OS

Vahingoittava koodi. Mikä on haitallinen koodi. Etsi muuttuneita tiedostoja tietyn ajanjakson aikana

Jokainen verkkovastaava, joka löytää haitallisen koodin verkkosivustoltaan, saa paljon ei kovin miellyttäviä kokemuksia. Sivuston omistaja yrittää välittömästi paniikissa löytää ja tuhota viruksen ja ymmärtää, kuinka tämä ilkeä asia voisi päästä hänen sivustolleen. Mutta kuten käytäntö osoittaa, haitallisen koodin löytäminen verkkosivustolta ei ole niin helppoa. Virus voidaan nimittäin rekisteröidä yhteen tai useampaan tiedostoon, joista valtava määrä muodostaa nettisivun, oli se sitten WordPressillä toimiva moottori tai tavallinen html-sivusto.

Eilen, kun tarkastelin sähköpostiani, löysin Googlelta kirjeen, jossa todettiin, että sivustoni tietyillä sivuilla käyminen voi johtaa käyttäjien tietokoneiden saastumiseen haittaohjelmilla. Nyt käyttäjille, jotka pääsevät näille sivuille Google.ru-hakutulosten linkkien kautta, näytetään varoitussivu. Tätä sivustoa ei lisätty Google Webmaster Paneliini, joten sain ilmoituksen sähköpostitse. Minulla oli useita muita sivustoja verkkovastaavan paneelissa; kun menin sinne, olin kauhuissani nähdessäni varoituksen haitallisesta koodista kahdella muulla sivustollani.
Tämän seurauksena haitallista koodia asettui kolmelle sivustolleni, jotka minun oli löydettävä ja tuhottava. Yksi sivustoista toimi WordPressillä, kaksi muuta koostuivat tavallisista PHP-sivuista.

On syytä huomata, että Google reagoi paljon nopeammin kuin Yandex haitallisen koodin esiintymiseen. Yandexin verkkovastaavan paneelissa ei näkynyt varoitusta viruksen esiintymisestä sivustolla. Onneksi onnistuin muutamassa tunnissa löytämään tämän valitettavan viruksen.

Pääsääntöisesti sivustot ovat useimmiten ns. iframe-viruksen tartuttamia. Pohjimmiltaan tämä virus koostuu koodista... . Virus varastaa kaikki salasanat Total Commanderilta tai toiselta ftp-asiakkaalta. Minun tapauksessani kävi samoin; iframe-koodi kirjoitettiin useisiin kymmeniin tiedostoihin sivustollani. WordPressillä toimineella sivustolla haitallinen koodi onnistui asettumaan vain footer.php:hen.

Ja niin, kuinka löytää haitallinen koodi, jos huomaat, että sivustosi on saastunut:

1. Siirry isännöinnin ohjauspaneeliin ja vaihda salasanasi. Jos sinulla on useita sivustoja, teemme tämän kaikkien sivustojemme kanssa.

2. Vaihda ja poista salasanat ftp-asiakasohjelmassa. Emme enää koskaan tallenna salasanoja ftp-asiakkaille, vaan syötämme ne aina manuaalisesti.

3. Voit siirtyä isännöintiin ftp:n kautta ja katsoa, ​​mikä tiedostoissasi on muuttunut. Lajittele tiedostot viimeisen muokkauspäivämäärän mukaan. Tartunnan saaneilla tiedostoilla on oltava viimeisin ja sama päivämäärä. Avaa nämä tiedostot ja etsi iframe-koodi, yleensä tämä koodi sijaitsee aivan lopussa. Pohjimmiltaan haitallinen koodi kirjoitetaan seuraaviin tiedostoihin: index.php, index.html ja tiedostoihin, joiden tunniste on .js. Usein tämä infektio elää tunnisteiden välissä... .
Jos kyseessä on itse kirjoitettu sivusto, katso erittäin huolellisesti kaikki tiedostot ja komentosarjakansiot; virus kirjoitetaan usein sinne. Tämän viruksen suosikkiympäristö on myös sivuston vastakoodeissa ja mainoskoodeissa.

4. Tarkista, ettei .htaccess-tiedostossa ole epäilyttävää koodia. Joskus haitallinen koodi tunkeutuu tähän tiedostoon. Tyypillisesti moottoritiedostoissa on useita hakemistoja, joissa .htaccess-tiedosto voi sijaita. Tarkista kaikki nämä tiedostot ja varmista, että koodi on "puhdas".

Mitä tulee WordPress-tiedostoihin tai muihin CMS-järjestelmiin, mikä tahansa CMS koostuu yleensä useista tiedostoista ja kansioista, ja niistä on erittäin vaikea löytää haitallista koodia. Esimerkiksi WordPressille voin suositella TAC-laajennusta. Tämä laajennus tarkistaa kaikkien teemakansion teemojen tiedostot kolmannen osapuolen koodin varalta. Jos TAC löytää ei-toivotun koodin, se näyttää polun tähän tiedostoon. Siten on mahdollista laskea peittävä virus.
Lataa TAC-laajennus: wordpress.org

Yleisesti ottaen sinun tulee pitää jatkuvasti mielessä kaikki toiminnot, jotka suoritit sivustotiedostoillasi. Muista, mitä tähän tai tuohon koodiin on muutettu tai lisätty.

Kun löydät ja poistat haitallisen koodin, tietokoneesi tarkistaminen virusten varalta ei haittaa.
Ja jos Google tai Yandx on merkinnyt sivustosi tartunnan saaneeksi, sinun on lähetettävä uudelleentarkistuspyyntö verkkovastaavan paneelin kautta. Hakukoneiden tulee yleensä poistaa kaikki rajoitukset sivustoltasi 24 tunnin kuluessa. Ei kestänyt kauan, kun Google käsitteli uudelleenvahvistuspyyntöni, ja muutaman tunnin kuluttua kaikki rajoitukset poistettiin sivustoiltani.

On tarpeen tarkistaa sivustosi säännöllisesti haitallisten virusten varalta; tämä on jokaisen itseään kunnioittavan verkkovastaavan ensimmäinen käsky. Vaikka käyttäisit puhdasta Twenty Eleven -teemaa, ei ole tosiasia, että se ei myöskään ajan myötä tarttunut. Tämä ilmiö voi (ja useimmiten tapahtuu) johtuen siitä, että WordPress-moottori itsessään on alun perin suunniteltu verkkojulkaisua varten. Joten ei ole koskaan haittaa tarkistaa uudelleen ja tehdä kopio sivustosta ja tietokannasta.

Esimerkiksi minä (tietysti jonkin ajan kuluttua) tein itselleni yhden johtopäätöksen - tarvitset vain hyvän isännöitsijän, ja varmuuskopiointiongelmasi katoavat itsestään. Minun ei tarvitse tehdä tietokannan tai verkkosivuston varmuuskopioita nyt - isännöitsijä tekee kaiken puolestani ja automaattisesti. Voit halutessasi milloin tahansa tilata kopion mistä tahansa blogisi osiosta (eikä vain), ladata tämän kopion tai palauttaa blogin suoraan ohjauspaneelista. Eli minun ei tarvitse ladata varmuuskopiota, kaikki tapahtuu automaattisesti - varmuuskopiointi, palautus jne. Tämä on kätevää, koska voin seurata, ei vain päivittäin, vaan tunneittain, milloin virus ilmestyi blogiini, ja ryhtyä toimenpiteisiin sen poistamiseksi.

Aloitan hyvillä uutisilla - ainakin kaksi käyttämäni laajennusta antavat hyviä tuloksia haitallisen koodin havaitsemisessa ja lokalisoinnissa. Nämä ovat AntiVirus- ja Exploit Scanner -laajennukset. Et usko kuinka paljon haitallista koodia blogissasi on! Älä kuitenkaan pidä kaikkia tarkastuksen jälkeen saatuja tietoja dogmeina - monet näiden liitännäisten havaitsemista riveistä eivät itse asiassa tarkoita mitään pahaa. Plugin kyseenalaistaa vain joitain rivejä, siinä kaikki. Varmista tämä tarkistamalla manuaalisesti ne fragmentit, jotka laajennus on tunnistanut haitallisiksi. AntiVirus-laajennuksella tarkistettaessa kävi siis ilmi, että jopa yksinkertainen kutsu funktiolle get_cache_file () on jo epäilyttävä. Joten kaikkia tarkastustuloksia on seurattava manuaalisesti. Mutta tämä esimerkiksi on todella saastunut linkki, ja se on poistettava:

Mistä tietää, onko se virus vai miten sen pitäisi olla? Kaikki on hyvin yksinkertaista - vertaa puhdasta malliasi (jos sinulla on sellainen) ja vertaa sitä (tiedosto kerrallaan) siihen, joka on asennettu ja johon on jo tehty joitain muutoksia. Suoraa vertailua ei tarvitse tehdä suoraan, vaan käytä hakua tarkistaaksesi, sisältääkö tyhjä mallisi rivin, jonka laajennus korosti. Jos on, napsauta "Tämä ei ole virus" -painiketta, eikä tätä riviä oteta huomioon seuraavassa tarkistuksessa.

Ja tässä on esimerkki toisesta testaamastamme laajennuksesta - Exploit Scanner

Kuten näette, kaikki on paljon laiminlyöty täällä. Minulle tämä tulos oli järkyttävä. Mutta siinä ei vielä kaikki. Pluginilla on toiminto nimeltä check. Eli jos laitat sen päälle, käy ilmi, että blogin pitäisi koostua tekstistä ja korkeintaan parista CSS-taulukosta. Joten minusta näyttää siltä, ​​​​että laajennuksen kirjoittaja ylitti sen selvästi turvallisuuden suhteen. On hyvä, että laajennus näyttää vain epäillyt tartunnan saaneet fragmentit eikä puhdista niitä.

Kun olet analysoinut kaikki keltaisella korostetut rivit, voit helposti havaita haittaohjelmat (haitalliset koodit), päätä itse, mitä teet sen kanssa seuraavaksi. Puhdistusmenetelmä on edelleen sama - vertaa valittua koodia sivuston varmuuskopioon (katso) ja jos löydät eroja, ota selvää, teitkö sen itse vai joku teki sen puolestasi, mikä tarkoittaa, että tämä ei ole enää hyvä ja voi osoittautua virukseksi. Jopa WordPress-kehittäjät suosittelevat tarkistamaan sivustosi haitallisen koodin varalta tällä laajennuksella. Mutta on olemassa sellaisia ​​vaarattomia lisäyksiä, esimerkiksi iframe-kehyksen runkoon, jotka laajennus voi myös tunnistaa tartunnan saaneeksi koodiksi. Mutta todellisuudessa tämä blogisi alue ei toimi oikein ilman näitä rivejä.

Miten haittaohjelmat voivat jopa päästä blogitiedostoihin ja mitä se on? Sana haittaohjelma tarkoittaa kirjaimellisesti - haittaohjelma, englanninkielisistä haittaohjelmista. Tämä on mikä tahansa ohjelmisto, jota voidaan käyttää luvattomaan pääsyyn sivustolle ja sen sisältöön. Luultavasti kuvittelet, että keskivertohakkereille verkkosivuston hakkerointi ei ole vaikeaa, etenkään rekisteröinnin jälkeen. Tämän jälkeen voit muokata blogin sisältöä haluamallasi tavalla - se olisi opettavaista.

Haittaohjelmia voidaan lisätä tuntemattomasta lähteestä asentamiisi laajennuksiin ja komentosarjoihin, joita myös joskus otat tarkistamatta, mutta luottaen tekijään. Vaarallisin haittaohjelma on linkki minkä tahansa sivustolle asentamasi moduulin kirjoittajalle. Ja jos kirjoittaja itse ei varoittanut tällaisen linkin olemassaolosta, tämä on puhdas virus.

Joten asensin uuden teeman testiblogiin, ja kun olin poistanut yhden vaarattoman linkin jonkinlaiseen miesten kerhoon sivuston kellarissa, se lakkasi avautumasta ollenkaan, ja pääsivulla oli merkintä - "Sinä teet. ei ole oikeutta poistaa linkkejä." Tässä on ilmainen teema sinulle. Voit lukea tällaisten vasemmistolaisten linkkien repimisestä pois.

Tietokantaasi voidaan käyttää myös viruksia sisältävän koodin suorittamiseen. Roskapostilinkkejä lisätään myös hyvin usein viesteihin tai kommentteihin. Tällaiset linkit piilotetaan yleensä CSS:n avulla, jotta kokematon ylläpitäjä ei näe niitä, vaan hakukone tunnistaa ne välittömästi. Tietenkin tässä tulee peliin mikä tahansa roskapostin esto, esimerkiksi sama, joka on lisensoitu, testattu ja tarkistettu monta kertaa. Hakkeri voi ladata tiedostoja kuvatiedostotunnisteilla ja lisätä ne aktivoitujen laajennustesi koodiin. Siksi, vaikka tiedostolla ei olisi php-tunnistetta, kyseisen tiedoston koodi voidaan suorittaa.

On toinenkin yksinkertainen työkalu, jolla aloin tutustumaan haittaohjelmiin - Theme Authenticity Checker (TAC) -laajennus. Tämä on kevyt ja melko tehokas työkalu, mutta se tarkistaa vain aiheet, myös passiiviset. Se ei kosketa muita hakemistoja, ja se on sen haittapuoli. Tämän nykyisen teemani testaaminen tällä laajennuksella antoi minulle:

Kaksi varoitusta aktiivisessa ketjussa, ei mitään muuta. Ei ole haitallista koodia. Muuten, nämä ovat linkit, jotka olen lisännyt itse Googlen neuvoista - koodinpätkän laadun parantamiseksi (henkilötietojen näyttäminen, organisaation osoite jne.). Mutta tämä on vain teematiedostojen tarkistamista, ja sinun on selvitettävä, mitä muissa hakemistoissa tehdään joko muiden lisäosien tai verkkopalvelujen avulla. Esimerkiksi palvelu (se on todella luotettava), kuten Yandex Webmaster tai vastaava Googlella. Niiden tehtävänä on tarkistaa mikä tahansa verkkoresurssi haitallisten sulkeumien varalta, ja ne tekevät sen tehokkaasti. Mutta jos tämä ei riitä sinulle, vertaa tuloksia muiden palvelujen tuloksiin ja tee johtopäätökset.

Jostain syystä haluan luottaa Yandexiin, en laajennuksiin. Toinen hyvä resurssi on http://2ip.ru/site-virus-scanner/. Tarkastettuani yhtä blogeistani löysin seuraavan:

Täällä voit myös tarkistaa yksittäisistä tiedostoista haitallisen koodin, jos sinulla on epäilyksiä. Yleisesti ottaen palvelu ei ole huono.

Kaiken sanotun perusteella teen seuraavat johtopäätökset:

1. Haitallisen koodin ilmestymisen estämiseksi sinun on ensin käytettävä todistettuja palveluita tiedostojen lataamiseen - laajennuksia, teemoja jne.

2. Tee säännöllisesti varmuuskopioita kaikesta, mitä sivusto sisältää - tietokannat, sisältö, hallintapaneeli, mukaan lukien ladatut kolmannen osapuolen tiedostot.

3. Hyödynnä WordPressin tarjoamia päivityksiä. Ne eivät ainakaan sisällä viruksia, vaikka ne eivät aina ole toiminnallisesti perusteltuja. Mutta päivittämällä poistat mahdolliset virukset.

4. Poista käyttämättömät teemat, laajennukset, kuvat ja tiedostot pahoittelematta – tämä on toinen pakotie haittaohjelmilta, joita et ehkä koskaan edes arvaa.

5. Suojaa FTP-käyttösi asianmukaisesti salasanalla, kirjaudu sisään PhpAdminiin, hallintapaneeliin ja yleensä sinne, missä kenelläkään muulla kuin sinulla ei pitäisi olla pääsyä.

6. Yritä (vaikka halusi olisi yhtä suuri kuin taivas) olla muuttamatta tai korvaamatta WordPressin ydintiedostoja – kehittäjät tietävät paremmin, minkä pitäisi toimia ja miten.

7. Kun olet löytänyt ja poistanut virukset, vaihda kaikki salasanat. Luulen, että sinulla on suuri halu tehdä 148 merkin salasana eri rekistereissä ja erikoismerkeillä. Mutta älä hurahdu liian monimutkaisiin salasanoihin, saatat menettää ne, ja sitten sinun on palautettava kaikki, mikä ei ole kovin miellyttävää.

Kaikki nämä kuvaamani menetelmät ja komponentit, jotka auttavat sinua pääsemään eroon viruksista, ovat tietysti ilmaisia, tietysti melkein kotitekoisia, eivätkä tietenkään takaa 100%:n takuuta siitä, että sivustosi puhdistetaan haitallisista insertit. Siksi, jos olet jo huolissasi blogisi puhdistamisesta, on parempi ottaa yhteyttä ammattilaisiin, esimerkiksi Sucuri-palveluun (http://sucuri.net/). Täällä sivustoasi seurataan perusteellisesti, annetaan käytännön suosituksia, jotka lähetetään sinulle kirjeitse, ja jos et halua siivota sivustoa itse, asiantuntijat ovat palveluksessasi, jotka tekevät kaiken parhaalla mahdollisella tavalla tapa 4 tunnin sisällä:

No, tältä minun testiblogini näyttää seurannan jälkeen, ja tämä huolimatta siitä, että muilla menetelmillä (kotiviljelyllä) saadaan aina erilaisia ​​tuloksia. Kuten näet, testi on ilmainen, mutta jos viruksia havaitaan, sinun tulee maksaa niiden poistamisesta vahingoittamatta sivustoa (ellet tietenkään ole guru blogisi puhdistamisessa haittaohjelmista).

Korostan vielä kerran - hakkerit eivät nuku, viruksia päivitetään jatkuvasti, ja on mahdotonta seurata kaikkea itse. Kaikki innovaatiot ovat niin huolellisesti piilotettuja ja naamioituja, että vain tiimi voi paljastaa ne! ammattilaisia, eivätkä itseoppineita bloggaajia, joita monet ovat. Tästä syystä haittaohjelmien manuaalinen havaitseminen ja poistaminen on niin tehotonta: kokemuksen puuttuminen tarkoittaa, ettei tulosta, mutta virus on olemassa. Käytä lisensoituja ohjelmia ja anna vaaran poistaminen ammattilaisille

Elämän totuus on, että sivusto voidaan hakkeroida ennemmin tai myöhemmin. Hyödynnettyään onnistuneesti haavoittuvuutta, hakkeri yrittää saada jalansijaa sivustolla sijoittamalla hakkereiden web-kuoret ja latausohjelmat järjestelmähakemistoihin ja ottamalla käyttöön takaovia komentosarjakoodiin ja CMS-tietokantaan.

Haitallisen koodin havaitsemiseksi tiedostoista ja tietokannoista on erikoisratkaisuja - virustorjunta ja skannerit isännöintiin. Niitä ei ole paljon; suosituimmat ovat AI-BOLIT, MalDet (Linux Malware Detector) ja ClamAv.

Skannerit auttavat havaitsemaan ladatut web-suojat, takaovet, tietojenkalastelusivut, roskapostin lähettäjät ja muun tyyppiset haitalliset skriptit – kaikki, mitä he tietävät ja jotka on lisätty valmiiksi haitallisen koodin allekirjoitustietokantaan. Joillakin skannereilla, kuten AI-BOLIT, on joukko heuristisia sääntöjä, jotka voivat havaita tiedostot, joissa on epäilyttävää koodia, jota käytetään usein haitallisissa komentosarjoissa, tai tiedostot, joilla on epäilyttäviä määritteitä ja jotka hakkerit voivat ladata. Mutta valitettavasti, vaikka isännöinnissä käytettäisiin useita skannereita, saattaa olla tilanteita, joissa jotkin hakkereiden skriptit jäävät huomaamatta, mikä itse asiassa tarkoittaa, että hyökkääjälle jää "takaovi" ja hän voi hakkeroida sivuston ja saada täyden hallinnan. milloin tahansa.hetkellä.

Nykyaikaiset haittaohjelmat ja hakkeriohjelmat eroavat merkittävästi 4–5 vuoden takaisista. Tällä hetkellä haitallisen koodin kehittäjät yhdistävät hämärtämistä, salausta, hajottamista, haitallisen koodin ulkoista lataamista ja muita temppuja huijatakseen virustorjuntaohjelmistoa. Siksi uusien haittaohjelmien puuttumisen todennäköisyys on paljon suurempi kuin ennen.

Mitä tässä tapauksessa voidaan tehdä, jotta sivustolla olevat virukset ja isännöinnissä olevat hakkeriohjelmat havaitaan tehokkaammin? On tarpeen käyttää integroitua lähestymistapaa: ensimmäinen automaattinen skannaus ja manuaalinen jatkoanalyysi. Tässä artikkelissa käsitellään vaihtoehtoja haitallisen koodin havaitsemiseen ilman skannereita.

Katsotaanpa ensin, mitä tarkalleen sinun pitäisi etsiä hakkeroinnin aikana.

  • Hakkeri skriptit.
    Useimmiten hakkeroinnin yhteydessä ladattavat tiedostot ovat web-shellejä, takaovia, "lataajia", roskapostiviestien skriptejä, phishing-sivuja + lomakeprosessoreita, oviaukkoja ja hakkerointimerkkitiedostoja (kuvia hakkeriryhmän logosta, tekstitiedostoja, joissa on "viesti" hakkereilta jne.)
  • Injektiot (koodiinjektiot) olemassa oleviin .
    Toiseksi suosituin haitallisen ja hakkerikoodin isännöintityyppi on injektiot. Mobiili- ja hakuuudelleenohjaukset voidaan lisätä olemassa oleviin sivuston .htaccess-tiedostoihin, takaovet voidaan lisätä php/perl-skripteihin ja virusten JavaScript-fragmentteja tai uudelleenohjauksia kolmannen osapuolen resursseihin voidaan upottaa .js- ja .html-malleihin. Injektiot ovat mahdollisia myös mediatiedostoissa, esimerkiksi.jpg tai. Usein haitallinen koodi koostuu useista komponenteista: itse haitallinen koodi tallennetaan jpg-tiedoston exif-otsikkoon ja suoritetaan pienellä ohjausskriptillä, jonka koodi ei näytä skannerin silmissä epäilyttävältä.
  • Tietokanta-injektiot.
    Tietokanta on hakkerin kolmas kohde. Täällä ovat mahdollisia staattiset lisäykset, , , , jotka ohjaavat vierailijat kolmannen osapuolen resursseihin, "vakoilevat" niitä tai tartuttavat vierailijan tietokoneen/mobiililaitteen drive-by-hyökkäyksen seurauksena.
    Lisäksi monissa nykyaikaisissa CMS-järjestelmissä (IPB, vBulletin, modx jne.) mallimoottorit mahdollistavat PHP-koodin suorittamisen, ja itse mallit tallennetaan tietokantaan, joten web-shelleiden ja takaovien PHP-koodi voidaan rakentaa suoraan tietokantaan.
  • Injektiot välimuistipalveluissa.
    Välimuistipalveluiden virheellisen tai epäturvallisen konfiguroinnin seurauksena, esimerkiksi välimuistiin tallennetut tiedot, injektiot välimuistiin "lennossa" ovat mahdollisia. Joissakin tapauksissa hakkeri voi syöttää haitallista koodia sivuston sivuille hakkeroimatta sivustoa suoraan.
  • Injektiot/aloitettuja elementtejä palvelinjärjestelmän komponenteissa.
    Jos hakkeri on saanut etuoikeutetun (root) pääsyn palvelimeen, hän voi korvata verkkopalvelimen tai välimuistipalvelimen elementit tartunnan saaneilla. Tällainen verkkopalvelin toisaalta ohjaa palvelinta ohjauskomentojen avulla ja toisaalta tuo ajoittain dynaamisia uudelleenohjauksia ja haitallista koodia sivuston sivuille. Kuten välimuistipalveluun lisäyksen tapauksessa, sivuston ylläpitäjä ei todennäköisesti pysty havaitsemaan, että sivusto on hakkeroitu, koska kaikki tiedostot ja tietokanta ovat alkuperäisiä. Tämä vaihtoehto on vaikein hoitaa.

    • Oletetaan siis, että olet jo tarkistanut isännöinnissä olevat tiedostot ja tietokantavedosten skannereilla, mutta he eivät löytäneet mitään ja virus on edelleen sivulla tai mobiiliuudelleenohjaus jatkaa toimintaansa sivuja avattaessa. Kuinka etsiä lisää?

    Manuaalinen haku

    Unixissa on vaikea löytää arvokkaampaa komentoparia tiedostojen ja fragmenttien etsimiseen kuin find / grep.

    löytö . -nimi '*.ph*' -mtime -7

    löytää kaikki tiedostot, joita on muutettu viimeisen viikon aikana. Joskus hakkerit "vääntävät" skriptien muokkauspäivämäärää, jotta ne eivät havaitse uusia skriptejä. Sitten voit etsiä php/phtml-tiedostoja, joiden attribuutit ovat muuttuneet

    löytö . -nimi '*.ph*' -сtime -7

    Jos haluat etsiä muutoksia tietyllä aikavälillä, voit käyttää samaa hakua

    löytö . -nimi '*.ph*' -newermt 25.1.2015! -newermt 2015-01-30 -ls

    Tiedostojen etsimiseen grep on välttämätön. Se voi etsiä rekursiivisesti tiedostoista tiettyä fragmenttia

    grep -ril ‘stummann.net/steffen/google-analytics/jquery-1.6.5.min.js’ *

    Palvelinta hakkeroitaessa on hyödyllistä analysoida tiedostoja, joissa on guid/suid-lippu

    etsi / -perm -4000 -o -perm -2000

    Voit määrittää, mitkä komentosarjat ovat parhaillaan käynnissä ja lataavat isäntäprosessoria soittamalla

    lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ‘ ( if(!str) ( str=$1 ) else ( str=str”,”$1))END(print str)’` | grep vhosts | grep php

    Käytämme aivojamme ja käsiämme analysoidaksemme tiedostoja isännöinnissä
  • Siirrymme lataus-, välimuisti-, tmp-, varmuuskopio-, loki-, kuvahakemistoihin, joihin skripteillä kirjoitetaan tai käyttäjien lataamia tiedostoja, ja etsitään sisällöstä uusia tiedostoja, joilla on epäilyttävät laajennukset. Esimerkiksi joomlalle voit tarkistaa .php-tiedostot hakemistosta images:find ./images -nimi '*.ph*'. Todennäköisesti jos jotain löytyy, se on haittaohjelma.
    WordPressissä on järkevää tarkistaa komentosarjat wp-content/uploads-hakemistosta, varmuuskopiointi- ja välimuistiteemahakemistoista.
  • Etsin tiedostoja, joilla on outoja nimiä
    Esimerkiksi php, fyi.php, n2fd2.php. Tiedostoja voi etsiä
    • epätyypillisillä merkkiyhdistelmillä,
    • tiedostonimissä on numeroita 3,4,5,6,7,8,9
  • Etsimme tiedostoja, joilla on epätavallinen pääte
    Oletetaan, että sinulla on verkkosivusto WordPressissä tai niille tiedostot, joiden tunniste on .py, .pl, .cgi, .so, .c, .phtml, .php3, eivät ole aivan tavallisia. Jos näitä laajennuksia sisältäviä skriptejä ja tiedostoja havaitaan, ne ovat todennäköisesti hakkerityökaluja. Väärien havaintojen prosenttiosuus on mahdollinen, mutta se ei ole korkea.
  • Etsimme tiedostoja, joiden attribuutit tai luontipäivämäärät poikkeavat
    Epäilykset voivat johtua tiedostoista, joiden attribuutit poikkeavat palvelimella olevista. Esimerkiksi kaikki .php-skriptit on ladattu ftp/sftp:n kautta ja niillä on käyttäjäkäyttäjä, ja jotkin ovat www-data-käyttäjän luomia. On järkevää tarkistaa uusimmat. Tai jos komentosarjatiedoston luontipäivä on aikaisempi kuin sivuston luontipäivämäärä.
    Epäilyttäviä attribuutteja sisältävien tiedostojen etsimisen nopeuttamiseksi on kätevää käyttää Unixin Find-komentoa.
  • Etsimme oviaukkoja käyttämällä suurta määrää .html- tai .php-tiedostoja
    Jos hakemistossa on useita tuhansia .php- tai .html-tiedostoja, tämä on todennäköisesti portti.
    • Lokit avuksi

    Web-palvelinta, sähköpostipalvelua ja FTP-lokeja voidaan käyttää haitallisten ja hakkeriohjelmien havaitsemiseen.

    • Kirjeen lähetyspäivämäärän ja -ajan (jotka löytyvät sähköpostipalvelimen lokista tai roskapostikirjeen palvelun otsikosta) korreloiminen access_lokin pyyntöihin auttaa tunnistamaan roskapostin lähetystavan tai löytämään roskapostin lähettäjän komentosarjan.
    • FTP xferlog -siirtolokin analyysin avulla voit ymmärtää, mitkä tiedostot ladattiin hakkerointihetkellä, mitä muutettiin ja kuka on tehnyt.
    • Jos PHP on määritetty oikein, oikein määritetyssä sähköpostipalvelimen lokissa tai roskapostin palvelun otsikossa on nimi tai täydellinen polku lähettävälle komentosarjalle, joka auttaa määrittämään roskapostin lähteen.
    • Modernien CMS:n ja laajennusten ennakoivan suojauksen lokien avulla voit määrittää, mitä hyökkäyksiä sivustolle tehtiin ja pystyikö CMS vastustamaan niitä.
    • Access_lokin ja error_login avulla voit analysoida hakkerin toimia, jos tiedät hänen kutsumiensa komentosarjojen nimet, IP-osoitteen tai käyttäjäagentin. Viimeisenä keinona voit tarkastella POST-pyyntöjä sinä päivänä, jona sivusto hakkeroitiin ja sairastettiin. Usein analyysin avulla voit löytää muita hakkeriohjelmia, jotka oli ladattu tai jotka olivat jo palvelimella hakkerointihetkellä.
    Eheyden valvonta

    Hakkeroinnin analysointi ja haitallisten komentosarjojen etsiminen verkkosivustolta on paljon helpompaa, jos huolehdit sen turvallisuudesta etukäteen. Eheyden tarkistusmenettely auttaa havaitsemaan ajoissa muutokset isännöinnissä ja määrittämään hakkeroinnin tosiasian. Yksi yksinkertaisimmista ja tehokkaimmista tavoista on laittaa sivusto versionhallintajärjestelmän alle (git, svn, cvs). Jos määrität .gitignoren oikein, muutoksenhallintaprosessi näyttää git status -komennon kutsumiselta ja haitallisten komentosarjojen ja muuttuneiden tiedostojen etsiminen näyttää git diff:ltä.

    Lisäksi sinulla on aina tiedostoistasi varmuuskopio, johon voit "palauttaa" sivuston muutamassa sekunnissa. Palvelimen järjestelmänvalvojat ja edistyneet verkkovastaavat voivat käyttää inotify-, tripwire-, auditd- ja muita mekanismeja tiedostojen ja hakemistojen pääsyn seuraamiseen ja tiedostojärjestelmän muutosten seurantaan.

    Valitettavasti palvelimelle ei aina ole mahdollista määrittää versionhallintajärjestelmää tai kolmannen osapuolen palveluita. Jaetun isännöinnin tapauksessa ei ole mahdollista asentaa versionhallintajärjestelmää ja järjestelmäpalveluita. Mutta sillä ei ole väliä, CMS:lle on olemassa melko paljon valmiita ratkaisuja. Voit asentaa sivustolle laajennuksen tai erillisen komentosarjan, joka seuraa tiedostojen muutoksia. Joissakin sisällönhallintajärjestelmissä on jo käytössä tehokas muutosseuranta ja eheyden tarkistusmekanismi (esimerkiksi Bitrix, DLE). Viimeisenä keinona, jos isännöissä on ssh, voit luoda viitevedoksen tiedostojärjestelmästä komennolla

    ls -lahR > alkuperäinen_tiedosto.txt

    ja jos ongelmia ilmenee, luo uusi tilannekuva toiseen tiedostoon ja vertaa niitä sitten WinDiffissä, AraxisMerge Toolissa tai BeyondComparessa.

    Epilogi

    Useimmissa tapauksissa virustorjuntaohjelmistojen kehittäjät ja skannerit eivät pysy haittaohjelmien kehittäjien tahdissa, joten sivustoja diagnosoitaessa ja hoidettaessa ei voi luottaa pelkästään automatisoituihin ohjelmistoratkaisuihin ja komentosarjoihin. Käyttämällä heuristista lähestymistapaa, käyttöjärjestelmän monipuolisia työkaluja ja CMS-ominaisuuksia voit löytää haitallista koodia, jota virustentorjunta ja skannerit eivät pystyneet havaitsemaan. Manuaalisen analyysin käyttö tekee verkkosivujen käsittelyprosessista paremman ja tehokkaamman.

    Haitallinen koodi päätyy sivustolle huolimattomuudesta tai ilkivaltaisesta tarkoituksesta. Haitallisen koodin tarkoitukset vaihtelevat, mutta olennaisesti se vahingoittaa tai häiritsee verkkosivuston normaalia toimintaa. Jos haluat poistaa haitallisen koodin WordPressistä, sinun on ensin löydettävä se.

    Mikä on haitallinen koodi WordPress-sivustolla?

    Ulkonäöltään haitallinen koodi on useimmiten joukko latinalaisten aakkosten kirjaimia ja symboleja. Itse asiassa tämä on salattu koodi, jolla tämä tai tuo toiminto suoritetaan. Toiminnot voivat olla hyvin erilaisia, esimerkiksi uudet viestisi julkaistaan ​​välittömästi kolmannen osapuolen resurssissa. Tämä on pohjimmiltaan sisältösi varastamista. Koodilla on myös muita "tehtäviä", esimerkiksi lähtevien linkkien sijoittaminen sivuston sivuille. Tehtävät voivat olla kaikkein kehittyneimpiä, mutta yksi asia on selvä: haitalliset koodit on etsittävä ja poistettava.

    Miten haitalliset koodit pääsevät verkkosivustolle?

    Sivustolla on myös monia porsaanreikiä koodien pääsylle sivustolle.

  • Useimmiten nämä ovat teemoja ja laajennuksia, jotka on ladattu "vasemmista" resursseista. Tällainen tunkeutuminen on kuitenkin tyypillistä niin sanotuille salatuille linkeille. Selkeä koodi ei päädy sivustolle.
  • Viruksen tunkeutuminen sivustoon hakkeroinnin yhteydessä on vaarallisinta. Pääsääntöisesti sivuston hakkerointi antaa sinun sijoittaa "kertakoodin" lisäksi myös koodin, jossa on haittaohjelmien elementtejä (haittaohjelma). Löydät esimerkiksi koodin ja poistat sen, mutta se palautetaan jonkin ajan kuluttua. Vaihtoehtoja on taas monia.

    • Haluan heti huomauttaa, että tällaisten virusten torjunta on vaikeaa ja manuaalinen poistaminen vaatii tietoa. Ongelmaan on kolme ratkaisua: ensimmäinen ratkaisu on käyttää virustorjuntalaajennuksia, esimerkiksi BulletProof Security -nimistä laajennusta.

    Tämä ratkaisu antaa hyviä tuloksia, mutta vie aikaa, vaikkakin vähän. Haitallisista koodeista, mukaan lukien monimutkaisista viruksista, poistamiseen on olemassa radikaalimpi ratkaisu, joka on palauttaa sivusto aiemmin tehdyistä varmuuskopioista.

    Koska hyvä verkkovastaava tekee tämän säännöllisesti, voit palata ei-tartunnan saaneeseen versioon ilman ongelmia. Kolmas ratkaisu on rikkaille ja laiskoille, ota yhteyttä erikoistuneeseen "toimistoon" tai yksittäiseen asiantuntijaan.

    Kuinka etsiä haitallista koodia WordPressissä

    On tärkeää ymmärtää, että WordPressin haitallinen koodi voi olla missä tahansa sivuston tiedostossa, ei välttämättä työteemassa. Hän voi keksiä laajennuksen, teeman tai "kotitekoisen" koodin, joka on otettu Internetistä. On olemassa useita tapoja yrittää löytää haitallista koodia.

    Tapa 1: Manuaalisesti. Selaat kaikkia sivuston tiedostoja ja vertaat niitä tartuttamattoman varmuuskopion tiedostoihin. Jos löydät jonkun toisen koodin, poista se.

    Tapa 2: WordPressin suojauslaajennusten käyttäminen. Esimerkiksi, . Tällä laajennuksella on loistava ominaisuus, joka tarkistaa sivuston tiedostot muiden ihmisten koodin varalta ja laajennus selviää tästä tehtävästä täydellisesti.

    Tapa 3. Jos sinulla on kohtuullinen isännöintituki ja sinusta vaikuttaa siltä, ​​että sivustolla on joku muu, pyydä häntä tarkistamaan sivustosi virustorjuntaohjelmallaan. Heidän raportissaan luetellaan kaikki tartunnan saaneet tiedostot. Avaa sitten nämä tiedostot tekstieditorissa ja poista haitallinen koodi.

    Tapa 4. Jos voit työskennellä SSH-yhteydellä sivustohakemistoon, mene eteenpäin, sillä on oma keittiö.

    Tärkeä! Riippumatta siitä, kuinka etsit haitallista koodia, sulje pääsy sivuston tiedostoihin ennen koodin etsimistä ja poistamista (ota ylläpitotila käyttöön). Muista koodit, jotka itse palautetaan, kun ne poistetaan.

    Etsi haitallisia koodeja eval-toiminnolla

    PHP:ssä on sellainen toiminto nimeltä eval. Sen avulla voit suorittaa minkä tahansa koodin rivillään. Lisäksi koodi voidaan salata. Koodauksesta johtuen haitallinen koodi näyttää kirjaimien ja symbolien joukolta. Kaksi suosittua koodausta ovat:

  • Base64;
  • Rot13.

    • Vastaavasti näissä koodauksissa eval-funktio näyttää tältä:

    • eval(base64_decode(...))
    • eval (str_rot13 (...)) //sisäisissä lainausmerkeissä, pitkiä, epäselviä kirjain- ja symbolijoukkoja..

    Algoritmi haitallisen koodin etsimiseen eval-toiminnolla on seuraava (työskentely hallintapaneelista):

    • mene sivuston editoriin (Ulkoasu→Muokkaaja).
    • kopioi functions.php-tiedosto.
    • avaa se tekstieditorissa (esimerkiksi Notepad++) ja etsi sana: eval.
    • Jos löydät sen, älä kiirehdi poistamaan mitään. Sinun on ymmärrettävä, mitä tämä toiminto "pyytää" suoritettavan. Tämän ymmärtämiseksi koodi on purettava. Koodauksen purkamiseen on olemassa online-työkaluja, joita kutsutaan dekoodereiksi.
    Dekooderit/Enkooderit

    Dekooderit toimivat yksinkertaisesti. Kopioit koodin, jonka salauksen haluat purkaa, liität sen dekooderikenttään ja purat sen.

    Tätä kirjoittaessani en löytänyt WordPressistä yhtään salattua koodia. Löysin koodin Joomlan sivuilta. Periaatteessa dekoodauksen ymmärtämisessä ei ole eroa. Katsotaanpa valokuvaa.

    Kuten kuvasta näkyy, eval-toiminto ei näyttänyt dekoodauksen jälkeen kauheaa koodia, joka uhkaa sivuston turvallisuutta, vaan salatun tekijänoikeuslinkin mallin kirjoittajalta. Se voidaan myös poistaa, mutta se tulee takaisin mallin päivityksen jälkeen, jos et käytä .

    Lopuksi haluan huomauttaa, jotta virus ei pääse sivustolle:

    • WordPressin haitallinen koodi sisältää usein teemoja ja laajennuksia. Siksi älä asenna malleja ja laajennuksia "vasemmalta", vahvistamattomista resursseista, ja jos asennat, tarkista ne huolellisesti PHP:n linkkien ja johtavien toimintojen varalta. Kun olet asentanut laajennuksia ja teemoja "laittomista" lähteistä, tarkista sivusto virustorjuntaohjelmistolla.
    • Muista tehdä ajoittain varmuuskopioita ja tehdä muita.

    Tämä viesti johtui useiden sivustojen omistajien kysymyksistä haitallisen koodin poistamisesta verkkosivustoltaan. Alla yritän kuvata sarjan yksinkertaisia ​​vaiheita, jotka eivät vaadi erityisiä tietoja ja ovat ensisijaisesti hyödyllisiä aloittelijoille Internet-resurssien hallinnassa.

    Mistä tiedät, onko verkkosivusto joutunut hyökkäyksen uhriksi, jonka aikana siihen on kohdistettu haitallista koodia? Ensimmäinen ja yksinkertaisin asia on, että sivusto on lakannut toimimasta tai se ei näytä siltä, ​​miltä "terveen" resurssin pitäisi näyttää. Tämä voi ilmetä ei-toivotun sisällön ilmestymisenä tai sisältösi katoamisena, sivut eivät lataudu tai latautuvat niissä on virheitä. Lisäksi, jos sivustosi lisätään Yandexiin tai Googlen verkkovastaavaan, saat todennäköisesti näistä järjestelmistä ilmoituksen haitallisesta koodista. Joissakin tapauksissa voit oppia haavoittuvuudesta selaimestasi (kuvakaappaus Google Chromesta).

    Tällaisissa tapauksissa on erittäin epätoivottavaa yrittää avata sivua pidemmälle.

    Etsimme haitallista koodia sivustolta

    Emme ymmärrä haitallisen koodin sivustollesi asentaneen henkilön motiiveja, saati etsimään sitä. Päätavoitteemme on löytää "huono" koodi ja poistaa se. Ensin sinun on tarkistettava resurssi kaikkien "tartunnan saaneiden" sivujen havaitsemiseksi. Tämän avulla voit rajata hakuasi. Haitallinen koodi voidaan esimerkiksi sijoittaa Javascript-skriptin muodossa jollekin erilliselle sivulle, vaikkapa julkaisun tai sen kommentin sisältöön. Tässä tapauksessa ongelma voidaan ratkaista sivuston ylläpitäjän kautta poistamalla tällainen koodi sisällöstä/kommentista. Muussa tapauksessa sinun on etsittävä se resurssi lähdekoodista.

    Voit tarkistaa sivuston haavoittuvuuksien varalta käyttämällä https://sitecheck.sucuri.net. Tämän seurauksena näet seuraavat asiat:

    Kuten kuvakaappauksesta näet, "huono" skripti löytyi useilta sivuston sivuilta, joten sinun on etsittävä se lähdekoodista.

    Voit käyttää sivuston lähdekoodia useilla tavoilla:

  • Helpoin tapa on sivuston hallintapaneelin kautta. Wordpressissä esimerkiksi "Ulkonäkö" -> "Editor". Tämä menetelmä ei ole täysin kätevä, koska tiedostojen sisältöä ei ole haettu, joten sinun on tutkittava ne kaikki erikseen huolellisesti ja etsittävä "huono" skripti.
  • Monet blogit, yritysresurssit ja verkkokaupat sijaitsevat palvelimilla, joihin pääsee isännöinnin ohjauspaneelin kautta. Usein tämä paneeli on cPanel. Päästäksesi sisään sinun on tiedettävä käyttäjätunnuksesi ja salasanasi. Ne lähetetään yleensä isännöintiä ostettaessa tapahtuman tekevälle henkilölle. Kun olet kirjautunut ohjauspaneeliin, voit tarkastella ehdottomasti kaikkia lähdetiedostoja "Tiedostonhallinnan" kautta ja yrittää löytää ne, jotka sisältävät havaitun haitallisen komentosarjan.
  • Kätevin tapa on FTP-asiakas. Jos "kommunikoit" resurssi kanssa FTP-asiakkaan avulla, voit helposti suorittaa haun lähdetiedostojen sisällöstä.

    • Älä yritä löytää haitallista koodia sivustosi lähdetiedostoista, vaan korvaa se kokonaan haussa. Valitse sen ainutlaatuinen osa, kuten meidän tapauksessamme googleleadservices.cn, ja toista haku useita kertoja.

    Haitallisen koodin poistaminen

    Kun haitallinen koodi havaitaan, se on yksinkertaisesti poistettava. Meidän tapauksessamme sivustolla oli Joomla, ja "huono" komentosarja lisättiin index.php:hen juurihakemistoon. Tästä syystä haavoittuvuus löydettiin useilta sivuilta kerralla, koska tätä index.php:tä käytetään resurssin kaikkien sivujen rakentamiseen.

    Heti haitallisen koodin poistamisen jälkeen suosittelen vaihtamaan kaikkien käyttäjien salasanat sivuston ohjauspaneelissa ja yrittämään myös selvittää muiden tämän ongelman kohdanneiden järjestelmänvalvojien kokemuksia. Saattaa olla tarpeen ryhtyä joihinkin lisätoimenpiteisiin.

    Ennaltaehkäisy

    Ennaltaehkäisy on aina parempi kuin hoito, joten suosittelen:

  • Käytä "hyviä" salasanoja kaikille sivuston käyttäjille (pitkiä, numeroita, isoja ja pieniä kirjaimia).
  • Ota vakavasti ja suodata sisältö, jota et ole luonut sivustolla (vierasviestit, kommentit).
  • Älä odota ilmoituksia, vaan tarkista sivusto säännöllisesti haavoittuvuuksien varalta.
  • Päivitä sisällönhallintajärjestelmä ajoissa (Wordpress, Joomla, Drupal, ...).

    • Jätä kaikki kysymykset tai kommentit kommentteihin.