Ved at bruge egrep
kan vi søge på flere ord på samme tid, hvis det er nødvendigt, og dermed spare dig tid i dette tilfælde.
Og prøv noget som dette:
# grep -r "http://canadapharmacy.com" .
Dette virker kun, hvis infektionen ikke er kodet, krypteret eller sammenkædet.
En anden nyttig metode er at få adgang til dit websted via forskellige brugeragenter og henvisninger. Her er et eksempel på, hvordan et websted så ud, når man brugte en Microsoft IE 6-referrer:
Forsøg Bots vs Browsers for at tjekke dit websted via en række forskellige browsere.
Terminalbrugere kan også bruge CURL
:
# curl -A "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" http://somesite.com
Hvordan kan jeg forebygge det?
Det kan være svært at forebygge et pharma-hack. Sucuri har fundet ud af, at hacket regelmæssigt udnytter sårbar forældet software, der ikke er opdateret. Din forældede WordPress-installation er dog ikke nødvendigvis problemet. Selv hvis du er opdateret, kan en anden forældet installation på den samme server være sårbar over for infektionen. Hvis den virkelige nyttelast befinder sig et andet sted på din server, ikke i dit websteds mappe, kan det være usædvanligt svært at fange den.
Her er et eksempel på, hvad du kan lede efter, hvis du ikke kan finde infektionen i din egen installation:
For at forhindre et pharma-hack bør du gøre to ting:
- Hold din software opdateret,
- Hold dig fra suppekøkken-servere.
Skadelige omdirigeringer
En skadelig omdirigering sender en bruger til et skadeligt websted. I 2010 blev der opdaget 42 926 nye ondsindede domæner. I 2011 steg dette tal til 55 294. Og det omfatter kun primære domæner, ikke alle deres underdomæner.
Når en besøgende omdirigeres til et andet websted end det primære, kan webstedet indeholde en skadelig nyttelast, men det er ikke nødvendigvis tilfældet. Antag, at du har et websted på myhappysite.com
; når nogen besøger det, kan webstedet føre den besøgende videre til meansite.com/stats.php
, hvor den ondsindede nyttelast befinder sig i dette websteds stats.php
-fil. Eller det kunne være et harmløst websted med kun reklamer og ingen skadelig nyttelast.
Hvordan bliver jeg angrebet?
Som med mange malware-angreb handler det om adgang. Den skadelige omdirigering kan være genereret af en bagdør. Hackeren ville scanne efter en sårbarhed, såsom TimThumb eller gamle versioner af WordPress, og når de finder den, uploader de en nyttelast, der fungerer som en bagdør.
Hvordan ser det ud?
Detektering af en omdirigering er ikke så kompleks som at detektere nogle af de andre infektioner. Den findes ofte i din .htaccess
-fil og ser nogenlunde sådan ud:
Og sådan her:
Der kan være tilfælde, hvor en redirect er kodet og befinder sig i en af dine PHP-filer. I så fald findes den normalt i din header.php
-, footer.php
– eller index.php
-fil; den er også kendt for at ligge i roden index.php
-fil og i andre kerneskabelonfiler. Den er ikke altid kodet, men hvis den er det, vil den se nogenlunde sådan ud:
Hvordan kan jeg se, om jeg er inficeret?
Der er et par måder at kontrollere for infektioner på. Her er nogle forslag:
- Brug en gratis scanner, såsom SiteCheck. De overser meget sjældent skadelige omdirigeringer.
- Test ved hjælp af Bots vs Browser.
- Lyt til dine brugere. Du opdager måske ikke omdirigeringerne, men nogle gange vil en bruger gøre dig opmærksom på dem.
Hvis en bruger opdager et problem, så stil dem relevante spørgsmål for at hjælpe med at diagnosticere problemet:
- Hvilket operativsystem bruger de?
- Hvilken eller hvilke browsere bruger de, og hvilken eller hvilke versioner?
Desto flere oplysninger du får fra dem, jo bedre kan du replikere problemet og finde en løsning.
Hvordan renses det?
Skadelige omdirigeringer er en af de letteste infektioner at rense. Her er et godt udgangspunkt:
- Åbn din
.htaccess
-fil. - Kopier eventuelle omskrivningsregler, som du selv har tilføjet
- Identificer enhver skadelig kode, som eksemplet ovenfor, og fjern den fra filen. Rul helt ned til bunden af
.htaccess
for at sikre dig, at der ikke er nogen fejldirektiver, der peger på den samme infektion.
Sørg også for at kigge efter alle .htaccess
-filer på serveren. Her er en hurtig måde at se, hvor mange der findes på din server:
# find -name .htaccess -type f | wc -l
Og dette vil fortælle dig, hvor præcis disse filer er:
# find -name .htaccess -type f | sort
Infektionen er dog ikke altid begrænset til disse filer. Afhængigt af infektionen kan du også finde omdirigeringen kodet og indlejret i en fil som index.php
eller header.php
.
Det er alarmerende, at disse infektioner kan replikere sig på tværs af alle dine .htaccess
filer. Den bagdør, der er ansvarlig for den, kan også bruges til at oprette flere .htaccess
-filer på tværs af alle dine mapper, alle med den samme infektion. Det kan føles som en hård kamp at fjerne infektionen, og nogle gange er det ikke nok at rense alle de filer, du kan finde. Der er endda tilfælde, hvor en fil er oprettet uden for webmappen. Læren er, at du altid skal kigge uden for din webmappe såvel som inden for den.
Hvordan kan jeg forhindre det?
En hurtig og nem metode er at ændre ejerskabet af filen eller at reducere filens tilladelser, så kun ejeren har tilladelse til at ændre den. Hvis din root-konto er kompromitteret, vil det dog ikke hjælpe dig meget.
Den vigtigste fil at passe på er .htaccess
. Tjek selvstudiet “Protect Your WordPress Site with .htaccess” for at få tips til at gøre det.
Konklusion
Der har du det: fire udbredte angreb, der forårsager ravage på tværs af mange WordPress-installationer i dag. Du får det måske ikke bedre, hvis du bliver hacket, men forhåbentlig vil du med denne smule viden føle dig mere sikker på, at hacket kan ryddes op, og at du kan få dit websted tilbage til dig. Det vigtigste er, hvis du tager én ting med dig fra dette: Hold altid WordPress opdateret.
Tonys ti bedste sikkerhedstips
- Gør dig fri af generiske konti, og vid, hvem der har adgang til dit miljø.
- Hærd dine mapper, så angribere ikke kan bruge dem mod dig. Dræb PHP-eksekvering.
- Hold en sikkerhedskopi; du ved aldrig, hvornår du får brug for den.
- Før sikker forbindelse til din server. SFTP og SSH er at foretrække.
- Undgå suppekøkken-servere. Segmenter mellem udvikling, staging og produktion.
- Hold dig opdateret med din software – det hele.
- Skær unødvendige legitimationsoplysninger, herunder til FTP, wp-admin og SSH.
- Du behøver ikke at skrive indlæg som administrator, og alle behøver heller ikke at være administratorer.
- Hvis du ikke ved, hvad du gør, så udnyt en administreret WordPress-hostingudbyder.
- IP-filtrering + To-faktor-autentifikation + Stærke legitimationsoplysninger = Sikker adgang
Tonys mest nyttige sikkerhedsplugins
- Sucuri Sitecheck Malware Scanner Dette plugin fra Tony og Sucuri-holdet muliggør fuld malware- og sortlistescanning i dit WordPress-dashboard, og det omfatter en kraftfuld Web Application Firewall (WAF).
- Limit Login Attempts Begrænser antallet af mulige loginforsøg både via normalt login og ved hjælp af auth-cookies.
- To-faktor-autentifikation Dette plugin aktiverer Duos to-faktor-autentifikation ved hjælp af en tjeneste som f.eks. telefonopkald eller SMS-besked.
- Theme-Check Test dit tema for at sikre, at det er i overensstemmelse med standarderne for tema-gennemgang.
- Plugin-Check Gør det samme som Theme-Check, men for plugins.
Sikkerhedsværktøjer
- Sucuri SiteCheck
- Afmasker Parasites-scanner
Sikkerhedsressourcer
- Sucuri Blog
- Webstedssikkerhed hos Perishable Press
- Unmask Parasites Blog
- Badware Busters
- WPsecure
- Låsning af WordPress, Michael Pick
Nyttige sikkerhedsartikler
- “10 Useful WordPress Security Tweaks,” Jean-Baptiste Jung
- “10 Steps to Secure Your WordPress Installation,” Fouad Matin
- “Google Blacklist Warnings: Something’s Not Right Here,” Tony Perez
- “Hardening WordPress,” WordPress Codex
- “How to Stop the Hacker and Ensure Your Site Is Locked,” Tony Perez
- “Website Malware Removal: WordPress Tips and Tricks,” Tony Perez