By Leave a Comment on Yleiset WordPress-haittaohjelmatartunnat

Käyttämällä egrep pystymme tarvittaessa etsimään useita sanoja samaan aikaan, mikä säästää tässä tapauksessa aikaa.

Vai kokeile jotain tällaista:

# grep -r "http://canadapharmacy.com" .

Tämä toimii vain, jos tartuntaa ei ole koodattu, salattu tai ketjutettu.

Toinen käyttökelpoinen menetelmä on käyttää verkkosivustoasi eri käyttäjäagenttien ja lähettäjien kautta. Tässä on esimerkki siitä, miltä eräs verkkosivusto näytti käytettäessä Microsoft IE 6:n referreriä:

Kokeile Bots vs. Browsers -ohjelmaa, jotta voit tarkistaa verkkosivustosi useiden eri selainten kautta.

Terminaalikäyttäjät voivat myös käyttää CURL:

# curl -A "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" http://somesite.com

Kuinka estän sen?

Farmaseurannan hakkeroinnin ehkäiseminen voi olla hankalaa. Sucuri on havainnut, että hakkerointi hyödyntää säännöllisesti haavoittuvia vanhentuneita ohjelmistoja. Vanhentunut WordPress-asennuksesi ei kuitenkaan välttämättä ole ongelma. Vaikka olisitkin ajan tasalla, toinen vanhentunut asennus samalla palvelimella voi olla altis tartunnalle. Jos todellinen hyötykuorma sijaitsee muualla palvelimellasi, ei verkkosivustosi hakemistossa, sen kiinni saaminen voi olla poikkeuksellisen vaikeaa.

Tässä on esimerkki siitä, mitä voisit etsiä, jos et löydä tartuntaa omasta asennuksestasi:

Ehkäistäksesi lääkehakkerin, sinun tulisi tehdä kaksi asiaa:

  1. Pitäkää ohjelmistonne ajan tasalla,
  2. Välttäkää soppakeittiöpalvelimia.

Pahantahtoiset uudelleenohjaukset

Pahantahtoinen uudelleenohjaus lähettää käyttäjän haitalliselle verkkosivustolle. Vuonna 2010 havaittiin 42 926 uutta haitallista verkkotunnusta. Vuonna 2011 määrä kasvoi 55 294:ään. Ja tämä sisältää vain pääverkkotunnukset, ei kaikkia niiden aliverkkotunnuksia.

Kun kävijä ohjataan muulle verkkosivustolle kuin pääverkkotunnukselle, verkkosivusto voi sisältää tai olla sisältämättä haitallista hyötykuormaa. Oletetaan, että sinulla on verkkosivusto osoitteessa myhappysite.com; kun joku vierailee sillä, verkkosivusto voi viedä kävijän osoitteeseen meansite.com/stats.php, jossa haitallinen hyötykuorma on kyseisen verkkosivuston stats.php-tiedostossa. Tai se voi olla harmiton verkkosivusto, jossa on vain mainoksia eikä haitallista hyötykuormaa.

Miten minua vastaan hyökätään?

Kuten monissa haittaohjelmahyökkäyksissä, kyse on pääsystä. Haitallisen uudelleenohjauksen voi tuottaa takaovi. Hakkeri etsii haavoittuvuutta, kuten TimThumbia tai WordPressin vanhoja versioita, ja sen löydettyään lataa hyötykuorman, joka toimii takaovena.

Miltä se näyttää?

Uudelleenohjauksen havaitseminen ei ole yhtä monimutkaista kuin joidenkin muiden tartuntojen havaitseminen. Se löytyy usein .htaccess-tiedostosta ja näyttää jotakuinkin tältä:

tai tältä:

Voi olla tapauksia, joissa uudelleenohjaus on koodattu ja sijaitsee jossakin PHP-tiedostossa. Jos näin on, se löytyy yleensä header.php-, footer.php– tai index.php-tiedostosta; sen tiedetään sijainneen myös index.php-juuritiedostossa ja muissa ydinmallitiedostoissa. Se ei ole aina koodattu, mutta jos se on, se näyttää jotakuinkin tältä:

Miten tiedän, olenko saanut tartunnan?

Tartuntojen tarkistamiseen on muutamia tapoja. Tässä muutamia ehdotuksia:

  • Käytä ilmaista skanneria, kuten SiteCheck. Niiltä jää hyvin harvoin huomaamatta haitallisia uudelleenohjauksia.
  • Testaa käyttämällä Bots vs Browseria.
  • Kuuntele käyttäjiäsi. Et ehkä havaitse uudelleenohjausta, mutta joskus käyttäjä varoittaa sinua siitä.

Jos käyttäjä havaitsee ongelman, kysy häneltä asiaankuuluvia kysymyksiä, jotka auttavat ongelman diagnosoinnissa:

  • Mitä käyttöjärjestelmää hän käyttää?
  • Mitä selainta (selaimia) he käyttävät ja mitä versiota (versioita)?

Mitä enemmän tietoja saat heiltä, sitä paremmin voit toistaa ongelman ja löytää korjauksen.

Miten se puhdistetaan?

Vauralliset uudelleenohjaukset ovat yksi helpoimmin puhdistettavista tartunnoista. Tässä on hyvä lähtökohta:

  1. Avaa .htaccess-tiedostosi.
  2. Kopioi itse lisäämäsi uudelleenkirjoitussäännöt
  3. Tunnista mahdollinen haitallinen koodi, kuten yllä oleva esimerkki, ja poista se tiedostosta. Selaa .htaccess-tiedoston alareunaan asti varmistaaksesi, ettei siellä ole samaan tartuntaan viittaavia virhesuuntaviivoja.

Tarkista myös kaikki palvelimella olevat .htaccess-tiedostot. Tässä on yksi nopea tapa nähdä, kuinka monta niitä on palvelimellasi:

# find -name .htaccess -type f | wc -l

Ja tämä kertoo, missä nuo tiedostot tarkalleen ottaen ovat:

# find -name .htaccess -type f | sort

Tartunta ei kuitenkaan aina rajoitu sinne. Tartunnasta riippuen saatat löytää uudelleenohjauksen myös koodattuna ja upotettuna tiedostoon, kuten index.php tai header.php.

Hälyttävää on, että nämä tartunnat voivat monistua kaikkiin .htaccess-tiedostoihisi. Siitä vastuussa olevaa takaovea voidaan myös käyttää luomaan useita .htaccess-tiedostoja kaikkiin hakemistoihisi, joissa kaikissa on sama tartunta. Tartunnan poistaminen voi tuntua vaivalloiselta, ja joskus jokaisen löytämäsi tiedoston puhdistaminen ei riitä. On jopa tapauksia, joissa tiedosto luodaan Web-hakemiston ulkopuolella. Opetus on, että katso aina sekä Web-hakemiston ulkopuolelta että sen sisältä.

Miten estän sen?

Nopea ja helppo tapa on vaihtaa tiedoston omistusoikeus tai pienentää tiedoston käyttöoikeuksia niin, että vain omistajalla on oikeus muokata sitä. Jos pääkäyttäjätilisi on kuitenkin vaarantunut, siitä ei ole paljon hyötyä.

Tärkein tiedosto, josta kannattaa pitää huolta, on .htaccess. Tutustu opetusohjelmaan ”Protect Your WordPress Site with .htaccess”, josta saat vinkkejä siihen.

Conclusion

Tässä on neljä yleistä hyökkäystä, jotka aiheuttavat tuhoa monissa WordPress-asennuksissa nykyään. Et ehkä tunne oloasi paremmaksi, jos sinut hakkeroidaan, mutta toivottavasti tämän tiedon avulla voit luottaa siihen, että hakkerointi voidaan puhdistaa ja että verkkosivustosi voidaan palauttaa sinulle. Tärkeintä on, jos otat tästä yhden asian talteen: pidä WordPress aina päivitettynä.

Tonyn kymmenen tärkeintä tietoturvavinkkiä

  1. Hävitä geneeriset tilit ja tiedä, kuka pääsee käyttämään ympäristöäsi.
  2. Kovenna hakemistojasi, jotta hyökkääjät eivät voi käyttää niitä sinua vastaan. Tapa PHP:n suoritus.
  3. Säilytä varmuuskopio; et koskaan tiedä, milloin tarvitset sitä.
  4. Kytke palvelimesi turvallisesti. SFTP ja SSH ovat suositeltavia.
  5. Vältä soppakeittiöpalvelimia. Segmentoi kehitys-, staging- ja tuotantopalvelimien välillä.
  6. Pidä ohjelmistosi ajan tasalla – kaikki ohjelmistot.
  7. Kadota tarpeettomat tunnukset, myös FTP:n, wp-adminin ja SSH:n osalta.
  8. Sinun ei tarvitse kirjoittaa viestejä ylläpitäjänä eikä kaikkien tarvitse olla ylläpitäjiä.
  9. Jos et tiedä, mitä olet tekemässä, hyödynnä hallittua WordPress-isännöintipalveluntarjoajaa.
  10. IP-suodatus + Kahden tekijän todennus + Vahvat tunnistetiedot = Turvallinen pääsy

Tonyn hyödyllisimmät tietoturvaliitännäiset

  • Sucuri Sitecheck Malware Scanner Tämä Tonyn ja Sucurin porukan liitännäinen mahdollistaa täydellisen haittaohjelmien ja mustan listan skannauksen WordPress-kojelaudassasi, ja siihen sisältyy myös tehokas web-sovelluspalomuuri (WAF).
  • Limit Login Attempts Rajoittaa mahdollisten kirjautumisyritysten määrää sekä normaalin kirjautumisen että auth-evästeiden avulla.
  • Two-Factor Authentication Tämä lisäosa ottaa käyttöön Duon kaksitekijätodennuksen, joka käyttää palvelua, kuten puhelinsoittoa tai tekstiviestiä.
  • Theme-Check Testaa teemasi varmistaaksesi, että se on teemojen tarkistusstandardien mukainen.
  • Plugin-Check Tekee saman kuin Theme-Check, mutta lisäosille.

Turvatyökalut

  • Sucuri SiteCheck
  • Unmask Parasites -skanneri

Turvaresurssit

  • Sucurilla. Blogi
  • Verkkosivujen turvallisuus Perishable Pressissä
  • Unmask Parasites Blogi
  • Badware Busters
  • WPsecure
  • WordPressin lukitseminen, Michael Pick

Hyödyllisiä tietoturva-artikkeleita

  • ”10 Hyödyllistä WordPress Security Tweaks,” Jean-Baptiste Jung
  • ”10 Steps to Secure Your WordPress Installation,” Fouad Matin
  • ”Google Blacklist Warnings: Tony Perez
  • ”Hardening WordPress,” WordPress Codex
  • ”How to Stop the Hacker and Ensure Your Site Is Locked,” Tony Perez
  • ”Website Malware Removal: WordPress-vinkkejä ja -temppuja”, Tony Perez
(al)

.

Vastaa

Sähköpostiosoitettasi ei julkaista.