Med hjälp av egrep
kan vi söka på flera ord samtidigt om det behövs, vilket sparar tid i det här fallet.
Och prova något liknande:
# grep -r "http://canadapharmacy.com" .
Detta fungerar bara om infektionen inte är kodad, krypterad eller sammankopplad.
En annan användbar metod är att komma åt din webbplats via olika användaragenter och referrers. Här är ett exempel på hur en webbplats såg ut när man använde en Microsoft IE 6 referrer:
Try Bots vs Browsers för att kontrollera din webbplats genom ett antal olika webbläsare.
Terminalanvändare kan också använda CURL
:
# curl -A "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" http://somesite.com
Hur förhindrar jag det?
Förhindra ett pharma hack kan vara knepigt. Sucuri har upptäckt att hackningen regelbundet utnyttjar sårbar föråldrad programvara. Din föråldrade WordPress-installation är dock inte nödvändigtvis problemet. Även om du är uppdaterad kan en annan föråldrad installation på samma server vara sårbar för infektionen. Om den verkliga nyttolasten finns någon annanstans på din server, inte i din webbplats katalog, kan det vara oerhört svårt att fånga den.
Här är ett exempel på vad du kan leta efter om du inte kan hitta infektionen i din egen installation:
För att förhindra ett pharma-hack bör du göra två saker:
- Håller din mjukvara uppdaterad,
- Håller dig borta från servrar i soppkök.
Skadliga omdirigeringar
En skadlig omdirigering skickar en användare till en skadlig webbplats. Under 2010 upptäcktes 42 926 nya skadliga domäner. Under 2011 ökade antalet till 55 294. Och det inkluderar bara primära domäner, inte alla deras underdomäner.
När en besökare omdirigeras till en annan webbplats än huvudwebbplatsen kan webbplatsen innehålla en skadlig nyttolast eller inte. Anta att du har en webbplats på myhappysite.com
; när någon besöker den kan webbplatsen leda besökaren till meansite.com/stats.php
, där den skadliga nyttolasten finns i den webbplatsens stats.php
-fil. Eller så kan det vara en harmlös webbplats med bara annonser och ingen skadlig nyttolast.
Hur attackeras jag?
Som med många attacker av skadlig kod handlar det om åtkomst. Den skadliga omdirigeringen kan genereras av en bakdörr. Hackaren skulle söka efter en sårbarhet, till exempel TimThumb eller gamla versioner av WordPress, och när de hittar den laddar de upp en nyttolast som fungerar som en bakdörr.
Hur ser det ut?
Detektering av en omdirigering är inte lika komplicerad som att detektera några av de andra infektionerna. Den finns ofta i din .htaccess
-fil och ser ut ungefär så här:
Och så här:
Det kan finnas fall där en omdirigering är kodad och finns i en av dina PHP-filer. Om så är fallet finns den vanligtvis i filen header.php
, footer.php
eller index.php
. Det har också förekommit att den finns i rotfilen index.php
och i andra centrala mallfiler. Den är inte alltid kodad, men om den är det kommer den att se ut ungefär så här:
Hur vet jag om jag är infekterad?
Det finns några sätt att kontrollera om jag är infekterad. Här är några förslag:
- Använd en gratis skanner, till exempel SiteCheck. De missar mycket sällan skadliga omdirigeringar.
- Testa med hjälp av Bots vs Browser.
- Lyssna på dina användare. Du kanske inte upptäcker omdirigeringen, men ibland kommer en användare att uppmärksamma dig på den.
Om en användare upptäcker ett problem, ställ relevanta frågor för att hjälpa till att diagnostisera problemet:
- Vilket operativsystem använder de?
- Vilka webbläsare använder de och vilka versioner?
Desto mer information du får från dem, desto bättre kan du replikera problemet och hitta en lösning.
Hur rengörs det?
Skadliga omdirigeringar är en av de lättaste infektionerna att rengöra. Här är en bra utgångspunkt:
- Öppna din
.htaccess
-fil. - Kopiera alla omskrivningsregler som du själv har lagt till
- Identifiera eventuell skadlig kod, som exemplet ovan, och ta bort den från filen. Bläddra hela vägen till botten av
.htaccess
för att se till att det inte finns några feldirektiv som pekar på samma infektion.
Se till att även leta efter alla .htaccess
-filer på servern. Här är ett snabbt sätt att se hur många som finns på din server:
# find -name .htaccess -type f | wc -l
Och här får du reda på var exakt dessa filer finns:
# find -name .htaccess -type f | sort
Infektionen är dock inte alltid begränsad dit. Beroende på infektion kan du också hitta omdirigering kodad och inbäddad i en fil som index.php
eller header.php
.
Det är oroväckande att dessa infektioner kan replikera i alla dina .htaccess
-filer. Bakdörren som är ansvarig för detta kan också användas för att skapa flera .htaccess
-filer i alla dina kataloger, alla med samma infektion. Att ta bort infektionen kan kännas som en uppförsbacke, och ibland räcker det inte med att rensa alla filer du kan hitta. Det finns även fall där en fil skapas utanför webbkatalogen. Lärdomen är att alltid leta utanför webbkatalogen såväl som inom den.
Hur förhindrar jag det?
En snabb och enkel metod är att ändra äganderätten till filen, eller att minska filens behörigheter så att endast ägaren har behörighet att ändra den. Om ditt root-konto är komprometterat hjälper det dock inte mycket.
Den viktigaste filen att ta hand om är .htaccess
. Kolla in handledningen ”Protect Your WordPress Site with .htaccess” för att få tips om hur du gör det.
Slutsats
Där har du det: fyra vanliga attacker som orsakar förödelse i många WordPress-installationer idag. Du kanske inte känner dig bättre om du blir hackad, men med den här kunskapen känner du dig förhoppningsvis mer säker på att hackningen kan rensas bort och att din webbplats kan återlämnas till dig. Viktigast av allt, om du tar med dig en sak från detta: håll alltid WordPress uppdaterat.
Tonys tio bästa säkerhetstips
- Gör dig av med generiska konton och vet vem som har tillgång till din miljö.
- Härda dina kataloger så att angriparna inte kan använda dem mot dig. Kill PHP-exekvering.
- Håll en säkerhetskopia; du vet aldrig när du behöver den.
- Anslut dig säkert till din server. SFTP och SSH är att föredra.
- Undvik soppköksservrar. Segmentera mellan utveckling, staging och produktion.
- Håll dig uppdaterad med din programvara – alltihop.
- Döda onödiga autentiseringsuppgifter, bland annat för FTP, wp-admin och SSH.
- Du behöver inte skriva inlägg som administratör, och alla behöver inte heller vara administratörer.
- Om du inte vet vad du gör, utnyttja en leverantör av WordPress-hosting som hanteras.
- IP-filtrering + Tvåfaktorsautentisering + Starka autentiseringsuppgifter = Säker åtkomst
Tonys mest användbara säkerhetstillägg
- Sucuri Sitecheck Malware Scanner Det här tillägget från Tony och Sucuri-gänget gör det möjligt att skanna skadlig programvara och svarta listor i din WordPress-instrumentpanel, och det innehåller en kraftfull brandvägg för webbprogram (WAF).
- Begränsa inloggningsförsök Begränser antalet möjliga inloggningsförsök både genom normal inloggning och med hjälp av auth-cookies.
- Tvåfaktorsautentisering Det här insticksprogrammet aktiverar Duos tvåfaktorsautentisering med hjälp av en tjänst som t.ex. ett telefonsamtal eller ett sms-meddelande.
- Theme-Check Testar ditt tema för att se till att det uppfyller standarderna för granskning av teman.
- Plugin-Check Gör samma sak som Theme-Check, men för insticksprogram.
Säkerhetsverktyg
- Sucuri SiteCheck
- Unmask Parasites scanner
Säkerhetsresurser
- Sucuri Blogg
- Webbplatssäkerhet hos Perishable Press
- Unmask Parasites Blogg
- Badware Busters
- WPsecure
- Låsning av WordPress, Michael Pick
Nyttiga säkerhetsartiklar
- ”10 Useful WordPress Security Tweaks,” Jean-Baptiste Jung
- ”10 Steps to Secure Your WordPress Installation,” Fouad Matin
- ”Google Blacklist Warnings: Något är inte rätt här”, Tony Perez
- ”Hårdna WordPress”, WordPress Codex
- ”Hur du stoppar hackaren och ser till att din webbplats är låst”, Tony Perez
- ”Avlägsnande av skadlig programvara för webbplatser: WordPress Tips and Tricks,” Tony Perez