защита сайта

Сайт заражен:вредоносный код на сайте WordPress- удаление Ч2

24 комментария

Продолжение перевода статьи «Removing Malware from a WordPress blog»  о том, как удалить вредоносный код на сайте WordPress, если сайт заражен или взломан. Автор:David Dede

Removing Malware from a WordPress blog Ч2

 Анализ вредоносных кодов

После того как сайт стал чистым и клиент счастлив, мы приступили к более глубокому анализу атак. Во-первых, мы сравнили между собой их WordPress версию и исходную (они были в версии 2.8):

Мы также сравнили между  собой оригинальную тему и ту, которую они использовали, и никаких серьезных изменений не обнаружили. Поэтому было ясно, что проблема была в одном из плагинов.

Мы начали  искать код JavaScript в каталоге плагинов и ничего не обнаружили. Это означает, что код был, вероятно, скрытым в некотором роде. Таким образом, мы искали base64_decode или Eval (PHP функции обычно используемые авторами вредоносных программ):

Таким образом, в этих 3 файлах wp-db-backup/wp-db-backup.php, image.php и gifimg.php было возможно нечто скрытое. Для анализа кода, мы сделали то же самое, что сделали с Javascript. Мы изменили «Eval» функцию на “echo”, чтобы увидеть, что она делает. Из WP-DB-backup.php мы удалили закодированную последовательность и расшифровали ее извне с помощью base64 инструмента командной строки:

Анализ WP-DB-backup.php:

Таким образом, все они имели бэкдор, позволяющий злоумышленнику выполнить любой PHP скрипт (и команду), которую они хотели (см. eval) и WP-DB-backup.php содержал этот скрипт для создания вредоносного JavaScript на всех страницах.

Извлеченные уроки.

Во-первых, всегда  должен быть  мониторинг Вашей системы. Если бы у них была установлена HIDS (система обнаружения вторжений, например, OSSEC с открытым исходным кодом), то она обнаружила бы изменения в этих файлах.

Во-вторых, если бы они использовали наш веб-монитор целостности, эта проблема была бы обнаружена и раньше.

Третье: Сохраняйте Ваши лог-файлы подольше. Наш анализ не был завершен, потому что мы не могли вернуться в прошлое, чтобы увидеть, когда это случилось.

Четвертое: делайте резервную копию сайта  ежедневно! Если бы они имели бэкап, мы могли бы сравнить все, чтобы увидеть, что произошло (и легко отменить изменения).

Наконец, поддерживайте WordPress в обновленном состоянии и используйте надежные пароли! Это Ваша первая линия обороны, чтобы избежать этих проблем.

Related posts:

  1. Сайт заражен: как удалить вредоносный код на сайте WP Ч1
  2. WordPress сайт взломан или сайт заражен. Что делать? Ч2
  3. WordPress сайт взломан или сайт заражен. Что делать? Ч1
  4. Как очистить взломанный сайт WordPress Ч2
  5. Как очистить взломанный сайт WordPress Ч1

Сайт заражен:вредоносный код на сайте WordPress- удаление Ч2: 24 комментария

  1. Ещё одна задача — переключить работу злоумышленников на пользу общества

  2. Интересно почитать про удаление кода, спасибо!

  3. Мне кажется, что делать резервную копию сайта, это выходит так же полезно, как и ежедневно пересчитывать свои имеющиеся деньги.(говорят же, что денежка счет любит)))))))

    И если дела идут нормально, то это не только полезно, но ещё и приятно)))))))))

  4. Рекомендации по безопасности на высоте.Спасибо.

  6. Из некоторых злоумышленников вырастают хорошие хакеры, работающие в сфере безопасности

  7. Наверное вашими рекомендациями можно пользоваться, при наличии у себя представления об HTML кодах

  8. Для женщин это нелегкая задача, а вот о резервной копии надо подумать. я сходила по ссылке, а кто будет делать копии, и где я потом их найду?

  9. Благодарю. Мне пригодилась статья об удалении вредоносного кода.

  10. Спасибо! Безопасность превыше всего — насколько это возможно.

  11. Там предлагается платное обслуживание за 5$ в месяц. Лучше поставьте плагин «WP DataBase Backup» и регулярно копируйте папку public_html c хостинга

  12. Мне тоже пригодится, занесу в закладки

  13. Спасибо за практическую информацию, обязательно использую

  14. Спасибо, сегодня же установлю плагин, а все копии надо сохранять на DVD диске или удалять старые?

  15. Лучше хранить на DVD. Вот как полезно иногда читать ужастики 🙂

  16. Спасибо , каждый владелец сайта заинтересован в его безопасности!

  17. Большое спасибо за информацию по удалению кода!

  18. Полезная информация, спасибо. Конечно, мало кто будет исследовать код, а вот резервные копии делать необходимо.

  19. Всё, окончательно уговорил, каждый день копирую!!!

  21. Вредоносный код на сайте необходимо удалить!

  22. Поддержка WordPress в обновленном состоянии и использование надежных паролей,плюс нужно делать регулярные копии сайта,всё это может гарантировать определенную безопасность.

  23. Искандер, прочитала статью про вредоносный код и глазки в кучку не собрать. За программирование что-ли засесть!? Я понимаю, что всего знать невозможно (училась совсем другому), но и ощущать свою полную ущербность в этих вопросах, тоже неприятно.

  24. Это не менее увлекательно, чем изучать английский.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *