Usando egrep, podemos pesquisar várias palavras ao mesmo tempo, se necessário, poupando-lhe assim tempo neste caso.
Or tente algo assim:
# grep -r "http://canadapharmacy.com" .Isso só funciona se a infecção não for codificada, encriptada ou concatenada.
Outro método útil é acessar seu site através de diferentes agentes de usuário e referenciadores. Aqui está um exemplo de como era um website ao usar um referrer do Microsoft IE 6:
Try Bots vs Browsers para verificar o seu website através de vários browsers diferentes.
Usuários Terminais também podem usar CURL:
# curl -A "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" http://somesite.comComo posso prevenir isso?
Prevenir um hack farma pode ser complicado. Sucuri descobriu que o hack explora regularmente softwares vulneráveis e desactualizados. No entanto, a sua instalação do WordPress desactualizada não é necessariamente o problema. Mesmo que você esteja atualizado, outra instalação desatualizada no mesmo servidor pode ser vulnerável à infecção. Se a carga útil real reside em outro lugar no seu servidor, não dentro do diretório do seu site, então pegá-la pode ser excepcionalmente difícil.
Aqui está um exemplo do que você pode estar procurando se você não conseguir encontrar a infecção em sua própria instalação:
Para prevenir um hack farma, você deve fazer duas coisas:
- Mantenha o seu software atualizado,
- Virar longe dos servidores de sopa de cozinha.
Malicious Redirects
Um redirecionamento malicioso envia um usuário para um site malicioso. Em 2010, 42.926 novos domínios maliciosos foram detectados. Em 2011, este número cresceu para 55.294. E isso inclui apenas domínios primários, não todos os seus subdomínios.
Quando um visitante é redirecionado para um site que não seja o principal, o site pode ou não conter uma carga útil maliciosa. Suponha que você tenha um website em myhappysite.com; quando alguém o visita, o website poderia levar o visitante para meansite.com/stats.php, onde a carga útil maliciosa está no arquivo stats.php desse website. Ou pode ser um website inofensivo com apenas anúncios e sem carga útil maliciosa.
Como sou atacado?
Como com muitos ataques de malware, ele desce para o acesso. O redirecionamento malicioso poderia ser gerado por um backdoor. O hacker iria procurar por uma vulnerabilidade, como o TimThumb ou versões antigas do WordPress e, quando o encontrassem, carregar uma carga que funciona como backdoor.
O que parece?
Detectar um redirecionamento não é tão complexo quanto detectar algumas das outras infecções. Ele é frequentemente encontrado no seu arquivo .htaccess e se parece com isto:
Or assim:
Existem instâncias onde um redirecionamento é codificado e reside em um dos seus arquivos PHP. Se assim for, ele normalmente será encontrado no seu arquivo header.php, footer.php ou index.php; também é conhecido por residir na raiz do arquivo index.php e em outros arquivos centrais de modelos. Nem sempre é codificado, mas se for, parecerá algo como isto:
Como posso dizer se estou infectado?
Existem algumas maneiras de verificar se há infecções. Aqui estão algumas sugestões:
- Utilizar um scanner gratuito, tal como o SiteCheck. Eles muito raramente perdem redirecionamentos maliciosos.
- Testar usando Bots vs Browser.
- Oiça os seus usuários. Você pode não detectar o redirecionamento, mas às vezes um usuário irá alertá-lo.
Se um usuário detectar um problema, faça perguntas pertinentes para ajudá-lo a diagnosticar o problema:
- Que sistema operacional eles estão usando?
- Que navegador(es) eles estão usando, e que versão(ões)?
Quanto mais informações você obtiver deles, melhor você pode replicar o problema e encontrar uma correção.
Como ele é limpo?
Os redirecionamentos maliciosos são uma das infecções mais fáceis de limpar. Aqui está um bom ponto de partida:
- Abra o teu
.htaccessficheiro. - Copia qualquer regra de reescrita que tu próprio tenhas adicionado
- Identifica qualquer código malicioso, como a amostra acima, e remove-o do ficheiro. Vá até ao fundo de
.htaccesspara ter a certeza que não existem directivas de erro que apontem para a mesma infecção.
Cuidado também de procurar todos os ficheiros .htaccess no servidor. Aqui está uma maneira rápida de ver quantos existem no seu servidor:
# find -name .htaccess -type f | wc -lE isto irá dizer-lhe onde estão exactamente esses ficheiros:
# find -name .htaccess -type f | sort A infecção nem sempre é restrita lá, no entanto. Dependendo da infecção, você também pode encontrar o redirecionamento codificado e embutido em um arquivo como index.php ou header.php.
Alarmando, essas infecções podem se replicar em todos os seus arquivos .htaccess. A porta traseira responsável por ela também pode ser usada para criar múltiplos arquivos .htaccess em todos os seus diretórios, todos com a mesma infecção. Remover a infecção pode parecer uma luta difícil, e às vezes limpar todos os arquivos que você encontrar não é suficiente. Há até mesmo casos em que um arquivo é criado fora do diretório da Web. A lição é sempre procurar fora do seu diretório Web, bem como dentro dele.
Como eu previno isso?
Um método rápido e fácil é mudar a propriedade do arquivo, ou reduzir as permissões do arquivo para que apenas o proprietário tenha permissão para modificá-lo. No entanto, se a sua conta root estiver comprometida, isso não lhe servirá de muito.
O ficheiro mais importante a tratar é o .htaccess. Confira o tutorial “Proteja seu site WordPress com .htaccess” para dicas sobre como fazer isso.
Conclusion
Aí está: quatro ataques predominantes que causam estragos em muitas instalações do WordPress hoje. Você pode não se sentir melhor se for hackeado, mas espero que, com esse conhecimento, você se sinta mais confiante de que o hack pode ser limpo e que o seu site pode ser devolvido a você. Mais importante, se você tirar uma coisa disto: sempre mantenha o WordPress atualizado.
Tony’s Top Ten Security Tips
- Deixar de contas genéricas, e saber quem está acessando seu ambiente.
- Escaldar seus diretórios para que os atacantes não possam usá-los contra você. Mata a execução do PHP.
- Calme uma cópia de segurança; nunca se sabe quando vai precisar dela.
- Conecte com segurança ao seu servidor. SFTP e SSH é preferível.
- Evite servidores de sopa de cozinha. Segmento entre desenvolvimento, encenação e produção.
- Fique atualizado com seu software – tudo isso.
- Evite credenciais desnecessárias, incluindo para FTP, wp-admin e SSH.
- Você não precisa escrever posts como administrador, nem todos precisam ser administradores.
- Se você não sabe o que está fazendo, use um provedor de hospedagem WordPress gerenciado.
- Filtragem de IP + autenticação de dois fatores + Fortes credenciais = Acesso seguro
Plugins de segurança mais úteis do Tony
- Sucuri Sitecheck Malware Scanner Este plugin do Tony e da equipe Sucuri permite a varredura completa de malware e da lista negra no seu painel de controle do WordPress, e inclui um poderoso firewall de aplicativos Web (WAF).
- Limit Login Attempts Limita o número de tentativas de login possíveis tanto através do login normal como através do uso de cookies auth.
- Autenticação de dois fatores Este plugin habilita a autenticação de dois fatores do Duo, usando um serviço como uma chamada telefônica ou mensagem SMS.
- Theme-Check Teste seu tema para ter certeza de que ele está de acordo com os padrões de revisão do tema.
- Plugin-Check Faz o que o Theme-Check faz, exceto para plugins.
Ferramentas de Segurança
- Sucuri SiteCheck
- Desmascarar Parasitas scanner
Recursos de Segurança
- Sucuri Blog
- Segurança do site em Perishable Press
- Unmask Parasites Blog
- Badware Busters
- WPsecure
- Lock Down WordPress, Michael Pick
Artigos de Segurança Úteis
- “10 Ajustes Úteis de Segurança WordPress”, Jean-Baptiste Jung
- “10 Passos para Proteger sua Instalação do WordPress”, Fouad Matin
- “Avisos da Lista Negra do Google”: Algo não está bem aqui”, Tony Perez
- “Endurecendo o WordPress”, WordPress Codex
- “Como deter o hacker e garantir que seu site esteja bloqueado”, Tony Perez
- “Remoção de malware do site”: Dicas e truques do WordPress”, Tony Perez
(al)