Защита сайта: Exploit Scanner – поиск следов взлома.

WordPress плагин Exploit Scanner  осуществляет поиск следов взлома. Без таких инструментов защита сайта будет неполноценной.

Exploit Scanner аналогично плагину Antivirus находит подозрительные коды, но не избавляет от них. Как и вышеупомянутый плагин Exploit Scanner результатами своей работы способен ввести в смятение новичков, т.к. будет указывать и на полезные коды. Но он может оказать неоценимую услугу тем, кто постоянно удаляет вредоносный код, а он неизменно возвращается. При этом всегда непонятно, где еще притаилась опасность. В ответе на этот вопрос и поможет данный плагин. В идентификации вредоносного кода будет полезным сравнение файлов, заподозренных в изменении с файлами из регулярно создаваемых бэкапов.

Просто изучая описание плагина на сайте разработчика, я почерпнул для себя много интересного и полезного. Так, например, ранее я полагал, что заражение нужно искать только в PHP файлах. Прочтя приведенный ниже перевод этого описания, Вы тоже убедитесь, что не все так просто.

Авторское описание плагина

Этот плагин просматривает файлы и базы данных веб-сайта с целью определения  подозрительной активности. Он не остановит того, кто взломал Ваш сайт, но он может помочь Вам найти любой из загруженных или несущих угрозу файлов оставленных взломщиком.

При взломе сайта злоумышленники оставляют коды или модифицируют контент, что можно определить вручную, просматривая все файлы на сайте. Некоторые из методов, применяемые для скрытия своих скриптов или спам-ссылок общеизвестны такие, как использование CSS для сокрытия текста. И можно найти такие строки.

Базы данных тоже могут быть использованы для сокрытия контента или для запуска кода. Спам ссылки иногда добавляют в посты блога и в комментарии. Они скрыты с помощью CSS так, что пользователи их не видят, но поисковые движки замечают их. В последнее время злоумышленники стали использовать WordPress плагины для запуска своих  вредоносных кодов. Они загружают файлы с расширениями файлов изображений, и добавляют их в код активных плагинов. Поэтому, несмотря на то, что файл не имел расширение .PHP, код в них был еще в состоянии запускаться!

Этот плагин сканирует Ваш сайт и пытается найти эти измененные файлы и записи БД. Это далеко от совершенства, поэтому если у Вас есть предложения по улучшению плагина, я (автор) хотел бы их услышать!

Использование

Из приведенного выше описания плагина следует, что внешние ссылки можно упрятать  даже в комментарии. Т.е. любой безобидный с виду комментарий может содержать угрозу для Вашего сайта! Каково такое известие Вам? Если не верите, то проследуйте по ссылке под анкором предыдущего подзаголовка, переведите сами и убедитесь. Мне с подобным сталкиваться пока не приходилось. А может я обманываюсь и стоит проверить? Если данный плагин способен указывать на такие подозрительные комментарии, то только за это его стоит поставить и протестировать. Установка плагина не вызывает затруднений. (Плагины?Добавить плагин?Найти…)

Пройдя Инструменты?Exploit Scanner и нажав на Run the Scan, получим результат:

Обилие результатов, выданных плагином после сканирования может повергнуть в шок новичка, не знакомого с PHP. Причем, далеко не все коды, на которые сделал стойку плагин, будут вредоносными. Некоторые вордпресс- гуру, такие, как Трис Хассей (автор «WordPress для профессионалов»), рекомендуют использовать подобные плагины лишь в случаях, когда есть явные подозрения на предмет взлома или заражения.

На мой взгляд, в подобных случаях зерна от плевел можно отделить с помощью элементарного сравнения подозрительных файлов с точки зрения плагина с файлами из бэкапа, сделанного тогда, когда заражения не наблюдалось. Здесь нужно вспомнить детскую игру, когда Вам предъявлялись две похожие картинки, и предлагалось найти между ними разницу. 🙂 Если разницы в файлах не наблюдается, то скорее всего код, предъявленный плагином, является полезным.

Другим вариантом (при отсутствии бэкапа, например) является сравнение подозрительного файла с файлом, взятым из незараженного диструбутива. Например, плагин показывает, что подозрительным является один из файлов темы. Тогда нужно сравнивать данный файл с одноименным файлом из диструбутива темы, из которого Вы тему устанавливали. Конечно, нужно быть уверенным, что тема была взята из надежного источника. Или ,на худой конец, хотябы проверьте тему плагином TAC.

Аналогично поступаем и с плагинами. Код подозрительного плагина сравниваем с кодом из вызывающего доверие дистубутива плагина. Плагинам, скачанным непосредственно из репозитория wordpress.org вполне можно доверять. Если обнаружилась разница в кодах плагинов,  это означает то, что либо Ваш плагин заражен, либо он устарел. Т.е. в любом случае плагин стоит переустановить.

Со всеми остальными  подозрительными файлами поступаем аналогично. Метод сравнения может оказаться полезным для других аналогичных плагинов, таких, как Antivirus, например.

 

 

Защита сайта: Exploit Scanner – поиск следов взлома.: 30 комментариев

  1. Спасибо информацию о плагине.
    обязательно возьму на вооружение и поставлю на сайт

  2. Для защиты нужны законодательные акты и software, фиксирующее злоумышленников

  3. Законодательных актов пруд пруди. Вот только технологии анонимной деятельности в сети зачастую позволяют уйти от ответственности. Поэтому полагаться нужно только на себя

  4. Если почувствую необходимость, установлю плагин. Спасибо.

  5. Спасибо за полезный плагин! Удачи Вам и Вашему сайту!

  6. Искандер, восхищаюсь Вашими знаниями в области всяких плагинов, тонкостей сайтоустроения! А я не технарь,к сожалению…

  7. Очень нужный плагин, но что делать нам, чистым гуманитариям, для которых даже ваше, видимо, ясное описание выглядит китайской грамотой? 🙁

  8. Просто имейте ввиду, что такой плагин существет

  9. Спасибо, Искандер! Суть изложенного поняла — плагин нужный. Но для меня, как и для Александры, все тонкости кажутся сложными.

  10. Интересненько. Пока Бог миловал, но если осведомлен, значит осведомлен!

  11. Я , между прочим, в детстве очень любил игры из разряда «найди десять отличий». Наверное, поэтому теперь мне не составляет труда находить разницу в файлах. По крайней мере, я очень стараюсь.Вообще, тут так же как и везде:внимание, внимание и ещё раз внимание.

  12. Искандер, спасибо большое за множество полезной информации на тему безопасности сайта. Вы не подскажете — сколько примерно времени может Exploit Scanner сканировать сайт? Т.к. при запуске он крутил около получаса, пока не пришлось отключить. Здесь что-то не так или надо терпеливо ждать?
    И ещё — у вас по теме «Плагин AntiVirus..» комменты, к сожалению, отключены — вы не подскажете, я нигде не нашла: почему может не наживаться кнопка «scan the theme templates now» ? жмешь на неё — и ничего не происходит, не идет ручное сканирование…

  13. Татьяна, с подобными ситуациями не сталкивался. Если Вы не относите себя к специалистам по PHP, то лучше воспользуйтесь онлайн сканерами. Для начала 2ip.ru, если там что то найдется, то идите на antivirus-alarm.ru

  14. Спасибо большое. Сходила. 2ip.ru говорит, что все чисто. И alarm тоже. И ещё несколько онлайн сервисов, среди которых и доктор Web. Все они уверяют, что всё хорошо — а вот плагин Antivirus упорно выдает «подозрение на вирус». Чем сильно огорчает 🙁

  15. Знаете, обновила наконец версию WP — и кнопочка заработала 🙂 Извините, если тут немного не по теме, не по тому плагину. Зато теперь видны все сомнительные коды. Спасибо!

  16. Татьяна, в том то и дело, что он показыает все подозрительные на его взгляд файлы, а решать нужно самому 🙂 Но это не значит, что файл обязательно плохой.

  17. Очень интересный плагин Exploit Scanner, спасибо за информацию.

  18. Здравствуйте, Искандер! Сегодня мне сообщили, что на мой сайт ругается Касперский. Все сервисы, которыми я воспользовалась, показали отсутствие вирусов и только 2ip.ru добавил о наличии сомнительных iframe-вставок. Далее я подключилась к интересному сервису siteguard.ru. И когда он показал подозрительные Javascript/IFrame тут и возник вопрос, как же разобраться, вредоносные эти коды или нет. Но после Вашей статьи все стало понятно, придется сверять коды. Плагин Exploit Scanner выдает результат: «Nothing found». Может и нет поводов беспокоиться, а вообще, вчера и сегодня сайт очень медленно работает, от Яндекс.Метрика приходят уведомления о проблемах с доступностью сайта.

  19. Анна’проверьте на antivirus-alarm и на virustotal.Если ругается Касперски’ то надо ставить его на комп исканировать им скачанные на комп фалы сайта. Я сейчас на даче и под рукой только Андроид, поэтому сам посмотреть не могу. Но подсказать всегда готов. Пишите’ шлите скриншоты.

  20. Спасибо, Искандер! Сервисы показывают отсутствие вирусов, но всплывают javascript, может быть в них причина.

  21. Анна, с утра буду в городе, посмотрю сам.

  22. Анна, проверка на virustotal показала, что Касперский находит у Вас вирусы. Яндекс тоже относит сайт к опасным. Скачайте и установите у себя на компе хотя бы бесплатный сканер касперскго. Проверьте им скачанные на комп папку public_html сайта и базу данных. Скриншоты шлите мне на почту. Обратитесь также через яндекс вебмастер в поддержку яндекса с вопросом «где конкретно у Вас находят вредоносный код?»
    Попробуйте также плагин http://bezopasnostpc.ru/sites/site-protection/proverka-sayta-na-virusyi-s-anti-malware-by-eli

  23. Здравствуйте, Искандер. У меня такая проблема появилась. Когда я нажимаю на любую страницу сайта чтобы перейти — попадаю на чужой магазин, либо в игру какую-то. Проверяла на вирусы- все пишут спокойно, но на хостинге была большая нагрузка. Что это может быть? Спасибо. Сайт давно не обновляла, но бросать не хочется.

  24. Похоже был взлом, попробуйте использовать программу как описано выше

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *