Thực đơn
trang chủMicrosoft

Cách loại bỏ mã độc được tìm thấy bằng tay. Mã độc hại WordPress: Làm thế nào để thoát khỏi các mối đe dọa không mong muốn? Cài đặt phần mềm diệt virus AI-Bolit

Định kỳ kiểm tra tính khả dụng của trang web virus có hại cần thiết, đây là lời răn đầu tiên của bất kỳ quản trị viên web có lòng tự trọng nào. Ngay cả khi bạn sử dụng một chủ đề Twenty Eleven sạch sẽ, thực tế không phải là theo thời gian nó cũng không bị lây nhiễm. Hiện tượng này có thể xảy ra (và thường xảy ra nhất) do thực tế là Công cụ WordPress ban đầu dự định cho các ấn phẩm trực tuyến. Vì vậy, sẽ không bao giờ đau lòng khi kiểm tra lại và tạo một bản sao của trang web và cơ sở dữ liệu.

Ví dụ, tôi (tất nhiên là sau một thời gian) đã đưa ra một kết luận cho bản thân mình - bạn chỉ cần một nhà cung cấp dịch vụ lưu trữ tốt và các vấn đề về sao lưu của bạn sẽ tự biến mất. Bây giờ tôi không cần sao lưu cơ sở dữ liệu hoặc trang web - nhà cung cấp dịch vụ lưu trữ sẽ thực hiện mọi việc cho tôi và chế độ tự động. Bất cứ lúc nào, nếu muốn, bạn có thể yêu cầu bản sao của bất kỳ phần nào trong blog của mình (và không chỉ), tải xuống bản sao này hoặc khôi phục blog trực tiếp từ bảng điều khiển. Tức là tôi không cần tải xuống bản sao lưu, mọi thứ diễn ra tự động - sao lưu, khôi phục, v.v. Điều này thuận tiện vì tôi có thể theo dõi, không chỉ hàng ngày mà hàng giờ, khi vi-rút xuất hiện trên blog của tôi và theo đó, thực hiện các biện pháp để loại bỏ nó.

Tôi sẽ bắt đầu với tin tốt - ít nhất hai plugin mà tôi đã sử dụng cho kết quả tốt trong việc phát hiện và bản địa hóa mã độc. Đây là các plugin AntiVirus và Exploit Scanner. Bạn sẽ không thể tin được có bao nhiêu mã độc hại trên blog của mình! Nhưng đừng coi tất cả thông tin kết quả sau khi kiểm tra là giáo điều - nhiều dòng mà các plugin này phát hiện không thực sự có ý nghĩa gì xấu. Plugin chỉ hỏi một số dòng, thế thôi. Để đảm bảo điều này, hãy kiểm tra thủ công những đoạn mà plugin đã xác định là độc hại. Vì vậy, khi kiểm tra bằng plugin AntiVirus, hóa ra ngay cả một lệnh gọi đơn giản tới hàm get_cache_file () cũng đã bị plugin coi là đáng ngờ. Vì vậy mọi kết quả kiểm tra sẽ phải được theo dõi thủ công. Nhưng ví dụ, đây là một liên kết thực sự bị nhiễm virus và nó cần phải được loại bỏ:

Làm thế nào để bạn biết đó có phải là vi-rút hay không hay nó phải như thế nào? Mọi thứ rất đơn giản - so sánh mẫu sạch của bạn (nếu bạn có) và so sánh nó (từng tệp) với mẫu đã được cài đặt và đã trải qua một số thay đổi. Không cần thiết phải so sánh theo nghĩa đen, chỉ cần search xem cái của bạn có mẫu sạch dòng mà plugin đã đánh dấu. Nếu có, hãy nhấp vào nút “Đây không phải là vi-rút” và dòng này sẽ không được tính đến trong lần quét tiếp theo.

Và đây là ví dụ về plugin thứ hai mà chúng tôi đã thử nghiệm - Exploit Scanner

Như bạn có thể thấy, mọi thứ ở đây bị bỏ quên nhiều hơn. Đối với tôi, kết quả này thật sốc. Nhưng đó không phải là tất cả. Plugin có chức năng gọi là kiểm tra. Vì vậy, nếu bạn bật nó lên, hóa ra blog sẽ chỉ bao gồm văn bản và nhiều nhất là một vài bảng CSS. Vì vậy, đối với tôi, có vẻ như tác giả của plugin rõ ràng đã quá lạm dụng tính bảo mật ở đây. Thật tốt khi plugin chỉ hiển thị các đoạn bị nghi ngờ bị nhiễm và không xóa chúng.

Sau khi phân tích tất cả các lựa chọn màu vàng dòng, bạn có thể dễ dàng phát hiện phần mềm độc hại ( mã độc), à, hãy tự quyết định xem phải làm gì với nó tiếp theo. Phương pháp dọn dẹp vẫn giống nhau - so sánh mã đã chọn với bản sao lưu trang web (xem) và nếu bạn thấy có sự khác biệt, hãy tìm hiểu xem bạn đã tự làm hay ai đó đã làm điều đó cho bạn, điều đó có nghĩa là điều này không còn tốt nữa và có thể trở thành virus. Ngay cả các nhà phát triển WordPress cũng khuyên bạn nên kiểm tra trang web của mình để tìm mã độc bằng plugin này. Nhưng có như vậy chèn vô hại, chẳng hạn như vào nội dung của iframe mà plugin cũng có thể xác định là mã bị nhiễm. Nhưng trên thực tế, nếu không có những dòng này thì khu vực này trên blog của bạn sẽ không hoạt động chính xác.

Làm thế nào phần mềm độc hại thậm chí có thể xâm nhập vào các tệp blog và theo định nghĩa nó là gì? Từ phần mềm độc hại có nghĩa đen là - độc hại phần mềm , từ phần mềm độc hại tiếng Anh. Đây là bất kỳ phần mềm nào có thể được sử dụng để truy cập trái phép vào trang web và nội dung của nó. Bạn có thể tưởng tượng rằng đối với một hacker bình thường, việc hack một trang web sẽ không khó, đặc biệt là sau khi đăng ký. Sau đó, bạn có thể sửa đổi nội dung blog theo ý muốn - nó sẽ mang tính giáo dục.

Phần mềm độc hại độc hại cũng có thể được chèn vào các plugin mà bạn cài đặt từ đó nguồn không rõ và trong các tập lệnh mà đôi khi bạn cũng sử dụng mà không kiểm tra mà tin tưởng vào tác giả. Phần mềm độc hại vô hại nhất là liên kết đến tác giả của bất kỳ mô-đun nào bạn đã cài đặt trên trang web. Và nếu bản thân tác giả không cảnh báo bạn rằng có tồn tại một liên kết như vậy thì đây là một loại virus thuần túy.

Có, tôi đã cài đặt nó trên blog thử nghiệm chủ đề mới, và sau khi xóa một liên kết vô hại đến một loại câu lạc bộ nam giới nào đó ở tầng hầm của trang web, nó đã ngừng mở và dòng chữ xuất hiện trên trang chính - “Bạn không có quyền xóa các liên kết”. Đây nhé chủ đề miễn phí. Bạn có thể đọc về cách loại bỏ các liên kết cánh tả như vậy.

Cơ sở dữ liệu của bạn cũng có thể được sử dụng để chạy mã chứa vi-rút. Liên kết spam cũng rất thường xuyên được thêm vào bài viết hoặc bình luận. Các liên kết như vậy thường được ẩn bằng CSS để quản trị viên thiếu kinh nghiệm không thể nhìn thấy chúng, nhưng hệ thống tìm kiếm phân biệt chúng ngay lập tức. Tất nhiên, ở đây bất kỳ tính năng chống thư rác nào cũng phát huy tác dụng, chẳng hạn như cùng một tính năng chống thư rác đã được cấp phép, kiểm tra và kiểm tra kỹ nhiều lần. Tin tặc có thể tải xuống các tệp có phần mở rộng tệp hình ảnh và thêm chúng vào mã của bạn. plugin được kích hoạt. Do đó, ngay cả khi tệp không có phần mở rộng php, mã trong tệp đó vẫn có thể được thực thi.

Có một công cụ đơn giản khác mà tôi bắt đầu làm quen với phần mềm độc hại - plugin Trình kiểm tra xác thực chủ đề (TAC). Đây là một công cụ nhẹ và khá hiệu quả, nhưng nó chỉ kiểm tra các chủ đề của bạn, ngay cả những chủ đề không hoạt động. Nó không chạm vào phần còn lại của thư mục và đó là nhược điểm của nó. Đây là những gì kiểm tra của tôi chủ đề hiện tại với plugin này:

Hai cảnh báo trong chuỗi hoạt động và không có gì hơn. Không có mã độc. Nhân tiện, đây là những liên kết mà tôi tự chèn vào. Lời khuyên của Google— để cải thiện chất lượng của đoạn trích (hiển thị dữ liệu cá nhân, địa chỉ tổ chức, v.v.). Nhưng đây chỉ là kiểm tra các tệp chủ đề và bạn sẽ phải tìm hiểu những gì đang được thực hiện trong các thư mục khác bằng cách sử dụng các plugin hoặc dịch vụ trực tuyến khác. Ví dụ: một dịch vụ (thực sự đáng tin cậy) như Yandex Webmaster hoặc một dịch vụ tương tự tại Google. Họ có chức năng kiểm tra bất kỳ tài nguyên web nào để tìm sự hiện diện của các phần chứa độc hại và họ thực hiện việc đó một cách hiệu quả. Nhưng nếu điều này vẫn chưa đủ đối với bạn, thì hãy so sánh kết quả với kết quả trên các dịch vụ khác và đưa ra kết luận.

Vì lý do nào đó, tôi muốn tin tưởng Yandex chứ không phải plugin. Một tài nguyên tốt khác là http://2ip.ru/site-virus-scanner/. Sau khi kiểm tra một trong các blog của tôi, đây là những gì tôi tìm thấy:

Tại đây bạn cũng có thể kiểm tra tập tin riêng biệt về sự hiện diện của mã độc nếu bạn có nghi ngờ như vậy. Nhìn chung, dịch vụ không tệ.

Từ tất cả những gì đã nói, tôi sẽ rút ra kết luận sau:

1. Để ngăn chặn sự xuất hiện của mã độc, trước hết bạn phải sử dụng các dịch vụ đã được chứng minh để tải xuống tệp - plugin, chủ đề, v.v.

2. Thường xuyên tạo bản sao lưu mọi thứ chứa trong trang web - cơ sở dữ liệu, nội dung, bảng quản trị, tệp đã tải xuống tập tin của bên thứ ba bao gồm.

3. Tận dụng các bản cập nhật mà WordPress cung cấp. Ít nhất chúng không chứa vi-rút, mặc dù chúng không phải lúc nào cũng hợp lý về mặt chức năng. Nhưng bằng cách cập nhật, bạn sẽ loại bỏ mọi vi-rút có thể hiện diện.

4. Xóa các chủ đề, plugin, hình ảnh và tệp không sử dụng mà không hối tiếc - đây là một lối thoát khác cho phần mềm độc hại mà bạn thậm chí có thể không bao giờ đoán được.

5. Bảo vệ bằng mật khẩu đúng cách các quyền truy cập FTP của bạn, đăng nhập vào PhpAdmin, bảng quản trị và nói chung là ở những nơi không ai ngoài bạn có quyền truy cập.

6. Hãy thử (ngay cả khi mong muốn của bạn lớn như bầu trời) không thay đổi hoặc thay thế các tệp cốt lõi của WordPress - các nhà phát triển biết rõ hơn những gì nên hoạt động và cách thức.

7. Sau khi phát hiện và diệt virus, hãy thay đổi toàn bộ mật khẩu. Tôi nghĩ bạn sẽ rất mong muốn tạo một mật khẩu gồm 148 ký tự ở các thanh ghi khác nhau và có các ký tự đặc biệt. Nhưng đừng quá phấn khích mật khẩu phức tạp, bạn có thể mất nó và sau đó bạn sẽ phải khôi phục lại mọi thứ, điều này không mấy dễ chịu.

Tất nhiên, tất cả các phương pháp và thành phần mà tôi đã mô tả sẽ giúp bạn loại bỏ vi-rút đều miễn phí, gần như tự chế và tất nhiên, chúng không đảm bảo 100% rằng trang web của bạn sẽ được làm sạch khỏi phần mềm độc hại. chèn. Do đó, nếu bạn đang lo lắng về việc dọn dẹp blog của mình, tốt hơn hết bạn nên liên hệ với các chuyên gia, chẳng hạn như dịch vụ Sucuri (http://sucuri.net/). Tại đây trang web của bạn sẽ được theo dõi kỹ lưỡng và đưa ra khuyến nghị thiết thực, sẽ được gửi cho bạn bằng thư và nếu bạn không muốn tự mình dọn dẹp trang web, thì các chuyên gia sẽ phục vụ bạn, những người sẽ làm mọi thứ theo cách tốt nhất có thể trong vòng 4 giờ:

Mỗi quản trị viên web phát hiện ra mã độc trên trang web của mình đều nhận được rất nhiều trải nghiệm không mấy dễ chịu. Chủ sở hữu trang web ngay lập tức hoảng sợ cố gắng tìm và tiêu diệt vi-rút, đồng thời hiểu làm thế nào thứ khó chịu này có thể xâm nhập vào trang web của mình. Nhưng thực tế cho thấy, việc tìm ra mã độc trên một trang web không hề dễ dàng như vậy. Xét cho cùng, virus có thể được đăng ký trong một hoặc nhiều tệp, từ lượng lớn trang web bao gồm, có thể là một công cụ chạy trên WordPress hoặc một trang web thông thường trên html.

Hôm qua, khi kiểm tra email, tôi thấy một email từ Google nói rằng chuyến thăm một số trang nhất định trang web của tôi có thể dẫn đến việc máy tính của người dùng bị nhiễm phần mềm độc hại. Giờ đây, người dùng truy cập các trang này thông qua liên kết trong kết quả tìm kiếm của Google.ru sẽ được hiển thị một trang cảnh báo. Trang web này chưa được thêm vào bảng điều khiển của tôi Quản trị viên web của Google, vì vậy tôi đã được thông báo qua thư. Tôi có thêm một số trang web trong bảng quản trị trang web; khi tôi đến đó, tôi kinh hoàng khi thấy cảnh báo về mã độc trên hai trang web nữa của mình.
Kết quả là mã độc đã xâm nhập vào ba trang web của tôi và tôi phải tìm và tiêu diệt chúng. Một trong những trang web chạy trên WordPress, hai trang còn lại bao gồm các trang PHP thông thường.

Điều đáng chú ý là Google đã phản ứng rất nhiều nhanh hơn Yandex về sự hiện diện của mã độc. Trong bảng quản trị trang web Yandex, cảnh báo về sự hiện diện của vi-rút trên trang web không xuất hiện. May mắn thay, trong vòng vài giờ tôi đã tìm ra được loại virus đáng tiếc này.

Theo quy định, hầu hết các trang web đều bị nhiễm vi-rút iframe được gọi là. Về cơ bản, virus này bao gồm mã... . Virus đánh cắp tất cả mật khẩu từ Tổng chỉ huy hoặc một máy khách ftp khác. Trong trường hợp của tôi, điều tương tự cũng xảy ra; mã iframe được ghi vào hàng tá tệp trên trang web của tôi. Trên trang web chạy trên WordPress, mã độc chỉ tồn tại ở footer.php.

Và như vậy, làm thế nào để tìm ra mã độc nếu bạn phát hiện trang web của mình bị nhiễm virus:

1. Đi tới bảng điều khiển dịch vụ lưu trữ và thay đổi mật khẩu của bạn. Nếu bạn có nhiều trang web thì chúng tôi sẽ thực hiện việc này với tất cả các trang web của mình.

2. Thay đổi và xóa mật khẩu trong ứng dụng khách ftp. Chúng tôi không bao giờ lưu trữ mật khẩu trong ứng dụng khách ftp nữa; chúng tôi luôn nhập mật khẩu theo cách thủ công.

3. Bạn có thể truy cập dịch vụ lưu trữ qua ftp và xem những gì đã thay đổi trong tệp của bạn. Sắp xếp tập tin theo ngày sửa đổi lần cuối. Những tập tin bị nhiễm phải có ngày mới nhất và giống nhau. Mở các tệp này và tìm mã iframe, thường mã này nằm ở cuối. Về cơ bản, mã độc được viết trong các tệp sau: index.php, index.html và các tệp có phần mở rộng .js. Thông thường, sự lây nhiễm này tồn tại giữa các thẻ... .
Đối với các trang web tự viết, hãy xem xét thật kỹ tất cả các tập tin và thư mục chứa tập lệnh, virus thường được ghi ở đó. Ngoài ra, môi trường sống ưa thích của loại vi-rút này là mã truy cập của trang web và mã quảng cáo.

4. Kiểm tra tệp .htaccess để tìm mã đáng ngờ. Đôi khi mã độc xâm nhập vào tập tin này. Thông thường, có một số thư mục trong tệp công cụ có thể chứa tệp .htaccess. Kiểm tra tất cả các tệp này và đảm bảo mã "sạch".

Đối với các tệp WordPress hoặc CMS khác, theo quy luật, bất kỳ CMS nào cũng bao gồm nhiều tệp và thư mục và rất khó tìm thấy mã độc trong đó. Ví dụ: đối với WordPress, tôi có thể đề xuất plugin TAC. Plugin này kiểm tra các tệp trong tất cả các chủ đề trong thư mục chủ đề để tìm mã của bên thứ ba. Nếu TAC tìm thấy mã không mong muốn, nó sẽ hiển thị đường dẫn đến tệp này. Vì vậy, có thể tính toán virus mặt nạ.
Tải plugin TAC: wordpress.org

Nói chung, bạn phải liên tục ghi nhớ tất cả các hành động bạn đã thực hiện với tệp trang web của mình. Hãy nhớ những gì đã được thay đổi hoặc thêm vào mã này hoặc mã đó.

Khi bạn tìm thấy và xóa mã độc hại, việc kiểm tra máy tính của bạn để tìm vi-rút sẽ không có hại gì.
Và nếu trang web của bạn bị Google hoặc Yandx đánh dấu là bị nhiễm virus thì bạn cần gửi yêu cầu kiểm tra lại thông qua bảng quản trị trang web. Theo quy định, các công cụ tìm kiếm sẽ xóa tất cả các hạn chế khỏi trang web của bạn trong vòng 24 giờ. Google không mất nhiều thời gian để xử lý yêu cầu xác minh lại của tôi và sau vài giờ, tất cả các hạn chế đã được xóa khỏi trang web của tôi.


Sự thật của cuộc sống là trang web này sớm hay muộn đều có thể bị hack. Sau khi khai thác thành công lỗ hổng, hacker cố gắng giành chỗ đứng trên trang web bằng cách đăng bài thư mục hệ thống hack web shell, trình tải xuống và đưa các cửa hậu vào mã tập lệnh và cơ sở dữ liệu CMS.

Để phát hiện mã độc trong các tệp và cơ sở dữ liệu, có các giải pháp chuyên dụng - phần mềm chống vi-rút và máy quét để lưu trữ. Không có nhiều trong số chúng; những cái phổ biến là AI-BOLIT, MalDet (Trình phát hiện phần mềm độc hại Linux) và ClamAv.

Máy quét giúp phát hiện các web shell, backdoor, trang lừa đảo, người gửi email spam và các loại tập lệnh độc hại khác đã được tải - tất cả những gì chúng biết và được thêm trước vào cơ sở dữ liệu chữ ký mã độc. Một số máy quét, chẳng hạn như AI-BOLIT, có một bộ quy tắc phỏng đoán có thể phát hiện các tệp có mã đáng ngờ thường được sử dụng trong các tập lệnh độc hại hoặc các tệp có thuộc tính đáng ngờ có thể bị tin tặc tải xuống. Tuy nhiên, thật không may, ngay cả khi một số máy quét được sử dụng trên máy chủ lưu trữ, vẫn có thể xảy ra trường hợp một số tập lệnh của hacker vẫn không bị phát hiện, điều này thực sự có nghĩa là kẻ tấn công có “cửa sau” và có thể hack trang web và giành quyền kiểm soát nó toàn quyền kiểm soát Bất cứ lúc nào.

Các tập lệnh hacker và phần mềm độc hại hiện đại đã khác biệt đáng kể so với 4-5 năm trước. Hiện tại, các nhà phát triển mã độc kết hợp kỹ thuật làm rối mã nguồn, mã hóa, phân tách, tải mã độc từ bên ngoài và các thủ thuật khác để đánh lừa phần mềm chống vi-rút. Vì vậy, khả năng thiếu sót phần mềm độc hại mới cao hơn trước rất nhiều.

Có thể làm gì trong trong trường hợp nàyđể phát hiện virus trên trang web và các tập lệnh hacker trên máy chủ hiệu quả hơn? Cần thiết để sử dụng Một cách tiếp cận phức tạp: quét tự động ban đầu và phân tích thủ công thêm. Bài viết này sẽ thảo luận về các tùy chọn phát hiện mã độc mà không cần máy quét.

Trước tiên, hãy xem chính xác những gì bạn nên tìm kiếm trong quá trình hack.

  • Kịch bản của hacker.
    Thông thường, khi hack, các tệp được tải xuống là web shell, backdoor, "người tải lên", tập lệnh gửi thư rác, trang lừa đảo + trình xử lý biểu mẫu, cửa ra vào và tệp đánh dấu hack (hình ảnh từ logo của nhóm hacker, tập tin văn bản với một “tin nhắn” từ tin tặc, v.v.)
  • Việc tiêm (chèn mã) vào các tệp .
    Loại lưu trữ mã độc và hacker phổ biến thứ hai là tiêm. TRONG tập tin hiện có website.htaccess có thể đưa các chuyển hướng tìm kiếm và di động, đưa các cửa hậu vào các tập lệnh php/Perl và nhúng các đoạn javascript lan truyền hoặc chuyển hướng đến tài nguyên của bên thứ ba vào các mẫu .js và .html. Việc tiêm cũng có thể được thực hiện trong các tệp phương tiện, ví dụ.jpg hoặc . Thông thường mã độc bao gồm một số thành phần: bản thân mã độc được lưu trữ trong tiêu đề Exif tập tin jpg, nhưng được thực thi bằng cách sử dụng một tập lệnh điều khiển nhỏ, mã của tập lệnh này trông không đáng ngờ đối với máy quét.
  • Tiêm cơ sở dữ liệu.
    Cơ sở dữ liệu là mục tiêu thứ ba của tin tặc. Ở đây, có thể chèn tĩnh, , , , để chuyển hướng khách truy cập đến tài nguyên của bên thứ ba, “theo dõi” chúng hoặc lây nhiễm vào máy tính/thiết bị di động của khách truy cập do một cuộc tấn công theo từng ổ đĩa.
    Ngoài ra, trong nhiều công cụ tạo mẫu CMS (IPB, vBulletin, modx, v.v.) hiện đại cho phép bạn thực thi mã php và bản thân các mẫu được lưu trữ trong cơ sở dữ liệu, do đó mã PHP của web shell và backdoor có thể được tích hợp trực tiếp vào cơ sở dữ liệu.
  • Tiêm vào dịch vụ bộ nhớ đệm.
    Do cấu hình không chính xác hoặc không an toàn của các dịch vụ bộ đệm, chẳng hạn như memcached, nên việc tiêm vào dữ liệu được lưu trong bộ nhớ đệm “một cách nhanh chóng” là có thể. Trong một số trường hợp, tin tặc có thể tiêm mã độc vào các trang của trang web mà không cần trực tiếp hack trang web đó.
  • Tiêm/các phần tử bắt đầu vào thành phần hệ thống máy chủ.
    Nếu tin tặc có được quyền truy cập đặc quyền (root) vào máy chủ, hắn có thể thay thế các thành phần của máy chủ web hoặc máy chủ bộ nhớ đệm bằng các thành phần bị nhiễm. Một mặt, máy chủ web như vậy sẽ cung cấp quyền kiểm soát máy chủ bằng cách sử dụng các lệnh điều khiển, mặt khác, đôi khi sẽ đưa các chuyển hướng động và mã độc vào các trang của trang web. Như trong trường hợp tiêm vào dịch vụ bộ đệm, rất có thể quản trị viên trang sẽ không thể phát hiện ra sự thật rằng trang web đã bị tấn công, vì tất cả các tệp và cơ sở dữ liệu sẽ là nguyên bản. Tùy chọn này là khó điều trị nhất.

    • Vì vậy, giả sử rằng bạn đã kiểm tra các tệp trên máy chủ lưu trữ và kết xuất cơ sở dữ liệu bằng máy quét, nhưng chúng không tìm thấy gì và vi-rút vẫn còn trên trang hoặc chuyển hướng di động tiếp tục hoạt động khi mở trang. Làm thế nào để tìm kiếm thêm?

    Tìm kiếm thủ công

    Trên unix, thật khó để tìm thấy cặp lệnh nào có giá trị hơn để tìm tệp và đoạn hơn find/grep.

    tìm thấy . -name ‘*.ph*’ -mtime -7

    sẽ tìm thấy tất cả các tập tin đã được thay đổi trong tuần trước. Đôi khi hacker “xoắn” ngày sửa đổi của script để không phát hiện ra script mới. Sau đó, bạn có thể tìm kiếm các tệp php/phtml có thuộc tính đã thay đổi

    tìm thấy . -name ‘*.ph*’ -сtime -7

    Nếu bạn cần tìm những thay đổi trong một khoảng thời gian nhất định, bạn có thể sử dụng tính năng tìm kiếm tương tự

    tìm thấy . -name ‘*.ph*’ -newermt 2015-01-25 ! -newermt 2015-01-30 -ls

    Để tìm kiếm file thì không thể thiếu grep. Nó có thể tìm kiếm đệ quy thông qua các tệp cho một đoạn được chỉ định

    grep -ril ‘stummann.net/steffen/google-analytics/jquery-1.6.5.min.js’ *

    Khi hack máy chủ, việc phân tích các tệp có cờ guid/suid được đặt là rất hữu ích

    tìm / -perm -4000 -o -perm -2000

    Để xác định tập lệnh nào đang chạy trong khoảnh khắc này và tải CPU lưu trữ, bạn có thể gọi

    lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ‘ ( if(!str) ( str=$1 ) else ( str=str”,”$1))END(print str)'` | grep vhost | grep php

    Chúng ta dùng trí óc và đôi tay để phân tích file trên hosting
  • Chúng tôi đi tới các thư mục tải lên, bộ đệm, tmp, sao lưu, nhật ký, hình ảnh, trong đó nội dung nào đó được viết bởi tập lệnh hoặc do người dùng tải lên và quét nội dung để tìm các tệp mới có phần mở rộng đáng ngờ. Ví dụ: đối với j Joomla bạn có thể kiểm tra các tệp .php trong thư mục Images:find ./images -name ‘*.ph*’. Rất có thể, nếu tìm thấy thứ gì đó, đó sẽ là phần mềm độc hại.
    Đối với WordPress, việc kiểm tra thư mục wp-content/uploads, thư mục chủ đề sao lưu và bộ đệm để tìm tập lệnh là điều hợp lý.
  • Tìm file có tên lạ
    Ví dụ: php, fyi.php, n2fd2.php. Tập tin có thể được tìm kiếm
    • bằng cách kết hợp các ký tự không chuẩn,
    • sự hiện diện của các số 3,4,5,6,7,8,9 trong tên tệp
  • Chúng tôi đang tìm kiếm các tệp có phần mở rộng bất thường
    Giả sử bạn có một trang web trên WordPress hoặc đối với chúng, các tệp có phần mở rộng .py, .pl, .cgi, .so, .c, .phtml, .php3 sẽ không hoàn toàn bình thường. Nếu phát hiện bất kỳ tập lệnh và tệp nào có phần mở rộng này, rất có thể chúng là công cụ của hacker. Tỷ lệ phát hiện sai là có thể xảy ra nhưng không cao.
  • Chúng tôi đang tìm kiếm các tệp có thuộc tính hoặc ngày tạo không chuẩn
    Sự nghi ngờ có thể do các tệp có thuộc tính khác với các thuộc tính hiện có trên máy chủ gây ra. Ví dụ: tất cả các tập lệnh .php đã được tải xuống qua ftp/sftp và có người dùng người dùng và một số được tạo bởi dữ liệu www của người dùng. Nó có ý nghĩa để kiểm tra những cái mới nhất. Hoặc nếu ngày tạo tệp tập lệnh sớm hơn ngày tạo trang.
    Để tăng tốc độ tìm kiếm các tập tin có thuộc tính đáng ngờ, bạn có thể sử dụng lệnh unix tìm thấy.
  • Chúng tôi đang tìm kiếm những cánh cửa bằng một số lượng lớn Tệp .html hoặc .php
    Nếu có vài nghìn tệp .php hoặc .html trong thư mục thì rất có thể đây là một ô cửa.
    • Nhật ký để trợ giúp

    Nhật ký máy chủ web, dịch vụ bưu chính và FTP có thể được sử dụng để phát hiện các tập lệnh độc hại và hacker.

    • Mối tương quan giữa ngày và giờ gửi thư (có thể tìm thấy từ nhật ký máy chủ thư hoặc tiêu đề dịch vụ của thư rác) với các yêu cầu từ access_log giúp xác định phương thức gửi thư rác hoặc tìm tập lệnh của người gửi thư rác.
    • Phân tích nhật ký truyền xferlog FTP cho phép bạn hiểu tệp nào đã được tải xuống tại thời điểm bị hack, tệp nào đã được thay đổi và bởi ai.
    • Trong nhật ký máy chủ thư được cấu hình chính xác hoặc trong tiêu đề dịch vụ email rác cài đặt đúng PHP sẽ là tên hoặc đường dẫn đầy đủ tới script gửi, giúp xác định nguồn gốc của thư rác.
    • Sử dụng nhật ký bảo vệ chủ động của CMS và plugin hiện đại, bạn có thể xác định những cuộc tấn công nào đã được thực hiện trên trang web và liệu CMS có thể chống lại chúng hay không.
    • Sử dụng access_log và error_log, bạn có thể phân tích hành động của tin tặc nếu bạn biết tên của các tập lệnh mà hắn gọi, địa chỉ IP hoặc Đại lý người dùng. Như một phương sách cuối cùng, bạn có thể xem ĐĂNG yêu cầu vào ngày trang web bị tấn công và bị nhiễm virus. Thông thường, quá trình phân tích cho phép bạn tìm các tập lệnh hacker khác đã được tải xuống hoặc đã có trên máy chủ tại thời điểm xảy ra vụ hack.
    Kiểm soát tính toàn vẹn

    Việc phân tích vụ hack và tìm kiếm các tập lệnh độc hại trên một trang web sẽ dễ dàng hơn nhiều nếu bạn quan tâm trước đến vấn đề bảo mật của nó. Quy trình kiểm tra tính toàn vẹn giúp phát hiện kịp thời các thay đổi trong dịch vụ lưu trữ và xác định thực tế hành vi hack. Một trong những cách đơn giản nhất và cách hiệu quả– đặt trang web dưới hệ thống kiểm soát phiên bản (git, svn, cvs). Nếu bạn định cấu hình .gitignore chính xác, quy trình kiểm soát thay đổi sẽ giống như gọi lệnh git status và tìm kiếm các tập lệnh độc hại cũng như các tệp bị thay đổi sẽ giống như git diff.

    Ngoài ra, bạn sẽ luôn có một bản sao lưu các tệp của mình để bạn có thể “khôi phục” trang web chỉ trong vài giây. Quản trị viên máy chủ và quản trị viên web nâng cao có thể sử dụng các cơ chế inotify, tripwire, Auditd và các cơ chế khác để theo dõi quyền truy cập vào tệp và thư mục, đồng thời theo dõi các thay đổi trong hệ thống tệp.

    Thật không may, không phải lúc nào cũng có thể thiết lập hệ thống kiểm soát phiên bản hoặc dịch vụ của bên thứ ba trên máy chủ. Trong trường hợp lưu trữ chia sẻ, sẽ không thể cài đặt hệ thống kiểm soát phiên bản và Dịch vụ hệ thống. Nhưng không sao cả, có rất nhiều giải pháp làm sẵn cho CMS. Bạn có thể cài đặt một plugin hoặc một tập lệnh riêng trên trang web để theo dõi những thay đổi trong tệp. Một số CMS đã triển khai giám sát thay đổi hiệu quả và cơ chế kiểm tra tính toàn vẹn (Ví dụ: Bitrix, DLE). Phương án cuối cùng, nếu hosting có ssh, bạn có thể tạo ảnh chụp nhanh tham chiếu của hệ thống tệp bằng lệnh

    ls -lahR > original_file.txt

    và nếu có vấn đề phát sinh, hãy tạo ảnh chụp nhanh mới trong một tệp khác, sau đó so sánh chúng trong WinDiff, AraxisMerge Tool hoặc BeyondCompare.

    Lời kết

    Trong hầu hết các trường hợp, các nhà phát triển và trình quét phần mềm chống vi-rút không theo kịp các nhà phát triển mã độc, vì vậy khi chẩn đoán và xử lý các trang web, bạn không thể chỉ dựa vào các công cụ tự động. giải pháp phần mềm và kịch bản. Sử dụng phương pháp heuristic, các công cụ phong phú hệ điều hành và khả năng của CMS, bạn có thể tìm thấy mã độc hại mà phần mềm chống vi-rút và máy quét không thể phát hiện được. Sử dụng phân tích thủ công giúp quá trình xử lý trang web tốt hơn và hiệu quả hơn.

    WordPress là công cụ phổ biến nhất để tạo các trang web và blog thông tin khác nhau. Bảo mật trang web của bạn không chỉ là bảo mật dữ liệu của bạn. Điều này quan trọng hơn nhiều vì nó cũng là sự an toàn của tất cả người dùng đã đọc và tin tưởng tài nguyên của bạn. Đây là lý do tại sao điều quan trọng là trang web không bị nhiễm vi-rút hoặc bất kỳ mã độc hại nào khác.

    Chúng ta sẽ xem xét cách bảo vệ WordPress khỏi bị hack bằng một trong những bài viết tiếp theo, và bây giờ tôi muốn cho bạn biết cách kiểm tra vi-rút và mã độc trên một trang web WordPress để đảm bảo rằng mọi thứ đều an toàn.

    Tùy chọn đầu tiên bạn nghĩ đến là bạn đã bị tin tặc tấn công và xây dựng cửa hậu của chúng vào mã trang web của bạn để có thể gửi thư rác, đặt liên kết và những điều xấu khác. Điều này đôi khi cũng xảy ra nhưng đây là trường hợp khá hiếm nếu bạn cập nhật phần mềm đúng thời gian.

    Có hàng ngàn chủ đề miễn phí dành cho WordPress và nhiều plugin khác nhau và có thể đã có mối đe dọa ở đây. Đó là một chuyện khi bạn tải xuống một mẫu từ trang WordPress và một chuyện khác khi bạn tìm thấy nó ở trang bên trái. Các nhà phát triển vô đạo đức có thể nhúng nhiều mã độc khác nhau vào sản phẩm của họ. Rủi ro thậm chí còn lớn hơn nếu bạn tải xuống các mẫu cao cấp miễn phí, trong đó tin tặc, không gặp rủi ro gì, có thể thêm một số loại lỗ hổng bảo mật mà qua đó chúng có thể xâm nhập và làm những gì chúng cần. Đây là lý do tại sao việc kiểm tra virus trên một trang WordPress lại quan trọng đến vậy.

    Kiểm tra virus trên trang WordPress

    Điều đầu tiên bạn cần chú ý khi kiểm tra virus trên một trang web là Plugin WordPress. Nhanh chóng và dễ dàng, bạn có thể quét trang web của mình và tìm các vùng mã đáng ngờ đáng chú ý, cho dù chúng nằm trong chủ đề, plugin hay chính Wodpress cốt lõi. Hãy xem xét một số plugin phổ biến nhất:

    1.TOC

    Plugin rất đơn giản này kiểm tra tất cả các chủ đề được cài đặt trên trang web của bạn để xem chúng có chứa mã độc hay không. Plugin phát hiện các liên kết ẩn được mã hóa bằng cách chèn mã base64 và cũng hiển thị thông tin chi tiết về các vấn đề được tìm thấy. Thông thường, các đoạn mã được tìm thấy không phải là vi-rút nhưng chúng có thể nguy hiểm, vì vậy bạn nên chú ý đến chúng.

    Mở "Giao diện" -> "TAC" rồi đợi cho đến khi tất cả chủ đề được chọn.

    2. Máy quét VIP

    Rất giống với trình quét TOC cho các chủ đề nhưng cho ra nhiều kết quả hơn thông tin chi tiết. Khả năng phát hiện liên kết tương tự mã ẩn và các phần chèn độc hại khác. Chỉ cần mở mục Máy quét VIP trong phần công cụ và phân tích kết quả.

    Nó có thể là đủ để loại bỏ tập tin bổ sung ví dụ: máy tính để bàn.ini. Hoặc bạn cần xem xét chi tiết hơn những gì xảy ra trong các tệp sử dụng base64.

    3. Chống phần mềm độc hại từ GOTMLS.NET

    Plugin này cho phép bạn không chỉ quét virus các chủ đề và cốt lõi của trang web mà còn bảo vệ trang web khỏi các mật khẩu mạnh mẽ và các cuộc tấn công XSS, SQLInj khác nhau. Việc tìm kiếm được thực hiện dựa trên các chữ ký và lỗ hổng đã biết. Một số lỗ hổng có thể được khắc phục tại chỗ. Để bắt đầu quét tệp, hãy mở "Anti-Malvare" trong thực đơn bên và nhấp vào "Chạy quét":

    Trước khi có thể quét, bạn cần cập nhật cơ sở dữ liệu chữ ký của mình.

    4. Hàng rào từ ngữ

    Đây là một trong những plugin phổ biến nhất dành cho Bảo vệ WordPress và quét mã độc. Ngoài máy quét, có thể tìm thấy hầu hết các dấu trang trong Mã WordPress, có sự bảo vệ liên tục khỏi nhiều loại khác nhau các cuộc tấn công và mật khẩu vũ phu. Trong quá trình tìm kiếm, plugin sẽ tìm thấy vấn đề có thể xảy ra với nhiều plugin và chủ đề khác nhau, báo cáo nhu cầu cập nhật WordPress.

    Mở tab "WPDefence" trong menu bên, sau đó chuyển đến tab "Quét" và nhấp vào "Bắt đầu quét":

    Quá trình quét có thể mất thời gian nhất định, nhưng sau khi hoàn thành, bạn sẽ thấy một báo cáo chi tiết về các vấn đề được tìm thấy.

    5. Chống virus

    Đây là một plugin đơn giản khác sẽ quét mẫu trang web của bạn để tìm mã độc. Điểm bất lợi là chỉ quét mẫu hiện tại nhưng thông tin được hiển thị đầy đủ chi tiết. Bạn sẽ thấy tất cả các chức năng nguy hiểm có trong chủ đề và sau đó bạn có thể phân tích chi tiết xem chúng có gây nguy hiểm gì không. Tìm mục "Chống vi-rút" trong cài đặt, sau đó nhấp vào "Quét các mẫu chủ đề ngay bây giờ":

    6. Trình kiểm tra tính toàn vẹn

    Cũng nên kiểm tra tính toàn vẹn tập tin WordPress, trong trường hợp virus đã được đăng ký ở đâu đó. Bạn có thể sử dụng plugin Trình kiểm tra tính toàn vẹn cho việc này. Nó kiểm tra tất cả các tập tin lõi, plugin và mẫu để tìm những thay đổi. Khi kết thúc quá trình quét, bạn sẽ thấy thông tin về các tập tin đã thay đổi.

    Dịch vụ trực tuyến

    Ngoài ra còn có một số dịch vụ trực tuyến cho phép bạn kiểm tra vi-rút trên trang web WordPress hoặc chỉ kiểm tra mẫu. Dưới đây là một số trong số họ:

    themecheck.org - bạn tải xuống kho lưu trữ chủ đề và có thể xem tất cả các cảnh báo về các chức năng độc hại có thể được sử dụng trong đó. Bạn không chỉ có thể xem thông tin về chủ đề của mình mà còn về các chủ đề khác do người dùng khác tải lên, cũng như phiên bản khác nhau Chủ đề. Bất cứ plugin nào tìm thấy đều có thể được tìm thấy bởi trang web này. Bài kiểm tra chủ đề wordpress cũng rất quan trọng.

    virustotal.com là một nguồn tài nguyên nổi tiếng nơi bạn có thể kiểm tra trang web hoặc tệp mẫu của mình để tìm vi-rút.

    ReScan.pro - quét vi-rút một trang web WordPress bằng dịch vụ này là miễn phí, phân tích tĩnh và động được thực hiện để phát hiện các chuyển hướng có thể xảy ra, máy quét sẽ mở các trang của trang web. Kiểm tra trang web với các danh sách đen khác nhau.

    sitecheck.sucuri.net là một dịch vụ đơn giản để quét các trang web và chủ đề để tìm vi-rút. Có một plugin cho WordPress. Phát hiện các liên kết và tập lệnh nguy hiểm.

    Kiểm tra thủ công

    Không gì có thể tốt hơn kiểm tra thủ công. Linux có tiện ích grep tuyệt vời này cho phép bạn tìm kiếm sự xuất hiện của các chuỗi tùy ý trong một thư mục chứa các tệp. Vẫn còn phải hiểu những gì chúng ta sẽ tìm kiếm:

    eval - chức năng này cho phép bạn thực thi mã PHP tùy ý, nó không được sử dụng bởi các sản phẩm tự trọng; nếu một trong các plugin hoặc chủ đề sử dụng chức năng này, gần như có khả năng 100% rằng nó có chứa vi-rút;

    • base64_decode - các chức năng mã hóa có thể được sử dụng cùng với eval để ẩn mã độc, nhưng chúng cũng có thể được sử dụng cho mục đích hòa bình, vì vậy hãy cẩn thận;
    • sha1 là một phương pháp khác để mã hóa mã độc;
    • gzinflate - hàm nén, cùng mục tiêu, cùng với eval, ví dụ: gzinflate(base64_decode(code);
    • strrev - đảo ngược chuỗi không có trước đó, vì một tùy chọn có thể được sử dụng để mã hóa nguyên thủy;
    • print - xuất thông tin ra trình duyệt, cùng với gzinflate hoặc base64_decode, điều này rất nguy hiểm;
    • file_put_contents - Bản thân WordPress hoặc các plugin vẫn có thể tạo tệp trong hệ thống tệp, nhưng nếu chủ đề thực hiện điều này thì bạn nên cảnh giác và kiểm tra lý do tại sao nó lại làm như vậy, vì vi-rút có thể được cài đặt;
    • file_get_contents - trong hầu hết các trường hợp được sử dụng cho mục đích hòa bình, nhưng có thể được sử dụng để tải mã độc hoặc đọc thông tin từ tệp;
    • cuộn tròn - cùng một câu chuyện;
    • fopen - mở một tập tin để viết, bạn không bao giờ biết nhằm mục đích gì;
    • hệ thống - hàm thực thi lệnh trong hệ thống Linux, nếu chính một chủ đề, plugin hoặc wordpress thực hiện việc này thì rất có thể có vi-rút;
    • symlink - tạo các liên kết tượng trưng trong hệ thống, có lẽ virus đang cố gắng tạo liên kết chính hệ thống tập tin có thể truy cập từ bên ngoài;
    • sao chép - sao chép một tập tin từ vị trí này sang vị trí khác;
    • getcwd - trả về tên của thư mục làm việc hiện tại;
    • cwd - thay đổi thư mục làm việc hiện tại;
    • ini_get - lấy thông tin về Cài đặt PHP, thường xuyên hơn vì mục đích hòa bình, nhưng bạn không bao giờ biết được;
    • error_reporting(0) - vô hiệu hóa hiển thị bất kỳ thông báo lỗi nào;
    • window.top.location.href - hàm javascript, được sử dụng để chuyển hướng đến các trang khác;
    • đã bị tấn công - vì vậy, để đề phòng, chúng tôi kiểm tra thì đột nhiên chính hacker quyết định thông báo cho chúng tôi.

    Bạn có thể thay thế từng từ riêng lẻ thành một lệnh như thế này:

    grep -R "đã hack" /var/www/path/to/files/wordpress/wp-content/

    Hoặc sử dụng một tập lệnh đơn giản sẽ tìm kiếm tất cả các từ cùng một lúc:

    value="base64_decode(
    eval(base64_decode
    gzinflate(base64_decode(
    getcwd();
    strrev(
    chr(ord(
    cwd
    ini_get
    window.top.location.href
    sao chép(
    đánh giá(
    hệ thống(
    liên kết tượng trưng(
    error_reporting(0)
    in
    file_get_contents(
    file_put_contents(
    fopen(
    bị hack"

    cd /var/www/path/to/files/wordpress/wp-content/
    $ fgrep -nr --include \*.php "$values" *

    Mã độc hại xâm nhập vào trang web do sơ suất hoặc mục đích xấu. Mục đích của mã độc có thể khác nhau nhưng về cơ bản nó gây tổn hại hoặc can thiệp vào hoạt động binh thươngđịa điểm. Để loại bỏ mã độc trên WordPress, trước tiên bạn phải tìm ra nó.

    Mã độc trên trang web WordPress là gì?

    Qua vẻ bề ngoài Thông thường, mã độc là một tập hợp các chữ cái và ký hiệu của bảng chữ cái Latinh. Trên thực tế, đây là một mã được mã hóa để thực hiện hành động này hoặc hành động kia. Các hành động có thể rất khác nhau, ví dụ: bài đăng mới của bạn được xuất bản ngay lập tức trên tài nguyên của bên thứ ba. Điều này thực chất là ăn cắp nội dung của bạn. Mã cũng có những “nhiệm vụ” khác, chẳng hạn như đặt các liên kết gửi đi trên các trang của trang web. Các nhiệm vụ này có thể phức tạp nhất, nhưng có một điều rõ ràng: các mã độc hại cần được truy tìm và loại bỏ.

    Làm thế nào để mã độc xâm nhập vào một trang web?

    Ngoài ra còn có nhiều sơ hở để mã vào trang web.

  • Thông thường, đây là những chủ đề và plugin được tải xuống từ các tài nguyên “trái”. Mặc dù vậy, sự xâm nhập như vậy là điển hình cho cái gọi là liên kết được mã hóa. Mã rõ ràng không xuất hiện trên trang web.
  • Sự xâm nhập của virus khi một trang web bị hack là nguy hiểm nhất. Theo quy định, việc hack một trang web cho phép bạn không chỉ đặt “mã một lần” mà còn cài đặt mã có các phần tử phần mềm độc hại ( phần mềm độc hại). Ví dụ: bạn tìm thấy một mã và xóa nó, nhưng nó sẽ được khôi phục sau một thời gian. Một lần nữa, có rất nhiều lựa chọn.

    • Tôi xin lưu ý ngay rằng cuộc chiến chống lại những loại virus như vậy rất khó khăn, nhưng gỡ bỏ thủ côngđòi hỏi kiến ​​thức. Có ba giải pháp cho vấn đề: giải pháp đầu tiên là sử dụng các plugin chống vi-rút, ví dụ như plugin có tên BulletProof Security.

    Giải pháp này cho kết quả tốt, nhưng tốn thời gian, dù chỉ một chút. Có một giải pháp triệt để hơn, đó là loại bỏ các mã độc, trong đó có virus phức tạp, việc này là để khôi phục trang web từ những trang được tạo sẵn bản sao lưuđịa điểm.

    Vì một quản trị viên web giỏi thực hiện việc này định kỳ nên bạn có thể quay lại phiên bản không bị nhiễm virus mà không gặp vấn đề gì. Giải pháp thứ ba dành cho những người giàu có và lười biếng, chỉ cần liên hệ với một “văn phòng” chuyên môn hoặc một chuyên gia riêng lẻ.

    Cách tìm mã độc hại trên WordPress

    Điều quan trọng là phải hiểu rằng mã độc trên WordPress có thể ở bất kỳ tệp nào trên trang web và không nhất thiết phải ở chủ đề làm việc. Anh ta có thể nghĩ ra một plugin, một chủ đề hoặc mã “tự chế” lấy từ Internet. Có một số cách để cố gắng tìm mã độc.

    Cách 1: Bằng tay. Bạn cuộn qua tất cả các tệp trang web và so sánh chúng với các tệp của bản sao lưu không bị nhiễm virus. Nếu bạn tìm thấy mã của người khác, hãy xóa nó.

    Phương pháp 2: Sử dụng Plugin bảo mật WordPress. Ví dụ, . Plugin này có một tính năng tuyệt vời, quét các tệp trang web để tìm sự hiện diện của mã của người khác và plugin hoàn thành nhiệm vụ này một cách hoàn hảo.

    Phương pháp 3. Nếu bạn có dịch vụ lưu trữ hỗ trợ hợp lý và đối với bạn, có vẻ như có người khác trên trang web, hãy yêu cầu họ quét trang web của bạn bằng phần mềm chống vi-rút của họ. Báo cáo của họ sẽ liệt kê tất cả các tập tin bị nhiễm bệnh. Tiếp theo, mở các tệp này trong soạn thảo văn bản và loại bỏ mã độc.

    Phương pháp 4. Nếu bạn có thể làm việc với Truy cập SSH vào danh mục trang web rồi tiếp tục, nó có bếp riêng.

    Quan trọng! Cho dù bạn tìm kiếm mã độc bằng cách nào, trước khi tìm kiếm rồi xóa mã, hãy đóng quyền truy cập vào các tệp trang web (bật chế độ bảo trì). Hãy nhớ về các mã mà chúng sẽ được khôi phục khi chúng bị xóa.

    Tìm kiếm mã độc bằng hàm eval

    Có một hàm như vậy trong PHP được gọi là eval. Nó cho phép bạn thực thi bất kỳ mã nào trên dòng của nó. Hơn nữa, mã có thể được mã hóa. Chính nhờ cách mã hóa mà mã độc trông giống như một tập hợp các chữ cái và ký hiệu. Hai mã hóa phổ biến là:

  • Cơ sở64;
  • Xoay13.

    • Theo đó, trong các bảng mã này, hàm eval trông như thế này:

    • eval(base64_decode(...))
    • eval (str_rot13 (...)) //trong dấu ngoặc kép nội bộ, bộ chữ cái và ký hiệu dài, không rõ ràng..

    Thuật toán tìm kiếm mã độc bằng hàm eval như sau (chúng tôi làm việc từ bảng quản trị):

    • đi đến trình chỉnh sửa trang web (Giao diện→Trình chỉnh sửa).
    • sao chép tệp tin.php.
    • mở nó trong trình soạn thảo văn bản (ví dụ: Notepad++) và tìm kiếm từ: eval.
    • Nếu bạn tìm thấy nó, đừng vội xóa bất cứ điều gì. Bạn cần hiểu chức năng này “yêu cầu” thực hiện những gì. Để hiểu điều này, mã cần phải được giải mã. Để giải mã có công cụ trực tuyến, được gọi là bộ giải mã.
    Bộ giải mã/Bộ mã hóa

    Bộ giải mã hoạt động đơn giản. Bạn sao chép đoạn mã muốn giải mã, dán vào trường bộ giải mã và giải mã.

    Tại thời điểm viết bài, tôi không tìm thấy một mã mã hóa nào được tìm thấy trong WordPress. Tôi tìm thấy mã từ trang web Joomla. Về nguyên tắc, không có sự khác biệt trong cách hiểu giải mã. Hãy nhìn vào bức ảnh.

    Như bạn có thể thấy trong ảnh, hàm eval sau khi giải mã không hiển thị một đoạn mã khủng khiếp đe dọa tính bảo mật của trang web mà là một liên kết bản quyền được mã hóa từ tác giả của mẫu. Nó cũng có thể bị xóa nhưng nó sẽ quay trở lại sau khi cập nhật mẫu nếu bạn không sử dụng .