By Leave a Comment on Běžné infekce WordPress malwarem

Pomocí egrep můžeme v případě potřeby vyhledávat více slov najednou, čímž vám v tomto případě ušetříme čas.

Nebo zkuste něco takového:

# grep -r "http://canadapharmacy.com" .

Toto funguje pouze v případě, že infekce není zakódovaná, zašifrovaná nebo zřetězená.

Další užitečnou metodou je přístup na vaše webové stránky prostřednictvím různých uživatelských agentů a odkazovačů. Zde je příklad toho, jak vypadala jedna webová stránka při použití odkazovače Microsoft IE 6:

Vyzkoušejte Bots vs Browsers a zkontrolujte své webové stránky prostřednictvím několika různých prohlížečů.

Terminální uživatelé mohou také použít CURL:

# curl -A "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" http://somesite.com

Jak tomu zabránit?

Předejít hackerskému útoku může být složité. Společnost Sucuri zjistila, že hack pravidelně využívá zranitelný zastaralý software. Problémem však nemusí být nutně vaše zastaralá instalace WordPressu. I když máte aktuální verzi, jiná zastaralá instalace na stejném serveru může být náchylná k infekci. Pokud se skutečný payload nachází jinde na serveru, nikoli v adresáři vašich webových stránek, může být jeho zachycení mimořádně obtížné.

Tady je příklad toho, co byste mohli hledat, pokud nemůžete najít infekci ve své vlastní instalaci:

Chcete-li zabránit nabourání do lékárny, měli byste udělat dvě věci:

  1. Udržujte svůj software aktuální,
  2. vyhýbejte se serverům typu soup-kitchen.

Škodlivé přesměrování

Škodlivé přesměrování posílá uživatele na škodlivé webové stránky. V roce 2010 bylo zjištěno 42 926 nových škodlivých domén. V roce 2011 tento počet vzrostl na 55 294. A to zahrnuje pouze primární domény, nikoli všechny jejich subdomény.

Pokud je návštěvník přesměrován na jinou než hlavní webovou stránku, může, ale nemusí obsahovat škodlivý náklad. Předpokládejme, že máte webovou stránku na adrese myhappysite.com; když ji někdo navštíví, webová stránka může návštěvníka přesměrovat na meansite.com/stats.php, kde se v souboru stats.php této webové stránky nachází škodlivé užitečné zatížení. Nebo se může jednat o neškodnou webovou stránku, která obsahuje pouze reklamy a neobsahuje žádný škodlivý payload.

Jak jsem napaden?

Stejně jako u mnoha jiných útoků malwaru jde o přístup. Škodlivé přesměrování může být generováno zadními vrátky. Hacker by vyhledal zranitelnost, například TimThumb nebo staré verze WordPressu, a když by ji našel, nahrál by payload, který by fungoval jako backdoor.

Jak to vypadá?

Detekce přesměrování není tak složitá jako detekce některých jiných infekcí. Často se nachází v souboru .htaccess a vypadá nějak takto:

Nebo takto:

Mohou nastat případy, kdy je přesměrování zakódováno a nachází se v některém ze souborů PHP. V takovém případě se obvykle nachází ve vašem souboru header.php, footer.php nebo index.php; je také známo, že se nachází v kořenovém souboru index.php a v dalších souborech základní šablony. Ne vždy je zakódován, ale pokud ano, bude vypadat nějak takto:

Jak zjistím, zda jsem infikován?

Existuje několik způsobů, jak zkontrolovat, zda nejsem infikován. Zde je několik návrhů:

  • Použijte bezplatný skener, například SiteCheck. Velmi zřídka přehlédnou škodlivé přesměrování.
  • Testujte pomocí Bots vs Browser.
  • Naslouchejte svým uživatelům. Přesměrování nemusíte odhalit, ale někdy vás na něj uživatel upozorní.

Pokud uživatel problém odhalí, položte mu relevantní otázky, které mu pomohou problém diagnostikovat:

  • Jaký operační systém používá?
  • Jaký prohlížeč (prohlížeče) používají a jakou verzi (verze)?

Čím více informací od nich získáte, tím lépe můžete problém replikovat a najít nápravu.

Jak se čistí?

Škodlivé přesměrování je jednou z nejsnáze odstranitelných infekcí. Zde je dobrý výchozí bod:

  1. Otevřete soubor .htaccess.
  2. Zkopírujte všechna pravidla pro přepisování, která jste sami přidali
  3. Identifikujte případný škodlivý kód, jako je ukázka výše, a odstraňte jej ze souboru. Přejděte až na konec souboru .htaccess a ujistěte se, že tam nejsou žádné chybové směrnice směřující ke stejné infekci.

Ujistěte se, že jste na serveru prohlédli také všechny soubory .htaccess. Zde je jeden z rychlých způsobů, jak zjistit, kolik jich na serveru existuje:

# find -name .htaccess -type f | wc -l

A toto vám řekne, kde přesně se tyto soubory nacházejí:

# find -name .htaccess -type f | sort

Infekce však není vždy omezena pouze tam. V závislosti na infekci můžete také najít přesměrování zakódované a vložené v souboru, jako je index.php nebo header.php.

Ostražující je, že tyto infekce se mohou replikovat ve všech vašich .htaccess souborech. Zadní vrátka, která jsou za ni zodpovědná, mohou být také použita k vytvoření více souborů .htaccess ve všech vašich adresářích, a to se stejnou infekcí. Odstranění infekce se může jevit jako těžký boj a někdy nestačí vyčistit všechny soubory, které najdete. Existují dokonce případy, kdy je soubor vytvořen mimo webový adresář. Z toho plyne ponaučení, že vždy je třeba hledat mimo webový adresář i uvnitř něj.

Jak tomu zabránit?

Rychlou a snadnou metodou je změna vlastnictví souboru nebo snížení oprávnění souboru tak, aby k jeho úpravám měl oprávnění pouze vlastník. Pokud je však váš účet root kompromitován, nebude vám to příliš platné.

Nejdůležitější soubor, o který je třeba se postarat, je .htaccess. Přečtěte si návod „Chraňte své stránky WordPress pomocí souboru .htaccess“, kde najdete tipy, jak na to.

Závěr

Tady to máte: čtyři nejrozšířenější útoky, které dnes způsobují spoušť v mnoha instalacích WordPressu. Možná se nebudete cítit lépe, pokud vás někdo hackne, ale doufejme, že s touto trochou znalostí budete mít větší jistotu, že hackerský útok lze odstranit a že se vám web vrátí. Nejdůležitější je, pokud si z toho odnesete jednu věc: vždy udržujte WordPress aktualizovaný.

Tonyho deset nejlepších bezpečnostních rad

  1. Zbavte se generických účtů a vězte, kdo má k vašemu prostředí přístup.
  2. Zpevněte své adresáře, aby je útočníci nemohli použít proti vám. Zabraňte spouštění PHP.
  3. Udržujte zálohu; nikdy nevíte, kdy ji budete potřebovat.
  4. Připojujte se k serveru bezpečně. Upřednostňujte SFTP a SSH.
  5. Vyhýbejte se serverům typu „soup-kitchen“. Rozdělte je na vývojové, staging a produkční.
  6. Zachovejte si aktuální informace o softwaru – o všech.
  7. Zrušte zbytečné přihlašovací údaje, včetně těch pro FTP, wp-admin a SSH.
  8. Nepotřebujete psát příspěvky jako správce, ani každý nemusí být správce.
  9. Pokud nevíte, co děláte, využijte poskytovatele spravovaného hostingu WordPress.
  10. Filtrování IP adres + Dvoufaktorové ověřování + Silné pověření = Bezpečný přístup

Tonyho nejužitečnější bezpečnostní pluginy

  • Sucuri Sitecheck Malware Scanner Tento plugin od Tonyho a týmu Sucuri umožňuje úplné skenování malwaru a blacklistu v ovládacím panelu WordPressu a obsahuje výkonný firewall webových aplikací (WAF).
  • Omezit počet pokusů o přihlášení Omezuje počet možných pokusů o přihlášení jak prostřednictvím běžného přihlášení, tak pomocí autentizačních souborů cookie.
  • Dvoufaktorové ověřování Tento zásuvný modul umožňuje dvoufaktorové ověřování Duo pomocí služby, jako je zpětné telefonní volání nebo SMS zpráva.
  • Theme-Check Otestujte své téma a ujistěte se, že odpovídá standardům pro kontrolu témat.
  • Plugin-Check Dělá to samé, co Theme-Check, ale pro zásuvné moduly.

Nástroje zabezpečení

  • Sucuri SiteCheck
  • Skener Unmask Parasites

Zdroje zabezpečení

  • Sucuri Blog
  • Zabezpečení webových stránek na Perishable Press
  • Unmask Parasites Blog
  • Badware Busters
  • WPsecure
  • Uzamčení WordPressu, Michael Pick

Užitečné články o zabezpečení

  • „10 užitečných bezpečnostních vylepšení WordPressu“, Jean-Baptiste Jung
  • „10 kroků k zabezpečení instalace WordPressu“, Fouad Matin
  • „Varování na černé listině Google: Něco tu nehraje,“ Tony Perez
  • „Zpevnění WordPressu,“ WordPress Codex
  • „Jak zastavit hackera a zajistit, aby byl váš web uzamčen,“ Tony Perez
  • „Odstranění malwaru z webových stránek: WordPress Tipy a triky,“ Tony Perez
(al)

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.