By Leave a Comment on Infecții comune ale programelor malware WordPress

Prin utilizarea egrep, putem căuta mai multe cuvinte în același timp, dacă este necesar, economisind astfel timp în acest caz.

Sau încercați ceva de genul acesta:

# grep -r "http://canadapharmacy.com" .

Acest lucru funcționează numai dacă infecția nu este codificată, criptată sau concatenată.

O altă metodă utilă este să vă accesați site-ul web prin intermediul unor agenți de utilizator și referințe diferite. Iată un exemplu de cum arată un site web atunci când se folosește un referrer Microsoft IE 6:

Încercați Bots vs Browsers pentru a vă verifica site-ul web prin intermediul mai multor browsere diferite.

Utilizatorii de terminale pot folosi, de asemenea, CURL:

# curl -A "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" http://somesite.com

Cum îl pot preveni?

Prevenirea unui hack farmaceutic poate fi dificilă. Sucuri a descoperit că hack-ul exploatează în mod regulat software vulnerabil și neactualizat. Cu toate acestea, instalarea dvs. neactualizată de WordPress nu este neapărat problema. Chiar dacă sunteți la zi, o altă instalare neactualizată de pe același server ar putea fi vulnerabilă la infecție. Dacă adevărata încărcătură utilă se află în altă parte pe serverul dvs., nu în directorul site-ului dvs. web, atunci prinderea acesteia poate fi extrem de dificilă.

Iată un exemplu de ceea ce ați putea căuta dacă nu puteți găsi infecția în propria instalație:

Pentru a preveni un hack farmaceutic, ar trebui să faceți două lucruri:

  1. Să vă mențineți software-ul actualizat,
  2. Să vă feriți de serverele de tip soup-kitchen.

Redirecții malițioase

O redirecționare malițioasă trimite un utilizator către un site web malițios. În 2010, au fost detectate 42.926 de noi domenii malițioase. În 2011, acest număr a crescut la 55.294. Și asta include doar domeniile principale, nu toate subdomeniile acestora.

Când un vizitator este redirecționat către un alt site web decât cel principal, site-ul web poate sau nu să conțină o sarcină utilă malițioasă. Să presupunem că aveți un site web la myhappysite.com; când cineva îl vizitează, site-ul web ar putea duce vizitatorul la meansite.com/stats.php, unde sarcina utilă malițioasă se află în fișierul stats.php al acelui site web. Sau ar putea fi un site web inofensiv, cu doar reclame și fără sarcină utilă malițioasă.

Cum sunt atacat?

Ca și în cazul multor atacuri malware, totul se reduce la acces. Redirecționarea malițioasă ar putea fi generată de un backdoor. Hackerul ar căuta o vulnerabilitate, cum ar fi TimThumb sau versiuni vechi de WordPress și, când o găsește, încarcă o încărcătură utilă care funcționează ca un backdoor.

Cum arată?

Detectarea unei redirecționări nu este la fel de complexă ca detectarea unora dintre celelalte infecții. Adesea se găsește în fișierul dvs. .htaccess și arată cam așa:

Sau așa:

Poate exista cazuri în care o redirecționare este codificată și rezidă într-unul dintre fișierele PHP. În acest caz, se va găsi de obicei în fișierul header.php, footer.php sau index.php; se știe, de asemenea, că rezidă în fișierul rădăcină index.php și în alte fișiere șablon de bază. Nu este întotdeauna codificat, dar dacă este, va arăta cam așa:

Cum îmi dau seama dacă sunt infectat?

Există câteva modalități de a verifica dacă sunt infectat. Iată câteva sugestii:

  • Utilizați un scaner gratuit, cum ar fi SiteCheck. Acestea foarte rar ratează redirecționări malițioase.
  • Testați folosind Bots vs Browser.
  • Ascultați-vă utilizatorii. S-ar putea să nu detectați redirecționarea, dar uneori un utilizator vă va alerta asupra ei.

Dacă un utilizator detectează o problemă, puneți-i întrebări pertinente pentru a ajuta la diagnosticarea problemei:

  • Ce sistem de operare utilizează?
  • Ce browser(uri) folosesc și ce versiune(uri)?

Cu cât obțineți mai multe informații de la ei, cu atât mai bine puteți replica problema și găsi o soluție.

Cum se curăță?

Redirecțiile malițioase sunt una dintre cele mai ușor de curățat infecții. Iată un bun punct de plecare:

  1. Deschideți fișierul .htaccess.
  2. Copiați orice reguli de rescriere pe care le-ați adăugat singur
  3. Identificați orice cod malițios, precum exemplul de mai sus, și eliminați-l din fișier. Derulați până la capătul de jos al .htaccess pentru a vă asigura că nu există directive de eroare care să indice aceeași infecție.

Asigurați-vă, de asemenea, să căutați toate fișierele .htaccess de pe server. Iată o modalitate rapidă de a vedea câte există pe serverul dvs.:

# find -name .htaccess -type f | wc -l

Și acest lucru vă va spune unde se află exact acele fișiere:

# find -name .htaccess -type f | sort

Infecția nu este întotdeauna restricționată acolo, totuși. În funcție de infecție, este posibil să găsiți, de asemenea, redirecționarea codificată și încorporată într-un fișier precum index.php sau header.php.

În mod alarmant, aceste infecții se pot replica în toate fișierele dumneavoastră .htaccess. Backdoor-ul responsabil poate fi, de asemenea, utilizat pentru a crea mai multe fișiere .htaccess în toate directoarele dvs., toate cu aceeași infecție. Eliminarea infecției poate părea o luptă grea și, uneori, curățarea fiecărui fișier pe care îl puteți găsi nu este suficientă. Există chiar cazuri în care un fișier este creat în afara directorului Web. Lecția este să căutați întotdeauna în afara directorului Web, precum și în interiorul acestuia.

Cum pot preveni?

O metodă rapidă și ușoară este să schimbați proprietatea fișierului sau să reduceți permisiunile fișierului astfel încât numai proprietarul să aibă permisiunea de a-l modifica. Cu toate acestea, dacă contul de root este compromis, acest lucru nu vă va ajuta prea mult.

Cel mai important fișier de care trebuie să aveți grijă este .htaccess. Consultați tutorialul „Protect Your WordPress Site with .htaccess” (Protejați-vă site-ul WordPress cu .htaccess) pentru sfaturi despre cum să faceți asta.

Concluzie

Aici aveți: patru atacuri predominante care fac ravagii în multe instalații WordPress în prezent. S-ar putea să nu vă simțiți mai bine dacă veți fi atacat, dar sperăm că, cu aceste câteva cunoștințe, vă veți simți mai încrezător că atacul poate fi curățat și că site-ul dvs. vă poate fi returnat. Cel mai important, dacă luați un singur lucru de aici: păstrați întotdeauna WordPress actualizat.

Cele mai importante zece sfaturi de securitate ale lui Tony

  1. Scăpați de conturile generice și știți cine vă accesează mediul.
  2. Întăreșteți-vă directoarele astfel încât atacatorii să nu le poată folosi împotriva dumneavoastră. Omorâți execuția PHP.
  3. Păstrați o copie de rezervă; nu știți niciodată când veți avea nevoie de ea.
  4. Conectați-vă în siguranță la serverul dumneavoastră. SFTP și SSH sunt preferate.
  5. Evitați serverele de tip soup-kitchen. Segmentați între dezvoltare, staging și producție.
  6. Rămâneți la curent cu software-ul dvs. – tot ce aveți.
  7. Eliminați acreditările inutile, inclusiv pentru FTP, wp-admin și SSH.
  8. Nu trebuie să scrieți postări ca administrator și nici toată lumea nu trebuie să fie administrator.
  9. Dacă nu știți ce faceți, apelați la un furnizor de găzduire WordPress administrat.
  10. Filtrare IP + Autentificare cu doi factori + Acreditare puternică = Acces securizat

Cele mai utile pluginuri de securitate ale lui Tony

  • Sucuri Sitecheck Malware Scanner Acest plugin de la Tony și echipa Sucuri permite scanarea completă a malware-ului și a listei negre în tabloul de bord WordPress și include un firewall puternic pentru aplicații web (WAF).
  • Limit Login Attempts Limitează numărul de încercări de autentificare posibile atât prin autentificare normală, cât și prin utilizarea cookie-urilor de autentificare.
  • Two-Factor Authentication Acest plugin activează autentificarea cu doi factori de la Duo, folosind un serviciu precum un apel telefonic sau un mesaj SMS.
  • Theme-Check Testați-vă tema pentru a vă asigura că este conformă cu standardele de revizuire a temei.
  • Plugin-Check Face ceea ce face Theme-Check, dar pentru plugin-uri.

Security Tools

  • Sucuri SiteCheck
  • Unmask Parasites scanner

Security Resources

  • Sucuri Blog
  • Website Security at Perishable Press
  • Unmask Parasites Blog
  • Badware Busters
  • WPsecure
  • Blocarea WordPress, Michael Pick

Articole utile de securitate

  • „10 modificări utile pentru securitatea WordPress”, Jean-Baptiste Jung
  • „10 pași pentru a vă securiza instalarea WordPress”, Fouad Matin
  • „Google Blacklist Warnings: Something’s Not Right Here,” Tony Perez
  • >”Hardening WordPress,” WordPress Codex
  • >”How to Stop the Hacker and Ensure Your Site Is Locked,” Tony Perez
  • >”Website Malware Removal: Sfaturi și trucuri pentru WordPress”, Tony Perez
(al)

Lasă un răspuns

Adresa ta de email nu va fi publicată.