Injectarea de viruși JavaScript
Acum câteva luni am observat că o mulțime din site-urile mele WordPress au fost „căzute”. Când doream să accesez interfața publică sau pe cea de administrare, acestea nu funcționau sau apărea un mesaj de genul:
“Cannot modify header information – headers already sent by (output started at /path/blog/wp-config.php:34) in /path/blog/wp-login.php on line 42,”
Nu am putut înțelege cum s-ar fi putut schimba ceva în condițiile în care am efectuat manual actualizările și numai eu am încărcat site-urile.
Așa că am decis să fac backup la toate site-urile mele WordPress (și vorim de 34 de site-uri diferite). Pentru această copie de rezervă, m-am conectat la serverul principal și am descărcat tot conținutul într-un folder pe computerul personal. Aproape imediat mi-a apărut Javascript Injection Codeantivirus afirmând că în fișiere existau viruși. N-am auzit niciodată de un site care să fie corupt cu viruși, mai ales când acesta nu are decât o metodă de intrare.
Am descoperit un șir de cod javascript în sute de fișiere PHP. Multe dintre acestea nefiind încărcate niciodată de mine pe site-uri. Codul era ceva de genul (doar că mult mai lung) :
SwzMywzMyxfMHg0NDcwWzNdW18weDQ0NzBbMl1dKF8weDQ0NzBbMV0pLDAse30pKTs
Aceștia se numesc „JavaScript Injection Viruses”. Există comenzi POST într-o mulțime de platforme (cum ar fi WordPress și Joomla) care permit unei persoane să încarce un fișier pe un server pur și simplu prin postarea acestuia. Inițial încarcă acel fișier iar apoi îl interoghează, ceea ce le permite să acceseze o parte sau întreaga structură de fișiere, deschizând astfel o gaură masivă.
De ce ar face cineva asta?
De obicei motivul este simplu. Bani. Hacker-ului nu îi pasă de site-ul dvs. și nu încearcă să fie rău intenționat, ci doar să utilizeze resursele serverului. Uneori îl folosesc pentru a procesa comenzi de pe site-urile proprii, alteori încearcă să fure puterea procesorului și memoria RAM, sau pur și simplu doresc să aibe un spațiu pentru a stoca fișiere pentru care ar prefera să fiți prins dvs. în locul lor.
Ideea este că există peste 74 de milioane de site-uri WordPress și în acest caz discutăm de foarte multă putere de care hackerii pot abuza.
Cum să eliminăm virușii din WordPress?
Există câteva opțiuni atunci când vine vorba de eliminare.
Instrumente
Există instrumente (pluginuri) pe care le puteți instala și care fac o treaba bună nu neapărat în a elimina, dar de asemenea împiedicând ca aceste cazuri să se întâmple pe viitor. Două pe care le-am folosit personal sunt WordFence și NinjaFirewall. Ambele au o versiune gratuită care vă va ajuta să curățați site-ul și să-l păstrați așa, în schimb versiunea premium adaugă mai multă finctionalitate.
Rezolvarea personală
Deși îmi plac instrumentele existente, am tendința de a fi mai încăpățânat câteodată și vreau să știu că totul a fost 100% eliminat. Deci, pentru majoritatea site-urilor mele, chiar dacă a durat ceva timp, am făcut următoarele:
Am înlocuit fișierele WordPress de bază (este foarte important să va asigurați că le înlocuiți cu aceeași versiune pe care o aveți instalată)
M-am uitat prin fiecare director și sub-director după fișierele care nu aveau ce căuta acolo (ca upload.php într-un folder de upload atunci când nu aveți nevoie de el acolo). Acest lucru este puțin mai complicat deoarece va trebui să știți ce ar trebui să existe și ce nu. Merită menționat faptul că în majoritatea timpului nu ar trebui să existe fișiere PHP sau HTML în nici unul dintre folderele de upload, deoarece upload-urile sunt de obicei doar imagini, videoclipuri și documente. Dacă nu sunteți sigur că este malițios, deschideți fișierul în editorul text și vedeți dacă un cod de injecție (ca cel menționat mai sus) este în fișier.
Odată ce sunt sigur că am eliminat tot ce era rău, fac o scanare a virușilor pe întregul site, și în cele din urmă îl încarc înapoi unde îi este locul.
Comentarii