Używając egrep
, jesteśmy w stanie przeszukiwać wiele słów w tym samym czasie, jeśli to konieczne, oszczędzając w ten sposób czas w tym przypadku.
Albo spróbuj czegoś takiego:
# grep -r "http://canadapharmacy.com" .
To działa tylko wtedy, gdy infekcja nie jest zakodowana, zaszyfrowana lub połączona.
Inną użyteczną metodą jest dostęp do witryny za pośrednictwem różnych agentów użytkownika i odsyłaczy. Oto przykład tego, jak wyglądała jedna z witryn przy użyciu odsyłacza Microsoft IE 6:
Spróbuj Bots vs Browsers, aby sprawdzić swoją witrynę za pośrednictwem kilku różnych przeglądarek.
Użytkownicy terminala mogą również użyć CURL
:
# curl -A "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" http://somesite.com
Jak temu zapobiec?
Zapobieganie hakerom farmaceutycznym może być trudne. Firma Sucuri odkryła, że hakerzy regularnie wykorzystują podatne na ataki nieaktualne oprogramowanie. Jednak Twoja przestarzała instalacja WordPressa niekoniecznie jest problemem. Nawet jeśli jesteś na bieżąco, inna przestarzała instalacja na tym samym serwerze może być podatna na infekcję. Jeśli prawdziwy payload znajduje się w innym miejscu na serwerze, nie w katalogu Twojej strony, to jego złapanie może być wyjątkowo trudne.
Oto przykład tego, czego możesz szukać, jeśli nie możesz znaleźć infekcji we własnej instalacji:
Aby zapobiec włamaniu do apteki, powinieneś zrobić dwie rzeczy:
- Dbaj o aktualność swojego oprogramowania,
- Trzymaj się z dala od serwerów typu soup-kitchen.
Złośliwe przekierowania
Złośliwe przekierowanie wysyła użytkownika do złośliwej witryny. W 2010 roku wykryto 42 926 nowych złośliwych domen. W 2011 roku liczba ta wzrosła do 55 294. A to obejmuje tylko domeny główne, nie wszystkie ich subdomeny.
Gdy odwiedzający jest przekierowywany na stronę inną niż główna, strona ta może, ale nie musi zawierać złośliwy ładunek. Załóżmy, że masz witrynę pod adresem myhappysite.com
; gdy ktoś ją odwiedzi, witryna może przenieść odwiedzającego do meansite.com/stats.php
, gdzie złośliwy ładunek znajduje się w pliku stats.php
tej witryny. Może to być również nieszkodliwa witryna z samymi reklamami i bez złośliwego ładunku.
Jak zostałem zaatakowany?
Jak w przypadku wielu ataków złośliwego oprogramowania, wszystko sprowadza się do dostępu. Złośliwe przekierowanie może zostać wygenerowane przez backdoora. Haker skanuje w poszukiwaniu luk w zabezpieczeniach, takich jak TimThumb lub stare wersje WordPressa, a gdy je znajdzie, przesyła ładunek, który działa jak backdoor.
Jak to wygląda?
Wykrywanie przekierowania nie jest tak skomplikowane, jak wykrywanie niektórych innych infekcji. Często znajduje się ono w pliku .htaccess
i wygląda mniej więcej tak:
Albo tak:
Może się zdarzyć, że przekierowanie jest zakodowane i znajduje się w jednym z twoich plików PHP. Jeśli tak, to zazwyczaj znajduje się ono w pliku header.php
, footer.php
lub index.php
; wiadomo również, że znajduje się ono w głównym pliku index.php
oraz w innych plikach szablonów. Nie zawsze jest zakodowany, ale jeśli jest, będzie wyglądał mniej więcej tak:
Jak sprawdzić, czy jestem zainfekowany?
Jest kilka sposobów na sprawdzenie, czy nie jestem zainfekowany. Oto kilka sugestii:
- Użyj darmowego skanera, takiego jak SiteCheck. Bardzo rzadko przegapiają one złośliwe przekierowania.
- Testuj używając Bots vs Browser.
- Słuchaj swoich użytkowników. Możesz nie wykryć przekierowania, ale czasami użytkownik powiadomi cię o tym.
Jeśli użytkownik wykryje problem, zadaj mu istotne pytania, aby pomóc zdiagnozować problem:
- Jakiego systemu operacyjnego używa?
- Jakiej przeglądarki (przeglądarek) używają i której wersji (wersji)?
Im więcej informacji uzyskasz od nich, tym lepiej będziesz mógł odtworzyć problem i znaleźć rozwiązanie.
Jak to jest czyszczone?
Złośliwe przekierowania są jedną z najłatwiejszych infekcji do usunięcia. Oto dobry punkt wyjścia:
- Otwórz swój plik
.htaccess
. - Kopiuj wszystkie reguły przepisywania, które sam dodałeś
- Zidentyfikuj złośliwy kod, taki jak powyższa próbka, i usuń go z pliku. Przewiń do samego dołu
.htaccess
, aby upewnić się, że nie ma żadnych dyrektyw błędów wskazujących na tę samą infekcję.
Pewnie sprawdź również wszystkie pliki .htaccess
na serwerze. Oto jeden szybki sposób, aby zobaczyć, jak wiele istnieje na serwerze:
# find -name .htaccess -type f | wc -l
A to powie ci, gdzie dokładnie są te pliki:
# find -name .htaccess -type f | sort
Infekcja nie zawsze jest ograniczony tam, choć. W zależności od infekcji, możesz również znaleźć przekierowanie zakodowane i osadzone w pliku takim jak index.php
lub header.php
.
Niepokojące jest to, że infekcje te mogą replikować się we wszystkich Twoich plikach .htaccess
. Odpowiedzialny za nie backdoor może być również wykorzystywany do tworzenia wielu plików .htaccess
we wszystkich katalogach, z których wszystkie zawierają tę samą infekcję. Usuwanie infekcji może przypominać walkę pod górę, a czasami czyszczenie każdego pliku, który można znaleźć, nie wystarcza. Istnieją nawet przypadki, w których plik jest tworzony poza katalogiem WWW. Lekcja jest zawsze szukać poza swoim katalogu sieci Web, jak również w nim.
Jak temu zapobiec?
Szybką i łatwą metodą jest zmiana właściciela pliku, lub zmniejszyć uprawnienia pliku tak, że tylko właściciel ma prawo do jego modyfikacji. Jednak jeśli twoje konto root jest zagrożone, nie przyniesie ci to wiele korzyści.
Najważniejszym plikiem, o który należy zadbać, jest .htaccess
. Sprawdź samouczek „Protect Your WordPress Site with .htaccess” po wskazówki, jak to zrobić.
Conclusion
There you have it: four prevalent attacks that cause havoc across many WordPress installations today. Możesz nie czuć się lepiej, jeśli zostaniesz zhakowany, ale mam nadzieję, że z tą odrobiną wiedzy, poczujesz się bardziej pewny, że hack może być czyszczone i że Twoja strona może być zwrócona do Ciebie. Najważniejsze, jeśli wyniesiesz z tego jedną rzecz: zawsze aktualizuj WordPressa.
Tony’s Top Ten Security Tips
- Pozbądź się kont generycznych i wiedz, kto ma dostęp do twojego środowiska.
- Utwardź swoje katalogi, aby napastnicy nie mogli ich użyć przeciwko tobie. Zablokuj wykonywanie PHP.
- Zachowaj kopię zapasową; nigdy nie wiadomo, kiedy będzie potrzebna.
- Podłącz się bezpiecznie do swojego serwera. Preferowane są SFTP i SSH.
- Unikaj serwerów typu soup-kitchen. Segmentuj między rozwojem, inscenizacją i produkcją.
- Bądź na bieżąco ze swoim oprogramowaniem – wszystkim.
- Zabij niepotrzebne poświadczenia, w tym dla FTP, wp-admin i SSH.
- Nie musisz pisać postów jako administrator, ani każdy musi być administratorem.
- Jeśli nie wiesz, co robisz, skorzystaj z zarządzanego dostawcy usług hostingowych WordPress.
- Filtrowanie IP + Uwierzytelnianie dwuskładnikowe + Silne poświadczenia = Bezpieczny dostęp
Najbardziej przydatne wtyczki bezpieczeństwa Tony’ego
- Sucuri Sitecheck Malware Scanner Ta wtyczka od Tony’ego i załogi Sucuri umożliwia pełne skanowanie złośliwego oprogramowania i czarnej listy w pulpicie nawigacyjnym WordPress, a także zawiera potężną zaporę aplikacji internetowych (WAF).
- Limituj próby logowania Ogranicza liczbę prób logowania możliwych zarówno przez normalne logowanie, jak i przy użyciu plików cookie auth.
- Two-Factor Authentication Ta wtyczka umożliwia uwierzytelnianie dwuskładnikowe Duo, korzystając z usługi takiej jak oddzwonienie na telefon lub wiadomość SMS.
- Theme-Check Przetestuj swój motyw, aby upewnić się, że jest zgodny ze standardami przeglądu motywów.
- Plugin-Check Robi to, co Theme-Check, ale dla wtyczek.
Narzędzia bezpieczeństwa
- Sucuri SiteCheck
- Skaner Unmask Parasites
Zasoby bezpieczeństwa
- Sucuri Blog
- Website Security at Perishable Press
- Unmask Parasites Blog
- Badware Busters
- WPsecure
- Locking Down WordPress, Michael Pick
Użyteczne artykuły o bezpieczeństwie
- „10 Useful WordPress Security Tweaks,” Jean-Baptiste Jung
- „10 Steps to Secure Your WordPress Installation,” Fouad Matin
- „Google Blacklist Warnings: Something’s Not Right Here,” Tony Perez
- „Hardening WordPress,” WordPress Codex
- „How to Stop the Hacker and Ensure Your Site Is Locked,” Tony Perez
- „Website Malware Removal: WordPress Tips and Tricks,” Tony Perez
.