2 ПРИМЕРА ВЗЛОМА И ЛЕЧЕНИЯ ВОРДПРЕСС

Согласно статистике, хакеры атакуют сайты на Вордпресс примерно 90.000 раз в минуту. Если вы думаете, что сайт в безопасности, потому что он не представляет интереса для хакеров, то это не так.

В большинстве случаев для хакеров не имеет значения кому принадлежит сайт, возраст сайта, размер сайта, содержание сайта и так далее. Хакеры взламывают сайты для того, чтобы получить контроль над узлом сети и использовать ресурсы этого узла.

Обычно хакеры взламывают сайты для рассылки спама, редиректа на свои сайты, кражи личных данных и использования сервера в качестве хранилища какой-нибудь информации или файлообменника. Очень редко хакеры взламывают какой-то конкретный сайт. В большинстве случаев хакеры при помощи ботов автоматически взламывают десятки сайтов, и используют ресурсы этих сайтов для своих дел.

В этой статье вы узнаете, какими способами можно обезопасить сайт, как Вордпресс может быть атакован, как злоумышленники могут получить доступ к сайту, какие признаки у взломанного сайта, что можно сделать, если сайт был взломан и какие плагины для безопасности сайта вы можете использовать.

Содержание
  1. Насколько безопасен Вордпресс
  2. Почему ваш сайт является целью для злоумышленников?
  3. Как хакеры взламывают сайты
  4. Распространение типов уязвимостей согласно Wordfence и WP WhiteSecurity
  5. Основные требования к безопасности сайта
  6. Как скрыть данные о Вордпресс
  7. Удалите версию Вордпресс
  8. Измените структуру расположения файлов и папок
  9. Ограничьте количество попыток доступа на сайт
  10. Удалите ненужные файлы
  11. Добавьте правила в WP-Config. php
  12. Переместите файл wp-config. php
  13. Проверьте права доступа к файлам и папкам
  14. Измените префикс базы данных
  15. Отключите редактирование файлов в панели Вордпресс
  16. Смените ключи безопасности
  17. Используйте SSL
  18. Используйте FTPS
  19. Используйте SFTP
  20. Выключите режим debug
  21. Включите автообновление Вордпресс
  22. Запретите доступ к важным файлам
  23. Запретите доступ к PHP файлам
  24. Запретите доступ к папке wp-includes
  25. Ограничьте доступ к странице авторизации
  26. Запретите доступ к директориям сайта
  27. Добавьте лимит на загружаемые файлы
  28. Отключите нумерацию пользователей
  29. Запретите исполнение PHP файлов в папке Uploads
  30. Защитите сайт от внедрения вредоносных скриптов
  31. Отключите информацию об используемой версии ПО сервера
  32. Удалите пользователя с ID 1
  33. Измените текст ошибки при входе на сайт
  34. Отключите XML-RPC
  35. Установите пароль на доступ к wp-login. php
  36. Защита от спама WordPress
  37. Плагины безопасности Вордпресс
  38. IThemes Security
  39. Security Ninja
  40. All In One WP Security & Firewall
  41. BulletProof Security
  42. Defender Security, Monitoring, and Hack Protection
  43. SecuPress
  44. SiteLock Security
  45. Как поддерживать безопасность сайта
  46. Используйте плагин безопасности
  47. Регулярно сканируйте сайт
  48. Просматривайте логи событий
  49. Установите файрвол на сервере
  50. Признаки взломанного сайта
  51. Решение проблем со взломанным сайтом
  52. Убедитесь, что сайт взломан
  53. Сделайте бэкап
  54. Что можно безопасно удалить с любого взломанного сайта
  55. Как найти вредоносный код и вылечить сайт с помощью плагина. Способ 3
  56. Что делать с зараженными файлами
  57. Посетители сайта получают предупреждения от файрволов и антивирусов. Что делать?
  58. Как узнать, что мой сайт находится в списке опасных сайтов, содержащих вредоносное ПО?
  59. Приступаем к взлому WordPress
  60. Тестируем первоначальные находки
  61. Обходные маневры
  62. Развиваем идею
  63. Получение shell-доступа
  64. Уроки на будущее
  65. Тревожный сигнал
  66. Первые шаги

Насколько безопасен Вордпресс

На Вордпрессе работает более 43% сайтов в Интернете, и он является самой популярной системой управления контентом. Более 80% атак на CMS приходится на Вордпресс, но он остается самой популярной платформой.

Разработчики Вордпресс постоянно работают над устранением найденных уязвимостей и выпускают обновления Вордпресс.

C момента выхода первой версии Вордпресс было выпущено более 2.500 исправлений уязвимостей. Были случаи, когда обновления выходили менее чем через 40 минут после обнаружения уязвимости.

Хакботы обходят десятки тысяч сайтов в час, имея описания известных уязвимостей устаревших версий Вордпресс, тем и плагинов. Если вы используете устаревший софт, то рано или поздно такой бот найдет сайт, на котором используется устаревшая версия.

Правило безопасности №1 от разработчиков всех плагинов и сервисов безопасности — регулярно обновляйте Вордпресс, плагины и темы. Другие меры безопасности тоже нужны, но они становятся менее эффективными, если ядро Вордпресс не обновлено.

Для максимальной безопасности сайта нужно обновлять Вордпресс. Можно включить автоматическое обновление, или оставить обновление в ручном режиме.

Почему ваш сайт является целью для злоумышленников?

Не только ваш, но вообще все сайты на Вордпресс являются целью для хакеров. Даже абсолютно новый сайт без контента, без трафика, с обновленным ядром может быть взломан хакерами и использован в своих целях.

Все Вордпресс сайты являются целью для хакеров из-за своей популярности. Хакеры пишут ботов, которые обходят сотни тысяч сайтов и сканируют их на списки уязвимостей. Чем больше сайтов будет просканировано, тем выше вероятность найти уязвимость и получить какой-то контроль над сайтом.

В 2019 году более 85 млн. сайтов в Интернете работает на Вордпресс, поэтому вероятность что-то найти достаточно высока.

Молодые сайты обычно менее защищены от атак, потому что их владельцы думают, что их сайты не представляют интереса для хакеров, но на самом деле молодые сайты — одна из целей хакеров, потому что их проще взломать.

Хакеры взламывают сайты для того, чтобы:

Большие сайты тоже являются целью хакеров, потому что большой аудитории сайта можно начать рассылать спам.

Как хакеры взламывают сайты

Когда разработчики пишут код, практически невозможно не оставить какую-то уязвимость в безопасности. Когда хакеры находят эти дыры, они используют их, чтобы взломать сайт.

Другие способы получить контроль над сайтом — использование человеческих ошибок, например, слишком простые пароли, или ненадежный или небезопасный хостинг.

 

Это основные уязвимости Вордпресс, которые хакеры используют для взлома, в основном при помощи ботов. Боты также могут найти сразу несколько уязвимостей.

Согласно исследованию WP WhiteSecurity, 54% уязвимостей выявлено в плагинах Вордпресс, 31,5% уязвимостей в ядре Вордпресс и 14,3% уязвимостей — в темах Вордпресс.

Распространение типов уязвимостей согласно Wordfence и WP WhiteSecurity

Типы уязвимостей WordPress, исследование Wordfence

Типы уязвимостей WordPress, исследование WP WhiteSecurity

Другое исследование WP WhiteSecurity, проведенное на 42.000 сайтах из рейтинга Алекса Топ-1.000.000, говорит о том, что 73,2% сайтов имеют уязвимости из-за необновленной версии Вордпресс.

Основные требования к безопасности сайта

От безопасности вашего компьютера зависит безопасность вашего сайта. Вредоносное ПО и вирусы могут заразить ваш сайт и сотни других сайтов.

Как скрыть данные о Вордпресс

Скрытие данных о Вордпресс, например, версии ядра или изменение адреса входа в админку — один из способов увеличить безопасность сайта.

Еще в одном исследовании WP WhiteSecurity говорится, что только 8% сайтов было взломано вручную методом перебора паролей, 92% сайтов были взломаны ботами автоматически, из них 41% — через уязвимости в ПО хостинга, 29% — через уязвимости в файлах темы, 22% — через уязвимости в плагинах.

Большинство ботов используют этот тип взлома, для защиты сайта от более редких ботов настройте как можно больше рекомендаций из этой статьи.

Удалите версию Вордпресс

Списки уязвимостей предыдущих версий Вордпресс находятся в открытом доступе, поэтому удаление информации об используемой версии ПО увеличивает безопасность сайта.

Измените структуру расположения файлов и папок

Вордпресс — открытая платформа, информация о которой находится в открытом доступе, поэтому хакеры могут использовать какую-то информацию о Вордпресс для взлома сайта.

В документации Вордпресс описана структура расположения файлов и папок. Используя эту информацию, хакеры могут решить, каким путем они попытаются проникнуть на сайт.

Ограничьте количество попыток доступа на сайт

Чтобы этого не случилось, установите плагин безопасности, который будет ограничивать количество попыток входа на сайт. Есть специальные плагины для решения только этой задачи, например, Limit Login Attempts Reloaded или Login LockDown, есть большие плагины безопасности, в которых эта функция находится в числе других, например, Wordfence или All In One WP Security & Firewall.

Удалите ненужные файлы

В файле readme.html содержится информация об используемой версии Вордпресс. Хакеры могут использовать публичную информацию об уязвимостях используемой версии Вордпресс, чтобы проникнуть на ваш сайт.

Добавьте правила в WP-Config. php

Это главный файл сайта, который находится в корневой папке. Добавляйте свои записи в wp-config перед строкой:

/* Это всё, дальше не редактируем. Успехов! */

/* That’s all, stop editing! Happy blogging. */

В этом разделе правила для повышения безопасности сайта в файле wp-config.php.

Переместите файл wp-config. php

В файле wp-config.php находится много важной информации, которая не должна быть доступна посторонним. Вы можете переместить этот файл в другое место, чтобы хакеры не смогли найти его в его обычном месте.

Если ваш сайт находится в корневой папке, перенесите wp-config.php на один уровень вверх.

Или вы можете перенести этот файл в любое другое место. Создайте в корневой папке новый файл с именем wp-config.php, и вставьте в него этот код:

Замените /путь/к/wp-config.php на ваш адрес к файлу после перемещения.

Проверьте права доступа к файлам и папкам

Файлам и папкам Вордпресс должны быть даны права доступа 644 и 755. Некоторым файлам и папкам могут быть даны особые права, например, файлу wp-config.php должны быть даны права 440 или 400.

В файле wp-config вы можете автоматически установить права доступа ко всем файлам и папкам на сайте:

Важным файлам и папкам вы можете дать более строгие права вручную.

  • Корневая папка сайта — /сайт.ru/public_html/ — 750
  • .htaccess — /сайт.ru/public_html/.htaccess — 640
  • wp-content/ — /сайт.ru/public_html/wp-content — 750
  • wp-content/themes/ — /сайт.ru/public_html/wp-content/themes — 750
  • wp-content/plugins/ — /сайт.ru/public_html/wp-content/plugins — 750
  • wp-includes/ — /сайт.ru/public_html/wp-includes — 750

Измените префикс базы данных

Таблицы базы данных имеют по умолчанию префикс wp_. Измените префикс на что-нибудь другое, чтобы усложнить задачу хакерам.

Для изменения префикса базы данных надо внести изменения в файл wp-config.php и базу данных.

Отключите редактирование файлов в панели Вордпресс

В панели администратора находится редактор файлов, в котором вы можете редактировать файлы установленных плагинов и тем.

Редактировать файлы тем вы можете в разделе Внешний вид — Редактор, файлы плагинов в разделе Плагины — Редактор.

Многие разработчики считают доступ к редактированию файлов в панели Вордпресс опасным, потому что если хакер попадет в админскую часть сайта, у него появится доступ к этим файлам.

С другой стороны, если злоумышленник получил доступ к админской части сайта, то уже ничего не поможет.

Возможно, запрет на редактирование php файлов в админке даст вам некоторое время, чтобы попробовать вернуть контроль над сайтом. Выключить редактирование файлов в админке можно так:

Смените ключи безопасности

В файле wp-config.php находятся ключи безопасности, с помощью которых шифруется информация, хранящаяся в cookies. Меняйте их время от времени, это сделает cookies, хранящиеся в браузерах пользователей, в том числе хакеров, недействительными. Для входа на сайт нужно будет авторизоваться еще раз.

Используйте SSL

После того, как вы установили SSL сертификат на свой домен, включите его принудительное использование, чтобы все посетители сайта подключались к сайту по безопасному соединению.

Чтобы использовать SSL в админской части сайта, например, для шифрования cookies сессии, добавьте эту строку:

Добавьте эти строки в файл wp-config.php перед строкой:

Чтобы использовать SSL во фронт-энде сайта добавьте эту запись в файл .htaccess:

Используйте FTPS

Чтобы использовать FTPS через небезопасное FTP соединение, добавьте это правило перед строкой «Это все, дальше не редактируем»:

Используйте SFTP

Чтобы повысить безопасность SSH подключения, вы можете использовать SFTP соединение, если эта функция включена на хостинге.

Выключите режим debug

По умолчанию режим debug выключен и должен быть выключен до тех пор, пока вы не обнаружите ошибки на сайте.

Если вы хотите включить режим debug и отображение ошибок во фронтэнде, замените false на true.

Включите автообновление Вордпресс

Если вы хотите включить автообновление Вордпресс, добавьте это правило:

Если вы хотите сначала протестировать обновления, то оставьте обновление вручную, или включите выборочное обновление плагинов:

В этом разделе правила для повышения безопасности сайта в файле .htaccess.

Запретите доступ к важным файлам

Вы можете закрыть доступ к важным файлам wp-config.php, htaccess, php.ini и логам ошибок. Добавьте это правило из Кодекса Вордпресс:

Если у вас есть файл php5.ini или php7.ini вместо php.ini, замените php.ini в первой строке на ваш файл.

Запретите доступ к PHP файлам

Ограничьте доступ к php файлам тем и плагинов, так как хакеры могут внедрить в них вредоносный код.

Запретите доступ к папке wp-includes

В папке wp-includes находятся важные файлы, которые могут быть использованы для взлома сайта.

Добавьте это правило, чтобы защитить /wp-includes/:

Ограничьте доступ к странице авторизации

Кроме изменения адреса страницы авторизации вы можете ограничить пользователей, которым разрешено заходить на страницу входа.

Вы можете разрешить доступ нескольким статическим IP адресам:

Строки 2 и 3 перенаправляют посетителя на страницу с ошибкой 404, если они пришли не с адресов, указанных в этом правиле. Это правило не вызывает ситуацию цикличных редиректов, поэтому ваш сайт не будет выглядеть как зависший.

Если вам нужен только один IP адрес, удалите строки 10 и 11, если вам нужно больше адресов, добавьте нужное количество строк.

Не забудьте дополнить или отключить это правило если вы поедете путешествовать, иначе вы попадете на страницу 404.

Если вы или другие пользователи имеете динамические IP (или Мультисайт), используйте это правило:

Замените  /путь-к-вашему-сайту/ и  /ваш-сайт.ru/  на свой адрес.

Этот способ не защитит от хакеров, которые вручную набирают адрес страницы авторизации, но значительно уменьшит количество атак с перебором паролей.

Замените  IP Адрес 1 и IP Адрес 2 на свои IP.

Запретите доступ к директориям сайта

Хакер может получить доступ к папкам сайта, если введет в адресной строке полный путь к нужной папке.

Например, злоумышленник может увидеть содержимое папки uploads, если введет в адресной строке  ваш-сайт.ru/wp-content/uploads/.

Если у вас настроены права доступа, то редактировать эти файлы должно быть невозможно, но доступ к этим папкам все равно лучше запретить.

Чтобы закрыть доступ к директориям сайта, добавьте это правило в .htaccess:

Добавьте лимит на загружаемые файлы

Ограничьте максимальный размер загружаемых файлов 10Мб:

Отключите нумерацию пользователей

Если злоумышленник введёт в строку адреса ваш-сайт.ru/?author=1, он будет перенаправлен на страницу пользователя с ID = 1.

В этом случае хакер будет знать имя пользователя, и ему останется только узнать пароль.

Даже если пользователи используют сложные пароли, злоумышленнику лучше не знать ID пользователей. Добавьте этот код в .htaccess:

Или добавьте этот код в functions.php:

Запретите исполнение PHP файлов в папке Uploads

Обычно хакеры загружают вредоносный код в папку /wp-content/uploads/.

Добавьте это правило, чтобы отключить возможность исполнять php файлы в папке uploads:

Замените /var/www/ в строке 2 на свой адрес.

Если не получается, проблема скорее всего в адресе. Попробуйте разные варианты адреса: полный путь, относительный путь с первым слэшом, относительный путь без первого слэша.

Если ничего не помогает, создайте новый файл .htaccess и поместите его в папку /wp-content/uploads/. Добавьте в него такой код:

Защитите сайт от внедрения вредоносных скриптов

Запретите внедрение кода в php файлы. Добавьте это правило:

Отключите информацию об используемой версии ПО сервера

Подпись Сервера — это служебная информация, в которой говорится, что сайт использует, например, сервер Apache определенной версии и ОС Ubuntu определенной версии.

Чтобы отключить показ версий ПО на вашем сервере, добавьте этот код htaccess:

Удалите пользователя с ID 1

При установке Вордпресс по умолчанию создается пользователь с правами администратора с ID=1. Вы уже знаете об изменении имени пользователя, но кроме этого можно изменить ID администратора сайта.

Создайте нового пользователя с правами администратора, зайдите на сайт под новым аккаунтом и удалите старого администратора с ID 1.

С другой стороны, некоторым плагинам требуются дополнительные права для своей работы, которых у них может не быть, если создать нового пользователя с правами администратора.

Измените текст ошибки при входе на сайт

Когда хакер вводит неверный пароль к верному имени пользователя, Вордпресс показывает сообщение, что пароль неверный. Это дает ему понять, что имя пользователя верное.

Чтобы изменить текст сообщения, добавьте эти строки в functions.php.

Замените сообщение в строке 2 на свое сообщение.

Отключите XML-RPC

Чтобы полностью отключить XML-RPC, добавьте это правило в .htaccess:

Установите пароль на доступ к wp-login. php

Для этого нужно создать файл с паролями и добавить код в .htaccess.

Защита от спама WordPress

Спам на сайте — это намного больше, чем просто надоедливый мусор. Спам может привести к заражению сайта, брут-форс или DDoS атакам. Защита от спама — одна из составляющих безопасности сайта.

Плагины безопасности Вордпресс

Sucuri Inc является «всемирно признанным авторитетом во всем, что касается безопасности Вордпресс». Так и есть, сервис Сукури предлагает комплексную защиту сайта: обработку и фильтрацию всего входящего трафика на серверах Сукури, кеширование, сеть CDN и гарантию бесплатного лечения сайта в случае, если сайт взломают.

Бесплатный плагин сравнивает файлы ядра Вордпресс с файлами в репозитарии Вордпресс, сканирует сайт на вирусы, проверяет, был ли сайт был занесен в черные списки и ведет логи событий.

В случае подозрительной активности на сайте плагин посылает сообщение на е-мейл.

Вся эта информация отображается в удобном виде в админке Вордпресс.

Один из самых популярных и мощных плагинов безопасности Вордпресс. Платная и бесплатная версии обнаруживают вредоносный код и защищают сайт практически от всех видов угроз. База данных плагина постоянно обновляется, — как только появляется новая угроза, она попадает в базу данных платной версии, и через 30 дней — в базу бесплатной версии.

В Wordfence есть функция обнаружения изменения или добавления файлов. Когда существующий файл сайта обновляется или добавляется новый файл, Вордфенс сообщает об этом и предлагает отменить изменение или удалить файл.

В Вордфенсе есть функция сканирования файлов сайта, встроенный файрвол и множество других функций.

У плагина более 2-х миллионов установок и высокий рейтинг.

IThemes Security

iThemes Security — мощный плагин из тройки лидеров. У него есть база с последними хаками, бэкдорами и другими угрозами.

Бесплатная версия хорошо защищает чистый сайт, имеет более 30 функций, но если вы хотите знать, когда файлы изменялись и делать подробное скаирование сайта, вам нужно купить премиум версию.

Еще одна крутая функция этого плагина — бэкап сайта. Если вы обнаружили, что сайт был взломан, можно попробовать восстановить более раннюю версию сайта.

Security Ninja

Мощный премиум плагин безопасности, который легко настроить. В бесплатной версии проверяет сайт на наличие основных уязвимостей и предлагает инструкции по их устранению.

В платной версии добавляется авто-применение защитных функций плагина, сканер ядра, который сравнивает файлы вашей установки Вордпресс с оригинальными файлами на сайте Вордпресс, сканер сайта на наличие вредоносного ПО и облачный файрвол, в который добавляются IP, распространяющие вредоносное ПО и спам.

All In One WP Security & Firewall

Большой бесплатный плагин со множеством настроек, имеет встроенный файрвол. Защищает файлы сайта и базу данных. Большинство функций работают в пассивном режиме, потребляет мало ресурсов. В платной версии есть сканер сайта на наличие вредоносного ПО.

Проверяет файлы и базу данных, сообщает, если были какие-то изменения, меняет стандартную страницу авторизации, скрывает версию Вордпресс, меняет префикс базы данных и еще десятки других функций. Ко всем функциям есть подробные описания.

Плагин скорее предназначен для предупреждения заражений, чем для лечения, поэтому его лучше устанавливать на свежий или вылеченный сайт.

BulletProof Security

Еще один плагин, который вы можете использовать. У этого плагина есть премиум версия, в которой доступен полный бэкап сайта и несколько других опций для повышения безопасности.

Defender Security, Monitoring, and Hack Protection

Хороший плагин с простым интерфейсом. Большинство функций доступно только в платной версии.

SecuPress

Плагин сканирует сайт на наличие вредоносного кода, блокирует ботов и подозрительные IP адреса, как и другие плагины. В платной версии доступно больше опций.

SiteLock Security

Бесплатный плагин с множеством функций, сканирует сайт на уязвимости с обновлениями в реальном времени.

Как поддерживать безопасность сайта

Безопасность Вордпресс — это устранение как можно большего количества уязвимостей, так как уязвимость — это пропуск на сайт. Хакеры ищут самый простой способ попасть на сайт. Сайты с уязвимостями в безопасности являются для них такой целью. С помощью этого руководства вы можете эффективно отражать 99,99% атак на свой сайт.

Используйте плагин безопасности

Большинство техник из этого руководства можно включить в плагинах безопасности. Установите и настройте один из них, это защитит ваш сайт и вам не нужно будет помнить, какие техники вы применили или могли забыть.

Сам по себе Вордпресс достаточно безопасен если его регулярно обновлять, но хакеры постоянно находят новые уязвимости в ПО. Плагин безопасности поможет защитить ваш сайт, пока разработчики Вордпресс работают над устранением этой уязвимости.

Регулярно сканируйте сайт

После того, как вы установили плагин безопасности, настройте регулярное сканирование. Автоматическое сканирование по расписанию находится в платных плагинах, но в некоторых бесплатных оно тоже есть. Например, Sucuri Security.

Без регулярного сканирования уязвимость может пройти незамеченной, и это может привести ко взлому сайта. Вы об этом можете узнать, когда поисковики пометят ваш сайт как «содержащий вредоносный код» и понизят его в поисковой выдаче.

Установите частоту сканирования немного меньше, чем частота бэкапа. Если сайт взломают, будет из чего его восстановить.

Просматривайте логи событий

Когда вы устанавливаете сайт на хостинге, в это же время начинают вестись логи событий. Где-то на вашем аккаунте должны храниться логи ошибок и логи доступа.

Обычно называются «Логи», если вы не можете их найти, спросите у техподдержки.

Логи событий — это записи о том, как кто-то получал доступ к сайту, просматривал важные файлы или пытался получить к ним доступ. Если вы будете время от времени просматривать логи, вы можете обратить внимание на какую-то необычную активность.

Например, если обычные посетители пытались получить доступ к файлам .htaccess или wp-config.php. Если вы видите, что какой-то посетитель получил доступ к этим файлам, это может значить, что ваш сайт взломали.

Если вы будете время от времени просматривать логи событий и заметите что-то странное, вы сможете вовремя отреагировать на изменения.

Установите файрвол на сервере

Вы можете установить файрвол на сервере, это защитит сайт и сервер от хакеров еще на подходе. Не путайте файрвол на сервере с WAF (web application firewall), файрволом на сайте, который находится в плагине Wordfence.

Если хакер уже попал на сайт, то остановить его будет труднее, поэтому лучше остановить его на подходе к сайту, то есть на уровне сервера.

Вы можете попробовать установить бесплатный файрвол ConfigServer Security & Firewall. Перед установкой поговорите с техподдержкой хостинга, у вас может не быть прав на установку ПО, или, возможно, какой-то файрвол уже установлен на сервере.

Признаки взломанного сайта

1. Постоянные ссылки. Зайдите в Настройки — Постоянные ссылки. Проверьте, что ничего не добавлено к постоянной ссылке. Постоянная ссылка должна выглядеть как %postname%. Если ссылка изменилась на %postname%/%, например,

значит, ваш сайт взломали.

2. Непонятный контент: Контент, который вы не размещали, — рекламные баннеры, новые статьи или страницы, и тому подобное. Проверьте все страницы сайта, начиная с Главной.

3. Поисковики: Проверьте свой сайт в поисках, нет ли в выдаче «виагры» вместе с вашим сайтом.

Замените ваш-сайт.ru на ваш адрес.

Вставьте эту строку в поисковик, посмотрите, как поисковики видят ваш сайт. Некоторые взломы меняют заголовок страницы на рекламный мусор.

4. Неожиданные пики посещаемости: Хакеры используют взломанные сайты для редиректа на свои сайты. Если вы видите внезапное необъяснимое увеличение посещаемости, это может говорить о перенаправлении спам-трафика через ваш сайт на сайты хакеров.

5. Пользователи сайта: Проверьте пользователей сайта, нет ли неизвестных вам юзеров с правами администратора.

6. Файл .htaccess. Страницы сайта ведут на сайт с Виагрой, казино и тому подобное. Зайдите в свой файл .htaccess, проверьте, не добавились ли новые 301 редиректы. В новой установке Вордпресс файл должен выглядеть так:

7. Редиректы: Вредоносные редиректы с главной или другой / других страниц сайта. Вредоносный код мог быть добавлен в файл wp-config.php:

define(‘WP_HOME’, ‘сторонний URL);

define(‘WP_SITEURL’, ‘сторонний URL’);

8. Странные таблицы в базе данных: Хакеры могут получить доступ к базе данных и создать новую таблицу с вредоносным кодом, которая может быть похожа на стандартную таблицу Вордпресс. Например, создать новую таблицу wp_pagemeta, которая маскируется под стандартную таблицу wp_postmeta.

Еще одна вещь, которую вы можете — проверить сайт на уязвимости с помощью бесплатного плагина Security Ninja.

Решение проблем со взломанным сайтом

Если сайт взломали, читайте в этом разделе об очистке от вредоносного кода и возвращении сайта в рабочее состояние.

Предотвратить заражение проще, чем лечение, поэтому применяйте эти рекомендации, чтобы не пришлось лечить сайт.

Хотя этой информации может показаться много, это стандартная базовая безопасность Вордпресс.

Если эта статья несколько сложна для вас, попробуйте начать с этого:

Если вы хотите применить эти настройки автоматически с помощью плагинов, настроить еще несколько линий защиты и наблюдать за состоянием безопасности сайта в админке Вордпресс, приглашаю вас на Курс

Если ваш сайт взломали — не паникуйте.

В этой статье вы узнаете 2 способа вылечить сайт от вредоносного кода, бэкдоров и спама вручную, и 1 способ с помощью плагина.

В первом способе вы Экспортируете базу данных и несколько файлов. После этого вы переустановите Вордпресс, Импортируете базу данных обратно и импортируете несколько настроек из сохраненных файлов.

Во втором способе вы удалите часть файлов и попробуете найти внедренный код при помощи команд в SSH терминале.

В третьем способе вы установите плагин.

Что делать, чтобы сайт не заразился снова?

Убедитесь, что сайт взломан

Если вы думаете, что сайт взломан, убедитесь, что это действительно так. Иногда сайт может вести себя странно или вы можете думать, что сайт взломали.

Сделайте бэкап

После того, как вы убедились, что сайт взломан, сделайте бэкап всего сайта с помощью плагина, бэкап приложения на хостинге или по FTP.

Некоторые хостинг провайдеры могут удалить сайт, если вы скажете им, что сайт взломан, или если хостинг провайдер сам определит это. Владельцы хостинга могут удалить сайт, чтобы не заразились другие сайты.

Также сделайте бэкап базы данных. Если что-то пойдет не так, вы всегда можете вернуться ко взломанной версии сайта, и начать все сначала.

Если ваши логи событий хранятся не в папке сайта, то скопируйте логи, так как обычно они хранятся на хостинге несколько дней, после чего автоматически удаляются.

Что можно безопасно удалить с любого взломанного сайта

Если у вас есть SSH доступ к серверу, вы можете использовать эти команды, чтобы проверить, какие файлы изменялись за последние X дней. Этот запрос покажет все измененные файлы в запрошенном интервале времени во всех папках и подпапках сайта (чтобы узнать, какие это папки, наберите pwd в SSH терминале):

find . -mtime -2 -ls

Если вы хотите найти измененные файлы в определенной папке, используйте этот запрос:

find /путь/к/вашему/сайту/папка/ -mtime -2 -ls

Замените /путь/к/вашему/сайту/папка/ на путь к вашей папке.

Если вы хотите изменить интервал до 10 дней, сделайте такой запрос:

find /путь/к/вашему/сайту/папка/ -mtime -10 -ls

Не забудьте заменить /путь/к/вашему/сайту/папка/ на путь к нужной папке.

Сделайте такой поиск, начните с 2-х дней и постепенно увеличивайте количество дней, пока не увидите изменения в файлах. Не забывайте, что обновления ПО — тоже изменения в файлах. После того, как вы нашли зараженный файл, его можно вылечить или заменить на оригинальный. Это очень простой и эффективный способ найти зараженные файлы, который используется всеми сервисами по лечению сайтов.

Еще одна полезная команда в SSH — «grep». Чтобы найти файл, который содержит какое-нибудь сочетание, например, «base64», которое часто используется хакерами, используйте эту команду:

grep -ril base64 *

Эта команда покажет список файлов, в которых встречается сочетание base64. Вы можете убрать «l» из запроса, чтобы увидеть содержание файлов, в которых встречается это сочетание.

grep -ri base64 *

Хакеры часто используют эти функции:

Эти функции могут использоваться и в оригинальных файлах тем или плагинов, но в большинстве случаев это хак. Перед тем, как что-нибудь удалить, убедитесь, что вы не удаляете здоровый код или файл.

Более аккуратный запрос может быть таким:

grep —include=*.php -rn . -e «base64_decode»

Результат этого запроса показывает номера строк, в которых содержится сочетание «base64_decode», в тех файлах, которые заканчиваются на .php.

Попробуйте использовать команду grep в комбинации с командой find. Вам нужно найти файлы, которые были недавно изменены, выяснить, что было изменено, и если вы нашли какое-то повторяющееся сочетание, например, «base64_decode» или «hacker was here», с помощью команды grep попробуйте найти это сочетание в других файлах:

grep -irl «hacker was here» *

Эта команда покажет все файлы, в которых встречается фраза hacker was here.

Хакеры часто внедряют код в папку /uploads. Этот код поможет вам найти все файлы в папке uploads, которые не являются изображениями. Результат сохраняется в файле “uploads-not-pictures.log” в текущей папке.

Используйте запросы find и grep, они помогут вам очистить сайт от заразы.

Как найти вредоносный код и вылечить сайт с помощью плагина. Способ 3

Зайдите в Scan Settings, Зарегистрируйтесь в правом окне Updates & Registrations и нажмите Run Complete Scan.

Что делать с зараженными файлами

В зависимости от того, что вы нашли, вы можете удалить файл целиком или только ту часть, которую добавил хакер.

Посетители сайта получают предупреждения от файрволов и антивирусов. Что делать?

Аналогично со списком зараженных сайтов Гугл, нужно удалить сайт из списков всех антивирусов: Касперского, ESET32, Avira и так далее.

Зайдите на сайт каждого производителя и найдите инструкции по удалению своего сайта из списка опасных сайтов. Обычно это называется whitelisting.

Наберите в поисковике eset whitelist website, avira site removal, mcafee false positive, это поможет вам найти нужную страницу на этих сайтах, чтобы исключить свой сайт из списка сайтов, содержащих вредоносное ПО.

Как узнать, что мой сайт находится в списке опасных сайтов, содержащих вредоносное ПО?

Вне всяких сомнений на сегодняшний день WordPress является самой популярной системой управления контентом (Content Management System, CMS).

Вне всяких сомнений на сегодняшний день WordPress является самой популярной системой управления контентом (Content Management System, CMS). Согласно исследованию W3 Techs, доля WordPress составляет 58,2% от веб-сайтов, чьи системы управления контентом нам известны или 18,6% от всех веб-сайтов. Как и все самые современные и популярные кмски стандартная сборка WordPress достаточно защищена и безопасна. Однако для расширения функционала владельцы сайтов на WordPress часто устанавливают множество дополнительных плагинов. На начало июля 2013 года официальный репозитарий WordPress.org насчитывал 25700 плагинов, которые были загружены более 475 миллиона раз. И это не считая тех плагинов, которые не входят в официальный репозитарий WordPress. В основном именно сторонние расширения делают веб-сайт уязвимым и используются злоумышленниками при реализации атак на WordPress. Многие из установленных плагинов не обновляются, и даже те из них, которые не активированы через WordPress Dashboard, предоставляют прекрасные возможности для осуществления атак. Кроме того, на хостингах, разделенных на несколько пользователей, или в консолидированных корпоративных дата центрах, ваш экземпляр WordPress скорее всего не единственное веб-приложение, находящееся на сервере.

В целях экономии времени я не буду переливать из пустого в порожнее и рассказывать вам о том, как опасны XSS-атаки. На данный момент все еще существует некоторая путаница вокруг XSS и его роли во время проникновения во внутреннюю сеть, а также способов осуществления подобных атак и многократного использования XSS. Все дело в том, что атакующий не может использовать XSS-брешь для того, чтобы проникнуть напрямую на сервер. Вместо этого, комбинируя уязвимости и используя социальную инженерию, при помощи XSS можно довольно легко скомпрометировать систему. В этом руководстве я покажу, как взломать WordPress при помощи XSS, а затем получить полный доступ к системе.

Приступаем к взлому WordPress

Раз эта статья опубликована The Ethical Hacker Network, основное внимание будет уделено механизму атаки с целью последующей разработки способов по защите от подобных вторжений. Вне зависимости от того реализуется ли настоящая атака или производится легитимный пентест, первым шагом будет исследование окружающей обстановки. Если предположить, что злоумышленник уже нацелился атаковать вашу организацию или, если речь идет о легитимном пентесте, нанята команда специалистов по безопасности, их первым шагом должно быть обнаружение установленной системы WordPress. Вы можете попробовать получить доступ к корневым папкам WordPress, включив их в URI-путь того хоста, который вы тестируете:

Вдобавок к этому, файл «robots.txt» также может содержать всю необходимую информацию. На Рисунке 1 показаны директории, которые были явно защищены от индексации поисковой системой, что говорит о присутствии на сервере системы WordPress. Из рисунка мы также можем определить местонахождения системы.

Рисунок 1 – Содержимое файла Robots.txt

В некоторых случаях WordPress установлен в поддиректориях. Поисковая система Google прекрасно индексирует скрытые файлы и директории. Перед началом брутфорса веб-сервера утилитами наподобие DirBuster, которые ищут скрытые файлы и директории, обратитесь к поисковой системе Google. Возможно, эта работа уже сделана для вас.

Рисунок 2 – Результат поискового запроса

Тестируем первоначальные находки

Для того, чтобы сымитировать рабочий веб-сайт, упомянутый выше, внутри лабораторной среды был установлен WordPress и плагины. Плагин под названием «Plupload» позволяет загружать файлы на веб-сервер. При клике на ссылку, показанную на Рисунке 3, отображается пустая страница Shockwave Flash:

Рисунок 3 – URL плагина «Plupload»

При клике в любом месте пустого пространства страницы, сгенерированной плагином, появится стандартное окно обзора файлов, где мы можем выбрать файл для загрузки на сервер. В большинстве случаев, директория, куда загружаются файлы, находится вне корневой папки веб-сервера и, как правило, не доступна. Тем не менее, не лишним будет проверить ее присутствие.

Давайте рассмотрим внимательнее URI-строку «plupload/plupload.flash.swf?id=». Этот URL – прекрасное место для тестирования XSS-инъекций. Строка, показанная на Рисунке 4, подтверждает наши догадки:

Рисунок 4 – Первоначальная XSS-инъекция

После совершения инъекции браузер отражает строку в виде окна с сообщением, показанного на Рисунке 5:

Рисунок 5 – Результаты работы XSS-инъекции

Обходные маневры

Продолжаем наши исследования. Из предыдущего примера понятно, что XSS-инъекция работает и окно с сообщением можно успешно вывести внутри браузера при помощи JavaScript. Однако отображение простого окна не столь интересно, и требуется инжект более интересного HTML-кода. Так как же мы можем использовать эту брешь на более продвинутом уровне?

Альтернативный метод инжектирования HTML-кода – его кодирование при помощи JavaScript-функции «CharCodeAt()». Наглядный пример того, как это работает, можно увидеть на странице «Uncle Jim’s Javascript Utilities». Эта функция позволяет кодировать HTML-теги для обхода фильтрации WAF. Затем JavaScript отражается обратно в браузер и при помощи функции «FromCharCode()» происходит декодирование в обычный HTML. На основе XSS-строки из предыдущего примера создадим обновленный вариант, где ключевое слово «alert» заменяется на «document.write», как показано на Рисунке 6:

Рисунок 6 – часть новой XSS-строки

Затем добавьте «(String.fromCharCode», как показано на Рисунке 7:

Рисунок 7 – часть новой XSS-строки

Используйте функцию «charCodeAt()» для кодирования HTML-кода, показанного на Рисунке 8:

Рисунок 8 – HTML-код

Закодированный HTML-код будет выглядеть, как показано на Рисунке 9:

Рисунок 9 – закодированный HTML-код

Теперь собираем итоговый URL для инжекта и посылаем его на веб-сервер. На Рисунке 10 показан готовый URL:

Рисунок 10 – готовый URL для осуществления XSS-инжекта

В результате инжекта в браузере вновь появляется сообщение с надписью «XSS», как показано на Рисунке 11:

Рисунок 11 – сообщение с надписью «XSS», которое выводится после XSS-инжекта

Еще одно окно с сообщением? Да. Единственное, что о чем я не упомянул, — используя JavaScript-функцию «document.write» мы полностью устранились от Shockwave Flash файла «plupload.flash.swf» и, по сути, создали новую страницу. Кроме того, используя функцию кодирования HTML-кода и его отражения на пустую страницу, мы обошли WAF.

Развиваем идею

Настало время поднять локальную инсталляцию Browser Exploitation Framework (BeEF), как показано на Рисунке 12.

Рисунок 12 – BeEF

При добавлении в текущий URL для XSS-инъекции тега «iFrame» создается ссылка на локальный экземпляр BeEF. Теперь мы можем собрать новый HTML-код, включающий тег «iFrame», как показано на Рисунке 13:

Рисунок 13 – HTML-код

И вновь используем функцию «charCodeAt()» для кодирования HTML-кода, как показано на Рисунке 14:

Рисунок 14 – закодированный HTML-код

Теперь собираем новый URL для осуществления XSS-инъекции. Итоговая строка показана на Рисунке 15:

Рисунок 15 – итоговый URL для осуществления XSS-инъекции

Теперь в браузере отобразится новая веб-страница, которая содержит BeEF «iFrame», указывающий на локальный запущенный экземпляр BeEF. Сейчас браузер уязвим к различным эксплоитам, которые содержит управляющая панель BeEF (см. Рисунок 16).

Рисунок 16 – BeEF «iFrame»

Последующие шаги по адаптации нашего кода уже зависят от тех целей, которых мы хотим достичь. К примеру, созданный нами URL можно использовать при целевом фишинге. Ссылку можно подвергнуть обфускации или отослать так, как есть. Обфускация ссылки повышает шансы на то, что по ней кликнет жертва. Однако есть и побочный эффект: правильно сконфигурированные спам-фильтры могут заблокировать письма, которые содержат обфусцированные ссылки.

Помните, подобные атаки реализуются на стороне жертвы. Успеху подобных атак способствует использование социальной инженерии, которая наилучшим образом работает через электронную почту.

Получение shell-доступа

Хотя браузер, подцепленный BeEF, может дать выборочный контроль злоумышленнику над системой жертвы, и мы могли убедиться в эффективности этого инструмента, однако получение shell-доступа при помощи BeEF может быть проблематичным. Для решения этой задачи больше подходит Metasploit Framework.

Внутри консоли Metasploit будет создан listener. Также будет использоваться эксплоит «java_jre17_jmxbean_2» и reverse TCP Meterpreter payload для ОС Windows, как показано на Рисунке 17. И listener и реверсивный обработчик (reverse handler) будут использовать порты 8080 и 4444 соответственно.

Рисунок 17 – настройка MSF для использования эксплоита «java_jre17_jmxbean_2»

Listener настраивается так, как показано на Рисунке 18.

Рисунок 18 – настройка listener

Listener и реверсивный обработчик стартуют, как показано на Рисунке 19. Обратите внимание, строки URL и URI автоматически создаются listener’ом. Эти данные будут использоваться при рефакторинге HTML-кода, содержащего URL для осуществления XSS-инъекции.

Рисунок 19 – старт MSF Listener и реверсивного обработчика

Обновленный HTML-код, где в качестве источника у «iFrame» указана ссылка на Metasploit listener, показан на Рисунке 20:

Рисунок 20 – HTML-код

И вновь используем функцию «charCodeAt()» для кодирования HTML (Рисунок 21):

Рисунок 21 – Закодированный HTML

Теперь собираем итоговый URL для осуществления XSS-инъекции (Рисунок 22):

Рисунок 22 – итоговый URL для осуществления XSS-инъекции

Для еще большей маскировки кодируется и сам URL (Рисунок 23).

Рисунок 23 – закодированный URL

Теперь мы создаем целевое сообщение, содержащее закодированный URL, и отсылаем его жертве. Пользователь, который видит ссылку на знакомый ему сайт, часто думает, что она безопасна. X SS-строка инжектируется в приложение и отражается обратно в браузер, затем декодируется, после чего создается новая страница. Далее при помощи «iFrame» происходит запрос к Metasploit listener (Рисунок 24), на компьютере жертвы выполняется полезная нагрузка, а затем открывается сессия Meterpreter.

Рисунок 24 – успешная реализация атаки

После успешной атаки злоумышленник получает shell-доступ к рабочей стации жертвы, как показано на Рисунке 25.

Рисунок 25 – доступ к командной оболочке

После создания сессии Meterpreter с компьютера жертвы был снят скриншот рабочего стола (Рисунок 26).

Рисунок 26 – Скриншот рабочего стола

Уроки на будущее

В это статье было не только продемонстрировано, что возможен взлом WordPress через сторонние плагины при помощи XSS, но и техники, которые помогают обойти распространенные средства для безопасности в сети. В конце концов, все это переросло в получение полного доступа к компьютеру жертвы. Какие же мы можем извлечь уроки?

Если взглянуть на ситуацию с корпоративной точки зрения, можно усвоить несколько уроков:

Если посмотреть на ситуацию с точки зрения отдельного пользователя, следует сделать те же самые выводы лишь за тем исключением, что масштабы могут быть не такими большими, как в случае с корпорацией. В любом случае помните о том, что если не предпринять мер предосторожности, ваше увлечение никогда станет работой вашей мечты, а малый бизнес никогда не станет большим.

Оговорка: все примеры, представленные выше, были найдены в реальных условиях. Дальнейшее тестирование проводилось в лабораторной среде. Целью атаки был плагин «Plupload» системы WordPress. Эксплуатируемая уязвимость была найдена OSVDB (ID 89576) и Secunia (ID 51967). Осуществление этой атаки на системы, к которым у вас нет доступа, строго запрещено законом и не является целью данной статьи.

WordPress — одна из самых популярных CMS, давно выросшая из обычного блогового движка в конструктор, позволяющий создать веб-ресурс практически любого назначения. На нем работают интернет-магазины, форумы, каталоги, веб-хостинги, сайты поддержки пользователей и многое другое. В то же время популярность имеет и обратную сторону: сайт на WP атакуют постоянно, и если тебя еще не взломали, то только потому, что просто еще не нашли среди миллионов других подобных ресурсов.

Тревожный сигнал

Несмотря на то что WordPress развивается уже достаточно давно и код все время анализируется, уязвимости в движке находят постоянно, и можно предположить, что продолжат находить и в будущем. Нужно отдать должное разработчикам: они оперативно реагируют на все сообщения и устраняют проблемы, а простота обновления позволяет администраторам легко обезопасить свой ресурс. Хотя анализ показывает, что далеко не все спешат обновляться. Но вот основные проблемы безопасности WP не в самом движке. Сегодня доступно большое количество тем и плагинов, которые пишутся программистами разного уровня и нередко содержат уязвимости. Некоторые темы и плагины распространяются через сомнительные сайты и уже изначально могут содержать бэкдоры. Добавим сюда некорректные настройки сайта, неверные права и использование учетных записей по умолчанию, позволяющие атакующему спокойно подбирать пароли, — и без дополнительных мер защиты сайт на WP обречен.

Первый сигнал поступил от MySQL. V DS, до этого не сильно нагруженный, перестал тянуть. В результате сервер баз данных просто отвалился, а вместе с ним и прекратили отвечать сайты. При этом количество посетителей на счетчике вписывалось в стандартную посещаемость. Перезапуск восстановил работу, но нагрузка, показанная htop, была очень высокой.

Следующий сигнал поступил от поисковых систем. Причем сообщения и, очевидно, алгоритмы работы у Яндекса и Google отличаются и по-разному полезны. Яндекс сообщил, что на сайте обнаружен вредоносный контент, в панели веб-мастера сайт был помечен соответствующим значком, указан предполагаемый тип (троян JS), и в поиске выводилась информация о том, что ресурс может навредить. Сразу скажу, что код, который раздражал Яндекс, был найден в файле заголовков почти всех тем в файле header.php, и после того, как он был убран, все сайты в течение одного-трех дней были признаны чистыми. Хотя в это время битва еще продолжалась.

Google прислал сообщение спустя шесть часов после Яндекса, но отметил, что на сайте обнаружен «взломанный контент», в панели можно было просмотреть список подозрительных файлов (на момент получения письма большинство было найдено и удалено). Информация сама по себе интересна, так как в ней указаны новые файлы, оставленные хакером, на которые нет прямых ссылок на сайте. Такие файлы, скорее всего, однозначно нужно будет удалять. Гугл в сообщении предлагает ссылку на «Инструмент для восстановления взломанных сайтов», позволяющий просмотреть, как выглядит сайт, и рекомендации. После удаления файлов необходимо вручную отправить на перепроверку те сайты, у которых при использовании site: в строке поиска показывает «Возможно, этот сайт был взломан». Позже Гугл убрал отметку об опасности части сайтов и начал выдавать сообщение о том, что на сайтах появилось большое количество ошибок. Проблема 404 возникла либо из-за некорректно внедренного кода, когда часть URL не работала, либо из-за того, что код ссылался на вредоносный файл, который уже был найден и удален.

Забегая вперед, скажу о результате. Атака шла с нескольких IP и массированно началась за три дня до взлома. Обнаружилось большое количество лишних файлов с расширением php, которые были разбросаны по всем каталогам, плюс каталог gopni3d с кучей HTML-файлов внутри. Здесь и шелл, и бэкдор-загрузчик, и дорвей, и рассыльщик спама. Внедрен PHP- и JS-код в тему header.php и некоторые файлы WP, включая wp-config.php. Изменен файл .htaccess. В WP появились две дополнительные учетные записи с правами администратора. Каталог SMTP-сервера /var/spool/exim4/input был завален большим количеством спам-писем.

Теперь разберем, как это все найти, потратив минимальные усилия и имея минимум знаний. Дальнейшие шаги понятны: найти чужой код, понять действия хакера, устранить уязвимости или снизить их количество, затруднить дальнейшие атаки. Все это нужно будет делать быстро и параллельно.

Код, оставленный хакером

Первые шаги

Первые данные от внешних сервисов уже есть. Гугл выдал подсказку, просто ищем файлы, проверяем, действительно ли они вредоносны, и удаляем. Для последующего поиска сохраняем небольшой специфический текст, который будем использовать в качестве сигнатуры. Анализ самого кода позволит получить IP, URL и другие специфические параметры, их будем искать в логах и блокировать с помощью файрвола.

В Сети доступно множество ресурсов, проверяющих, безопасны ли сайты. Не все они полезны. Некоторые, например, просто получают данные о вредоносности от API Яндекса и Гугла. Услугу проверки URL предлагают и производители антивирусов. Например, сканер от Dr. Web проверяет страницы и анализирует, есть ли редирект на другие сайты. К сожалению, кроме того, что сайт заражен, и типа вируса, больше никакой полезной информации он не дал. Ресурс 2ip.ru показал, что на сайте обнаружены iframe-вставки. К сожалению, для повторной проверки он бесполезен, так как, очевидно, запоминает результат и сообщает, что сайт заражен, когда все остальные уже считают его безопасным.

Полученную на SiteGuarding.com информацию о коде малвари скармливаем grep. Принцип простой: берем некий уникальный кусок (например, там указан URL сайта, на который идет редирект, или имя файла) и пробуем найти этот текст в остальных файлах веб-сайта.

$ grep -iR example.org /var/www/

$ chmod +x virusdel.sh
$ ./virusdel.sh

Найденное имя файла сразу проверяем на остальных подкаталогах и сайтах при помощи find.

$ find /var/www/ -name confg.php

Каталог /var/spool/exim4/input был буквально забит спам-сообщениями. Количество сообщений в очереди, выведенное exim -bpc, достигало нескольких тысяч. Вывод ps aux показывал процесс sendmail, пытавшийся отправить письмо от неизвестного пользователя с доменом сайта. Чтобы не рассылать спам, SMTP-сервер лучше пока остановить. При попытке очистить командой rm -rf /var/spool/exim/input/* bash вываливался с ошибкой из-за большого количества файлов. Можно использовать маску и удалять файлы по частям, но в случае с exim проще ввести

Далее следует пересмотреть права доступа — ужесточить их по максимуму. Это позволит остановить атаку, не дав хакеру продолжать модифицировать файлы. Потом можно будет вернуть нормальные права.

$ sudo chmod 400 wp-config.php

Для быстрой смены можно использовать find. Например, установим для всех файлов 644:

Плагин Look-See Security Scanner верифицирует основные файлы WP, показывая отличия, проверяет конфигурацию, ищет спрятанные скрипты в основных каталогах, показывает информацию об известных уязвимостях в плагинах и темах. На самом деле подобных плагинов много, можно найти и другие, более удобные. Но увлекаться тоже не стоит: каждый лишний плагин — это еще одна потенциальная лазейка.

Оцените статью
NaWordpress.ru
Добавить комментарий