3,4,5,6,7,8,9
  • Etsimme tiedostoja, joilla on epätavallinen pääte
    Oletetaan, että sinulla on verkkosivusto WordPressissä tai niille tiedostot, joiden tunniste on .py, .pl, .cgi, .so, .c, .phtml, .php3, eivät ole aivan tavallisia. Jos näitä laajennuksia sisältäviä skriptejä ja tiedostoja havaitaan, ne ovat todennäköisesti hakkerityökaluja. Väärien havaintojen prosenttiosuus on mahdollinen, mutta se ei ole korkea.
  • Etsimme tiedostoja, joissa on standardista poikkeavat attribuutit tai luontipäivämäärä
    Epäilyjä voivat herättää tiedostot, joiden attribuutit poikkeavat palvelimella olevista. Esimerkiksi kaikki .php-skriptit on ladattu ftp/sftp:n kautta ja niillä on käyttäjäkäyttäjä, ja jotkin ovat www-data-käyttäjän luomia. On järkevää tarkistaa uusimmat. Tai jos komentosarjatiedoston luontipäivä on aikaisempi kuin sivuston luontipäivämäärä.
    Epäilyttäviä attribuutteja sisältävien tiedostojen etsimisen nopeuttamiseksi on kätevää käyttää Unixin Find-komentoa.
  • Etsimme oviaukkoja suuri numero.html- tai .php-tiedostot
    Jos hakemistossa on useita tuhansia .php- tai .html-tiedostoja, tämä on todennäköisesti portti.
    • Lokit avuksi

    Web-palvelimen lokit, Posti ja FTP:tä voidaan käyttää haitallisten ja hakkereiden skriptien havaitsemiseen.

    • Kirjeen lähetyspäivämäärän ja -ajan (jotka löytyvät sähköpostipalvelimen lokista tai roskapostikirjeen palvelun otsikosta) korreloiminen access_lokin pyyntöihin auttaa tunnistamaan roskapostin lähetystavan tai löytämään roskapostin lähettäjän komentosarjan.
    • FTP xferlog -siirtolokin analyysin avulla voit ymmärtää, mitkä tiedostot ladattiin hakkerointihetkellä, mitä muutettiin ja kuka on tehnyt.
    • Oikein määritetyssä sähköpostipalvelimen lokissa tai roskapostin palvelun otsikossa, kun oikea asetus PHP on lähettävän skriptin nimi tai koko polku, joka auttaa määrittämään roskapostin lähteen.
    • Modernien CMS:n ja laajennusten ennakoivan suojauksen lokien avulla voit määrittää, mitä hyökkäyksiä sivustolle tehtiin ja pystyikö CMS vastustamaan niitä.
    • Access_login ja error_login avulla voit analysoida hakkerin toimia, jos tiedät hänen kutsumiensa komentosarjojen nimet, IP-osoitteen tai Käyttäjä agentti. Viimeisenä keinona voit katsoa POST-pyynnöt päivänä, jona sivusto hakkeroitiin ja sairastettiin. Usein analyysin avulla voit löytää muita hakkeriohjelmia, jotka oli ladattu tai jotka olivat jo palvelimella hakkerointihetkellä.
    Eheyden valvonta

    Hakkeroinnin analysointi ja haitallisten komentosarjojen etsiminen verkkosivustolta on paljon helpompaa, jos huolehdit sen turvallisuudesta etukäteen. Eheyden tarkistusmenettely auttaa havaitsemaan isännöinnin muutokset ajoissa ja määrittämään hakkeroinnin tosiasian. Yksi yksinkertaisimmista ja tehokkaimmista tavoista on laittaa sivusto versionhallintajärjestelmän alle (git, svn, cvs). Jos määrität .gitignoren oikein, muutoksenhallintaprosessi näyttää git status -komennon kutsumiselta ja haitallisten komentosarjojen ja muuttuneiden tiedostojen etsiminen näyttää git diff:ltä.

    Lisäksi sinulla on aina tiedostoistasi varmuuskopio, johon voit "palauttaa" sivuston muutamassa sekunnissa. Palvelimen järjestelmänvalvojat ja edistyneet verkkovastaavat voivat käyttää inotify-, tripwire-, auditd- ja muita mekanismeja tiedostojen ja hakemistojen pääsyn seuraamiseen ja tiedostojärjestelmän muutosten seurantaan.

    Valitettavasti palvelimelle ei aina ole mahdollista määrittää versionhallintajärjestelmää tai kolmannen osapuolen palveluita. Jaetun isännöinnin tapauksessa ei ole mahdollista asentaa versionhallintajärjestelmää ja järjestelmäpalveluita. Mutta sillä ei ole väliä, CMS:lle on olemassa melko paljon valmiita ratkaisuja. Voit asentaa sivustolle laajennuksen tai erillisen komentosarjan, joka seuraa tiedostojen muutoksia. Joissakin sisällönhallintajärjestelmissä on jo käytössä tehokas muutosseuranta ja eheyden tarkistusmekanismi (esimerkiksi Bitrix, DLE). Viimeisenä keinona, jos isännöinnissä on ssh, voit luoda viitesarjan tiedostojärjestelmä tiimi

    ls -lahR > alkuperäinen_tiedosto.txt

    ja jos ongelmia ilmenee, luo uusi tilannekuva toiseen tiedostoon ja vertaa niitä sitten WinDiffissä, AraxisMerge Toolissa tai BeyondComparessa.

    Epilogi

    Useimmissa tapauksissa virustorjuntaohjelmistojen kehittäjät ja skannerit eivät pysy perässä haitallisen koodin kehittäjien kanssa, joten sivustoja diagnosoitaessa ja hoidettaessa ei voi luottaa pelkästään automatisoituun ohjelmistoratkaisuja ja käsikirjoituksia. Käyttämällä heuristista lähestymistapaa, monipuolisia työkaluja käyttöjärjestelmä ja sisällönhallintajärjestelmän ominaisuudet, voit löytää haitallista koodia, jota virustentorjunta ja skannerit eivät pystyneet havaitsemaan. Manuaalisen analyysin käyttö tekee verkkosivujen käsittelyprosessista paremman ja tehokkaamman.

    Äskettäin hosting-palveluntarjoaja reg.ru keskeytti joidenkin työn PHP toiminnot(erityisesti postin lähettäminen) erään asiakkaani verkkosivustolla, mikä selittää tämän sillä, että tililtä löytyi haittaohjelmia ohjelmisto, lähettää roskapostia. Se lakkasi toimimasta ja tilauksia ei enää tullut, ja tämä on jo tappiota. Tältä osin päätin kertoa teille, sivuston lukijat, kuinka voit tarkistaa sivustosi virusten varalta ja poistaa haitallisen koodin ajoissa.

    Tilanne ei ole harvinainen, jopa tämä blogini on joutunut kahdesti hakkeroinnin uhriksi. Resurssia ei voi täysin suojata viruksilta, mutta riskin minimoiminen on välttämätöntä. Yleensä hyökkääjät käyttävät tunkeutumiseen CMS-haavoittuvuuksia, suunnittelumalleja tai vääriä isännöintiasetuksia.

    Mitä tehdä, jos epäilet, että verkkosivustosi on viruksen saastuttama:

  • Tarkista sivustolta virukset ja etsi haitallista koodia sisältävät tiedostot (tämä on puolet artikkelista),
  • Poista tai desinfioi havaitut tiedostot (artikkelin toinen puolisko),
  • Sulje sivuston "reiät", joiden läpi huonot skriptit ovat tunkeutuneet.

    • Kaikki 3 kohtaamani hakkerointitapausta (2 omaa ja 1 asiakas) tapahtuivat yhdestä syystä - isännöinnissä joillakin kansioilla oli julkiset käyttöoikeudet 777, jolloin kaikki saivat kirjoittaa sinne mitä tahansa tietoa, joten kohta 3 "aukkojen" sulkemisesta on tärkein. Kerron sinulle hänestä lopussa.

    Miksi online-viruksentorjuntaohjelmat ovat tehottomia verkkosivustolle

    Milloin ne syntyvät? todellisia ongelmia sivuston toiminnassa tai Yandex Webmasterilta ilmestyy infektioita koskevia viestejä, monet alkavat etsiä sivustoille online-virustorjuntaohjelmia. Joskus ne auttavat, mutta useimmiten he eivät tee sitä kokonaan.

    Ongelmana on, että sellaiset palvelut kuin antivirus-alarm.ru, virustotal.com, xseo.in, 2ip.ru jne. voivat käyttää vain sivustosi ulkopuolta. Tämä tarkoittaa, että he havaitsevat haitallisen koodin vain, jos se tulee ulos ja näyttää merkkejä.

    Mitä jos saastuneet tiedostot eivät ilmene millään tavalla eivätkä ole vielä aktiivisia tai niiden toiminnan tulos ei anna selviä merkkejä infektiosta. No, esimerkiksi ne yksinkertaisesti näyttävät ylimääräisiä linkkejä verkkosivuilla - varten verkkopalvelu se tulee olemaan , ja itse virus on piilotettu syvälle PHP-koodiin ja toimii vain palvelintasolla käsitellessään pyyntöjä.

    Arvokkuus online virustorjunta: Helppokäyttöinen - kirjoitti sivuston URL-osoitteen, napsautti painiketta ja sai tuloksen. Mutta se ei ole tosiasia, että virus löytyi.

    Ainoa tehokas menetelmä tunnista kaikki ongelmat - tarkista kaikki tiedostot, jotka isännöidään sivuston isännöinnissä. Tämä voidaan tehdä pääsyllä isännöintiin, mikä tarkoittaa, että virustorjunnan on toimittava suoraan sivustosi tiedostojen ja kansioiden sisällä.

    Virustorjunta-laajennukset

    Muuten, fanit suosittu CMS Virusten torjunnassa sinulla on hieman enemmän onnea, koska on olemassa laajennuksia, jotka voivat havaita ja poistaa ne ajoissa. Puhuin yhdestä tällaisesta laajennuksesta sitä koskevassa artikkelissa, joka seuraa automaattisesti muutoksia moottori- ja mallitiedostoissa. Mutta sekään ei aina voi auttaa, koska virukset eivät voi vain tunkeutua olemassa oleviin tiedostoihin, vaan myös luoda omia, joita vastaan ​​laajennus on voimaton.

    Sanalla sanoen, kriittisessä tilanteessa voidaan vaatia kaikkien isännöintitiedostojen täydellinen tarkistus, mukaan lukien ne, jotka eivät liity sisällönhallintajärjestelmään.

    Joten siirrytään kohtaan "Kuinka tarkistaa verkkosivustolta virukset ammattimaisilla menetelmillä?"

    Verkkosivustotiedostojen tarkistaminen AI-Bolit-virustorjuntaohjelmalla

    Mitä tulee tavalliset tietokoneet, virustorjuntaohjelmat tarkistavat verkkosivustot virusten varalta. Mutta näihin tarkoituksiin tavalliset virustentorjuntaohjelmat, joista puhun, eivät sovellu. Tarvitset erityisen, joka toimii isännöinnissä ja on suunniteltu sivustoille kohdistuvia uhkia varten.

    Viime aikoina olen käyttänyt Revisiumin AI-Bolit-virustorjuntaa näihin tarkoituksiin. Verkkosivustojen virustorjunnan lisäksi tämä palvelu osallistui Yandexin virustorjuntaohjelman yhteiseen kehittämiseen.

    Mennään kävellään portaat kaikki etsinnän ja hoidon vaiheet AI-Bolitilla.

    Asenna AI-Bolit antivirus

    Tältä sivulta lataat arkiston isännöintiohjelmalla – https://revisium.com/ai/ (pieni tiedosto).

    Windowsille on versio - käyttääksesi sitä sinun on ladattava kaikki sivuston tiedostot isännöinnistä tietokoneellesi.

    Isännöintiin on olemassa versio - virustarkistus tapahtuu siellä (palvelimella, jolla on sivusto). Puhun siitä, kuinka isännöintiversio toimii, lataa se.


    Pura ladattu arkisto, minkä seurauksena sinulla on kansio, jonka nimi on samanlainen kuin arkiston nimi - ai-bolit, työkalukansio ja 2 tiedostoa.

    Toimiaksesi tarvitset vain sisällön ensimmäisestä kansiosta (ai-bolit), joka koostuu 5 tiedostosta. Pitää heittää sisään juurikansio sivustosi (missä indeks.php on) FTP:n tai tiedostonhallinnan kautta nämä 5 tiedostoa.


    Ohjelman asettaminen

    Oletusarvon mukaan virustorjunta on jo valmis toimimaan, mutta siinä on kaksi asetusta, joiden avulla voit optimoida ohjelman tarpeidesi mukaan. Kaikki asetukset tehdään ai-bolit.php tiedostossa.

    1. Skannaussyvyyden asettaminen. Se voi olla 3 astetta: 0 - nopea tarkistus, 1 – asiantuntija, 2 – vainoharhainen, oletusarvo on 1. Tästä parametrista vastaava rivi on:

    define("AI_EXPERT_MODE", 1);

    define ("AI_EXPERT_MODE" , 1 ) ;

    2. Salasana päästäksesi ohjelmaan. Jos aiot pitää virustorjunnan isännöinnilläsi pysyvästi, sinun on asetettava enimmäisarvo monimutkainen salasana vastineeksi siitä, mikä tulee oletusarvoisesti, muuten hyökkääjät voivat vahingoittaa sivustoa itse virustorjuntaohjelman kautta. Jos olet kiinnostunut kertatarkastus, jonka jälkeen virustorjuntatiedostot poistetaan isännöinnistä, voit jättää oletussalasanan. Salasanasta vastaava rivi on:

    define("PASS", "1122334455");

    define ("PASS" , "1122334455" ) ;


    Kun olet tallentanut asetukset, jatka skannerin käynnistämiseen.

    Ohjelman käynnistäminen

    Muut toimet suoritetaan selaimen kautta. Kirjoita osoitepalkkiin URL-osoite, joka johtaa ai-bolit-käynnistystiedostoon - your-site/ai-bolit.php?p=specified-password.

    Jonkin ajan kuluttua kaikkien sivustosi tiedostojen skannaus valmistuu ja saat seuraavanlaisen raportin:


    Käynnistysongelmia

    Koska virustorjuntatarkistus sivusto aiheuttaa huomattavan kuormituksen isännöintipalvelimelle, isännöitsijät usein kieltävät tällaisten ohjelmien käytön. Tässä tapauksessa saatat saada seuraavankaltaisia ​​virheilmoituksia:

    Tässä tapauksessa on 3 vaihtoehtoa:

  • Isännöitsijä itse etsii viruksia ja varoittaa asiakkaita niiden ulkonäöstä.
  • Isännöitsijä voi sallia sinun tarkistaa teknisen tuen pyytämisen jälkeen.
  • Lataa sivuston tiedostot tietokoneellesi ja tarkista Windowsin virustorjuntaversio.
    • Tulosten analyysi

    Skannauksen aikana saatua raporttia voidaan käyttää kahdella tavalla - siirtää se asiantuntijalle, jotta hän ymmärtää sen sisällön, tai tarkistaa itsenäisesti jokainen epäilyttävä rivi. Usein mallien tai erikoisskriptien ominaisuudet erehtyvät viruksiksi (etenkin vainoharhaisella vahvistustasolla).

    Kaikkien tarkistusten ja haitallisten komentosarjojen poistamisen jälkeen virustorjuntatiedostot voidaan poistaa isännöinnistä.

    Sivuston haavoittuvuuksien sulkeminen

    Nyt tartunnan syiden poistamisesta. Sanoin edellä, että useimmiten virukset ladataan kansioiden kautta, joissa on yleinen pääsy kaikille – käyttöoikeudet 777 (rwxrwxrwx).

    Jos jollain sivustosi kansiolla on tällaiset oikeudet, voit ladata sinne virustiedoston ja levittää sitä haitallisen koodin levittämiseen koko sivustolle.

    Varmistaaksesi, että infektio ei uusiudu hoidon jälkeen, sinun on tarkistettava jokainen kansio, josta Manul on löytänyt tartunnan saaneita tiedostoja, ja tarvittaessa muutettava oikeuksia - estettävä julkinen pääsy - asetettava ominaisuuksiksi 755 (rwxr-xr-x).

    Joissakin tapauksissa voit tehdä jopa tiukempia sääntöjä, mutta 755 on vähimmäissuojaustaso.

    Siinä kaikki, mitä minulla on tälle päivälle - onnea projekteillesi.

    Hyödyllisiä artikkeleita:


    • Kuinka ansaita rahaa Internetissä aloittelijalle - 23...


    • Mikä blogi on, miten se luodaan, mainostetaan ja miten...

    Lisää tästä aiheesta:

    Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen
    Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy
    Etsitään vastaavaa kuvaa Internetistä Etsitään vastaavaa kuvaa Internetistä