:-)
Up next
Author
Share article
The post has been shared by 0 people.
Facebook 0
Twitter 0
Pinterest 0
Mail 0
W artykule:
  1. Co To jest Backdoor?
  2. Gdzie jest ukryty ten kod?
  3. Jak znaleźć i wyczyścić tylne drzwi?
  4. Jak zapobiegać Hackom w przyszłości?

Wielokrotnie pomagaliśmy użytkownikom naprawić zhakowane witryny WordPress. Przez większość czasu, gdy kontaktują się z nami, już wyczyścili witrynę, a haker był w stanie wrócić. Dzieje się tak, jeśli nie posprzątałeś go prawidłowo lub nie wiedziałeś, czego szukasz. W większości przypadków, które znaleźliśmy, haker stworzył tylne drzwi, które pozwalały im ominąć normalne uwierzytelnianie. W tym artykule pokażemy, jak znaleźć backdoor w zhakowanej witrynie WordPress i go naprawić.

Co To jest Backdoor?

Backdoor odnosi się do metody omijania normalnego uwierzytelniania i uzyskiwania możliwości zdalnego dostępu do serwera, pozostając niezauważonym. Większość inteligentnych hakerów zawsze wgrywa backdoor jako pierwszą rzecz. Pozwala to im odzyskać dostęp nawet po znalezieniu i usunięciu wykorzystywanej wtyczki. Backdoory często przetrwają aktualizacje, więc Twoja witryna jest podatna na ataki, dopóki nie posprzątasz tego bałaganu.

Niektóre backdoory po prostu pozwalają użytkownikom tworzyć ukrytą nazwę użytkownika administratora. Natomiast bardziej złożone backdoory mogą pozwolić hakerowi Na wykonanie dowolnego kodu PHP wysłanego z przeglądarki. Inni mają pełnoprawny interfejs użytkownika, który pozwala im wysyłać wiadomości e-mail jako serwer, wykonywać zapytania SQL i wszystko inne, co chcą zrobić.

Backdoor Screenshot

Gdzie jest ukryty ten kod?

Backdoory w instalacji WordPress są najczęściej przechowywane w następujących lokalizacjach:

  1. Tematy – Najprawdopodobniej nie jest w bieżącym temacie, którego używasz. Hakerzy chcą, aby Kod przetrwał podstawowe aktualizacje. Więc jeśli masz stary motyw Kubricka w swoim katalogu motywów lub inny nieaktywny motyw, to kody prawdopodobnie tam będą. Dlatego zalecamy usunięcie wszystkich nieaktywnych motywów.
  2. Wtyczki – Wtyczki są doskonałym miejscem dla hakera, aby ukryć kod z trzech powodów. Jeden, bo ludzie na nie nie patrzą. Dwa, ponieważ ludzie nie lubią uaktualniać swoich wtyczek, więc przetrwają uaktualnienia (ludzie utrzymują je na bieżąco). Po trzecie, istnieje kilka źle zakodowanych wtyczek, które prawdopodobnie mają swoje własne luki.
  3. Uploads Directory – Jako bloger nigdy nie sprawdzasz katalogu uploads. Dlaczego? Wystarczy przesłać obraz i użyć go w swoim poście. Prawdopodobnie masz tysiące obrazów w folderze przesłane podzielone według roku i miesiąca. Haker bardzo łatwo przesłać backdoor w folderze uploads, ponieważ ukryje się wśród tysięcy plików multimedialnych. Poza tym nie sprawdzasz tego regularnie. Większość ludzi nie ma wtyczki monitorowania jak Sucuri. Wreszcie, katalog uploads jest zapisywalny, więc może działać tak, jak powinien. To czyni go świetnym celem. Jest tam wiele tylnych drzwi.
  4. wp-config.php – Jest to również jeden z wysoce ukierunkowanych plików przez hakerów. Jest to również jedno z pierwszych miejsc, w których większość ludzi ma szukać.
  5. Folder Zawiera – /wp-includes / folder to kolejne miejsce, w którym znajdujemy backdoory. Niektórzy hakerzy zawsze zostawiają więcej niż jeden plik backdoora. Po przesłaniu jednego, dodadzą kolejną kopię zapasową, aby zapewnić sobie dostęp. Folder zawiera to kolejny, w którym większość ludzi nie szuka.

We wszystkich przypadkach, które znaleźliśmy, tylne drzwi były zamaskowane, aby wyglądały jak plik WordPress.

Na przykład: w jednej witrynie, którą wyczyściliśmy, backdoor był w folderze wp-includes i nazywał się wp-user.php (nie istnieje w normalnej instalacji). Jest użytkownik.php, ale bez wp-user.php w folderze/ wp-includes/. W innym przypadku znaleźliśmy plik php o nazwie hello.php w folderze uploads. Był przebrany za wtyczkę Hello Dolly. Ale dlaczego do cholery jest w folderze uploads? D ’ Oh.

Może również używać nazw takich jak wp-content.Stary.tmp, data.php, php5.php, czy coś w tym rodzaju. Nie musi kończyć się na PHP tylko dlatego, że ma w sobie kod PHP. Może to być również .plik zip. W większości przypadków pliki te są zakodowane kodem base64, który zwykle wykonuje wszystkie operacje sortowania (tj. dodaje linki spamowe, dodaje dodatkowe strony, przekierowuje stronę główną NA strony spamowe itp.).

Teraz prawdopodobnie myślisz, że WordPress jest niepewny, ponieważ pozwala na backdoory. Mylisz się. Obecna wersja WordPress nie ma znanych luk w zabezpieczeniach. Backdoory nie są pierwszym krokiem włamania. Zwykle jest to drugi krok. Często hakerzy znajdują exploita w wtyczce lub skrypcie innej firmy, który następnie daje im dostęp do przesłania backdoora. Wskazówka: timthumb hack. Ale to mogą być różne rzeczy. Na przykład źle zakodowana wtyczka może pozwolić na eskalację uprawnień użytkownika. Jeśli Twoja strona miała otwarte rejestracje, haker może po prostu zarejestrować się za darmo. Wykorzystaj jedną funkcję, aby uzyskać więcej uprawnień (które następnie pozwalają im przesyłać pliki). W innych przypadkach może się zdarzyć, że Twoje dane zostały naruszone. Może być również tak, że korzystasz ze złego dostawcy hostingu. Zobacz naszą zalecaną listę hostingu.

Jak znaleźć i wyczyścić tylne drzwi?

Teraz, gdy wiesz, co to jest tylne drzwi i gdzie można je znaleźć. Musisz zacząć go szukać. Czyszczenie go jest tak proste, jak usunięcie pliku lub kodu. Jednak trudną częścią jest znalezienie go. Możesz zacząć od jednej z następujących wtyczek skanera złośliwego oprogramowania WordPress. Spośród nich polecamy Sucuri (tak, jest płatny).

Możesz również użyć skanera Exploit, ale pamiętaj, że kody base64 i eval są również używane w wtyczkach. Więc czasami zwróci wiele fałszywych alarmów. Jeśli nie jesteś twórcą wtyczek, to naprawdę trudno Ci wiedzieć, który kod jest poza swoim miejscem w tysiącach linii kodu. Najlepsze co możesz zrobić to Usuń katalog wtyczek i ponownie zainstaluj wtyczki od podstaw. Tak, jest to jedyny sposób, w jaki możesz być pewien, chyba że masz dużo czasu do poświęcenia.

Przeszukaj Katalog Uploads

Jedna z wtyczek skanera znajdzie nieuczciwy plik w folderze przesyłania. Ale jeśli znasz SSH, wystarczy napisać następujące polecenie:

find uploads-name"*.php " - Drukuj

Nie ma dobrego powodu .plik php znajdujący się w folderze uploads. Folder jest przeznaczony dla plików multimedialnych w większości przypadków. Jeśli istnieje .plik php, który tam jest, musi zniknąć.

Usuń Nieaktywne Motywy

Jak wspomnieliśmy powyżej, często nieaktywne tematy są ukierunkowane. Najlepszą rzeczą do zrobienia jest ich usunięcie (tak, obejmuje to domyślny i klasyczny motyw). Ale czekaj, nie sprawdzałem, czy jest tam tylne wyjście. Jeśli tak, to już go nie ma. Zaoszczędziłeś czas na szukaniu i wyeliminowałeś dodatkowy punkt ataku.

.plik htaccess

Czasami kody przekierowań są tam dodawane. Po prostu usuń plik, a sam się odtworzy. Jeśli tak nie jest, przejdź do panelu administracyjnego WordPress. Ustawienia ” Permalinks. Kliknij tam przycisk Zapisz. Odtworzy .plik htaccess.

wp-config.plik php

Porównaj ten plik z domyślnym wp-config-sample.plik php. Jeśli widzisz coś, co jest nie na miejscu, pozbądź się tego.

Skanowanie bazy danych w poszukiwaniu exploitów i spamu

Inteligentny haker nigdy nie będzie miał tylko jednego bezpiecznego miejsca. Tworzą liczne Kierowanie na bazę danych pełną danych jest bardzo łatwą sztuczką. Mogą przechowywać swoje złe funkcje PHP, Nowe konta administracyjne, linki spamowe itp. w bazie danych. Tak, czasami nie zobaczysz użytkownika administratora na Stronie Użytkownika. Zobaczysz, że jest 3 użytkowników, a widzisz tylko 2. Są szanse, że jesteś zhakowany.

Jeśli nie wiesz, co robisz z SQL, prawdopodobnie chcesz pozwolić jednemu z tych skanerów wykonać pracę za Ciebie. Exploit Scanner plugin lub Sucuri (wersja płatna) zarówno dba o to.

Myślisz, że to wyczyściłeś? Pomyśl jeszcze raz!

Więc włamanie zniknęło. UFF. Czekaj, nie rozluźnij się jeszcze. Otwórz przeglądarkę w trybie incognito, aby zobaczyć, czy hack wraca. Czasami ci hakerzy są mądrzy. Nie będą pokazywać włamania zalogowanym użytkownikom. Widzą go tylko zalogowani użytkownicy. Albo jeszcze lepiej, spróbuj zmienić nazwę użytkownika przeglądarki jako Google. Czasami hakerzy chcą tylko celować w Wyszukiwarki. Jeśli wszystko wygląda świetnie, możesz iść.

Dla twojej wiadomości: Jeśli chcesz mieć 100% pewności, że nie ma włamania, Usuń swoją witrynę. I przywróć to do punktu, w którym wiesz, że włamania nie było. Może to nie być opcja dla wszystkich, więc musisz żyć na krawędzi.

Jak zapobiegać Hackom w przyszłości?

Naszą radą nr 1 byłoby utrzymanie silnych kopii zapasowych (VaultPress lub BackupBuddy) i rozpoczęcie korzystania z usługi monitorowania. Jak powiedzieliśmy wcześniej, nie możesz monitorować wszystkiego, co dzieje się w Twojej witrynie, gdy robisz mnóstwo innych rzeczy. Dlatego używamy Sucuri. To może brzmieć tak, że je promujemy. Ale nie jesteśmy. Tak, otrzymujemy prowizję partnerską od wszystkich, którzy zarejestrują się w Sucuri, ale nie dlatego ją zalecamy. Polecamy tylko produkty, które używamy i są wysokiej jakości. Główne publikacje, takie jak CNN, USAToday, PC World, TechCrunch, TheNextWeb i inne również polecają tych facetów. To dlatego, że są dobrzy w tym, co robią.

Przeczytaj nasz artykuł na temat 5 powodów, dla których używamy Sucuri, aby poprawić bezpieczeństwo WordPress

Kilka innych rzeczy, które możesz zrobić:

  1. Użyj silnych haseł-Wymuś silne hasła na swoich Użytkownikach. Zacznij używać narzędzia do zarządzania hasłami, takiego jak 1Password.
  2. Uwierzytelnianie dwuetapowe – jeśli Twoje hasło zostało naruszone, użytkownik nadal musi mieć kod weryfikacyjny z telefonu.
  3. Ogranicz próby logowania – ta wtyczka pozwala zablokować użytkownika po X liczbie nieudanych prób logowania.
  4. Wyłącz Edytory motywów i wtyczek-zapobiega to problemom z eskalacją użytkowników. Nawet jeśli uprawnienia użytkownika zostały eskalowane, nie mogli modyfikować Twojego motywu lub wtyczek za pomocą WP-Admin.
  5. Ochrona hasłem WP-Admin – możesz zabezpieczyć hasłem cały katalog. Możesz również ograniczyć dostęp przez IP.
  6. Wyłącz Wykonywanie PHP w niektórych katalogach WordPress – wyłącza to wykonywanie PHP w katalogach przesyłania i innych katalogach do wyboru. Zasadniczo więc nawet jeśli ktoś byłby w stanie przesłać plik do folderu przesłane, nie byłby w stanie go wykonać.
  7. Bądź na bieżąco – Uruchom najnowszą wersję WordPress i uaktualnij swoje wtyczki.

Wreszcie, nie bądź tani, jeśli chodzi o bezpieczeństwo. Zawsze mówimy, że najlepszym środkiem bezpieczeństwa są świetne kopie zapasowe. Proszę zachować dobre regularne kopie zapasowe swojej witryny. Większość firm hostingowych nie robi tego za Ciebie. Rozpoczęcie korzystania z niezawodnego rozwiązania, takiego jak BackupBuddy lub VaultPress. W ten sposób, jeśli kiedykolwiek zostaniesz zhakowany, zawsze masz punkt przywracania. Również jeśli możesz, po prostu weź Sucuri i zaoszczędź sobie całego kłopotu. Będą monitorować Twoją witrynę i wyczyścić ją, jeśli kiedykolwiek zostaniesz zhakowany. Wychodzi to jak $ 3 miesięcznie na stronę, jeśli otrzymasz Plan witryny 5.

Mamy nadzieję, że ten artykuł ci pomógł. Możesz zostawić komentarz poniżej, jeśli masz coś do dodania :)

You May Also Like
Odpowiedź JSON nie jest prawidłowy błąd w WordPress

Jak naprawić nieprawidłowy błąd JSON w WordPress (Przewodnik dla początkujących)

W artykule: Co powoduje błąd „nieprawidłowa odpowiedź JSON” w WordPress?1. Sprawdź adresy…
Jak łatwo dodać link w WordPress

Jak zmienić kolor linku w WordPress (poradnik dla początkujących)

W artykule: Dlaczego Linki Są Ważne?Jak dodawać linki w postach i stronach…
Naprawianie krytycznego błędu w WordPress krok po kroku

Jak naprawić błąd krytyczny w WordPress (krok po kroku)

W artykule: Co To jest błąd krytyczny w WordPress?Co powoduje krytyczny błąd…

Jak zainstalować WordPress lokalnie na komputerze Mac za pomocą MAMP

W artykule: Jak zainstalować MAMP na komputerze MacInstalacja WordPress na komputerze MacWypróbowanie…