By Leave a Comment on Common WordPress Malware Infections

A egrep használatával szükség esetén egyszerre több szóra is tudunk keresni, így ebben az esetben időt takaríthatunk meg.

Vagy próbáljunk ki valami ilyesmit:

# grep -r "http://canadapharmacy.com" .

Ez csak akkor működik, ha a fertőzés nincs kódolva, titkosítva vagy összefűzve.

Egy másik hasznos módszer, ha különböző felhasználói ügynökökön és referreren keresztül érjük el a webhelyünket. Íme egy példa arra, hogyan nézett ki egy weboldal a Microsoft IE 6 referrer használatával:

Próbálja ki a Bots vs Browsers-t, hogy több különböző böngészőn keresztül ellenőrizze weboldalát.

A végfelhasználók is használhatják a CURL:

# curl -A "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" http://somesite.com

Hogyan tudom megelőzni?

A gyógyszeripari hackelés megelőzése trükkös lehet. A Sucuri megállapította, hogy a hack rendszeresen kihasználja a sebezhető, elavult szoftvereket. Azonban nem feltétlenül az elavult WordPress telepítése jelenti a problémát. Még ha naprakész is, egy másik elavult telepítés ugyanazon a szerveren sebezhető a fertőzéssel szemben. Ha a valódi hasznos teher máshol található a szerveren, nem a webhelye könyvtárában, akkor elkapása rendkívül nehéz lehet.

Itt egy példa arra, hogy mit kereshet, ha nem találja a fertőzést a saját telepítésében:

A gyógyszeripari hack megelőzése érdekében két dolgot kell tennie:

  1. Tartsa naprakészen a szoftverét,
  2. Kerülje el a leveskonyhás szervereket.

Kártékony átirányítások

A kártékony átirányítás egy kártékony weboldalra küldi a felhasználót. 2010-ben 42 926 új rosszindulatú tartományt észleltek. Ez a szám 2011-ben 55 294-re nőtt. És ez csak az elsődleges domaineket tartalmazza, nem pedig azok összes aldomainjét.

Ha egy látogatót a fő webhelytől eltérő webhelyre irányítanak át, az a webhely tartalmazhat rosszindulatú hasznos terhet, de nem feltétlenül. Tegyük fel, hogy van egy webhelye a myhappysite.com címen; amikor valaki meglátogatja, a webhely átirányíthatja a látogatót a meansite.com/stats.php címre, ahol a rosszindulatú hasznos teher a webhely stats.php fájljában található. Vagy lehet egy ártalmatlan weboldal, csak hirdetésekkel és rosszindulatú hasznos teher nélkül.

Hogyan támadnak meg?

Mint sok rosszindulatú szoftveres támadásnál, itt is a hozzáférésről van szó. A rosszindulatú átirányítást egy hátsó ajtó is létrehozhatja. A hacker egy sebezhetőséget keresne, például a TimThumbot vagy a WordPress régi verzióit, és ha megtalálja, feltöltene egy hasznos terhet, amely backdoor-ként működik.

Milyennek tűnik?

Az átirányítás észlelése nem olyan bonyolult, mint néhány más fertőzés észlelése. Gyakran a .htaccess fájlban található, és valahogy így néz ki:

Vagy így:

Van olyan eset, amikor az átirányítás kódolva van, és az egyik PHP fájlban található. Ha ez így van, akkor általában a header.php, footer.php vagy index.php fájlban található; az is ismert, hogy a gyökér index.php fájlban és más core template fájlokban található. Nem mindig van kódolva, de ha igen, akkor valahogy így fog kinézni:

Hogyan állapíthatom meg, hogy fertőzött vagyok-e?

A fertőzések ellenőrzésének több módja is van. Íme néhány javaslat:

  • Felhasználhat egy ingyenes szkennert, például a SiteCheck-et. Ezek nagyon ritkán hagynak ki rosszindulatú átirányításokat.
  • Tesztelje a Bots vs. Browser segítségével.
  • Hallgassa meg a felhasználóit. Lehet, hogy Ön nem észleli az átirányítást, de néha egy felhasználó figyelmeztetni fogja Önt rá.

Ha egy felhasználó mégis észleli a problémát, tegyen fel neki idevágó kérdéseket, hogy segítsen diagnosztizálni a problémát:

  • Milyen operációs rendszert használ?
  • Milyen böngésző(ke)t és milyen verzió(ka)t használnak?

Minél több információt kap tőlük, annál jobban tudja reprodukálni a problémát és megtalálni a javítást.

Hogyan tisztítható?

A rosszindulatú átirányítások az egyik legkönnyebben tisztítható fertőzés. Íme egy jó kiindulópont:

  1. Nyissa meg a .htaccess fájlt.
  2. Másolja ki a saját maga által hozzáadott átírási szabályokat
  3. Identifikálja a rosszindulatú kódot, mint a fenti minta, és távolítsa el a fájlból. Lapozzon egészen a .htaccess aljáig, hogy megbizonyosodjon arról, hogy nincsenek olyan hiba direktívák, amelyek ugyanarra a fertőzésre mutatnak.

Nézze meg az összes .htaccess fájlt is a kiszolgálón. Itt egy gyors módja annak, hogy megnézze, hány van a szerveren:

# find -name .htaccess -type f | wc -l

Ez pedig megmondja, hogy pontosan hol vannak ezek a fájlok:

# find -name .htaccess -type f | sort

A fertőzés azonban nem mindig ott korlátozódik. A fertőzéstől függően előfordulhat, hogy az átirányítást kódolva és beágyazva találod egy olyan fájlban is, mint a index.php vagy a header.php.

A riasztó, hogy ezek a fertőzések az összes .htaccess fájlodban replikálódhatnak. Az érte felelős backdoor arra is használható, hogy több .htaccess fájlt hozzon létre az összes könyvtáradban, mindegyiket ugyanazzal a fertőzéssel. A fertőzés eltávolítása felemás küzdelemnek tűnhet, és néha nem elég minden megtalált fájl megtisztítása. Vannak olyan esetek is, amikor egy fájl a webes könyvtáron kívül jön létre. A tanulság az, hogy mindig nézzen körül a webes könyvtáron kívül és belül is.

Hogyan előzhetem meg?

Egy gyors és egyszerű módszer a fájl tulajdonjogának megváltoztatása, vagy a fájl jogosultságainak csökkentése, hogy csak a tulajdonosnak legyen jogosultsága a módosításra. Ha azonban a root fiókodat veszélyeztetik, ez nem sokat segít.

A legfontosabb fájl, amire vigyáznod kell, a .htaccess. Nézd meg a “Protect Your WordPress Site with .htaccess” című oktatóanyagot, ahol tippeket találsz erre vonatkozóan.

Következtetés

Íme, itt van: négy elterjedt támadás, amelyek manapság sok WordPress telepítésben okoznak pusztítást. Lehet, hogy nem fogod jobban érezni magad, ha meghekkelnek, de remélhetőleg ezzel a kis tudással már magabiztosabb leszel, hogy a hackert ki lehet tisztítani, és a weboldaladat vissza lehet adni. A legfontosabb, ha ebből egy dolgot leszűrsz: mindig tartsd frissítve a WordPress-t.

Tony tíz legfontosabb biztonsági tippje

  1. Távolítsd el az általános fiókokat, és tudd, hogy ki fér hozzá a környezetedhez.
  2. Védd a könyvtáraidat, hogy a támadók ne tudják felhasználni őket ellened. Ölje meg a PHP végrehajtását.
  3. Tartson biztonsági mentést; sosem tudhatja, mikor lesz rá szüksége.
  4. Kapcsolódjon biztonságosan a szerveréhez. Az SFTP és az SSH előnyben részesül.
  5. Kerüld a leveseskonyhás szervereket. Szegmentáljon a fejlesztés, a staging és a termelés között.
  6. Legyen naprakész a szoftverével – az összes szoftverrel.
  7. Öld meg a felesleges hitelesítő adatokat, többek között az FTP, a wp-admin és az SSH számára.
  8. Nem kell adminisztrátorként posztokat írnia, és nem kell mindenkinek adminisztrátornak lennie.
  9. Ha nem tudja, mit csinál, vegye igénybe egy menedzselt WordPress hosting szolgáltatót.
  10. IP-szűrés + Kétfaktoros hitelesítés + Erős hitelesítő adatok = Biztonságos hozzáférés

Tony leghasznosabb biztonsági bővítményei

  • Sucuri Sitecheck Malware Scanner Ez a bővítmény Tony-tól és a Sucuri csapatától teljes körű rosszindulatú programok és feketelisták vizsgálatát teszi lehetővé a WordPress műszerfalán, és tartalmaz egy hatékony webes alkalmazás tűzfalat (WAF).
  • Limit Login Attempts Korlátozza a lehetséges bejelentkezési kísérletek számát mind a normál bejelentkezés, mind az auth cookie-k használatával.
  • Kétfaktoros hitelesítés Ez a bővítmény lehetővé teszi a Duo kétfaktoros hitelesítést, egy olyan szolgáltatás segítségével, mint a telefonos visszahívás vagy SMS üzenet.
  • Theme-Check Tesztelje a témáját, hogy megbizonyosodjon arról, hogy megfelel a téma felülvizsgálati szabványainak.
  • Plugin-Check Azt teszi, amit a Theme-Check, de a bővítmények számára.

Biztonsági eszközök

  • Sucuri SiteCheck
  • Unmask Parasites scanner

Security Resources

  • Sucuri. Blog
  • Website Security at Perishable Press
  • Unmask Parasites Blog
  • Badware Busters
  • WPsecure
  • Locking Down WordPress, Michael Pick

Hasznos biztonsági cikkek

  • “10 hasznos WordPress biztonsági csípés”, Jean-Baptiste Jung
  • “10 lépés a WordPress telepítésed biztonságossá tételéhez”, Fouad Matin
  • “Google fekete listás figyelmeztetések: Tony Perez
  • “Hardening WordPress,” WordPress Codex
  • “How to Stop the Hacker and Ensure Your Site Is Locked,” Tony Perez
  • “Website Malware Removal: WordPress tippek és trükkök,” Tony Perez
(al)

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.