Hur man hittar en bakdörr pÄ en hackad WordPress-webbplats och fixar den

Backdoor Screenshot

Om och om igen har vi hjÀlpt anvÀndare att fixa sina hackade WordPress-webbplatser. För det mesta nÀr de nÄr ut till oss har de redan rensat webbplatsen och hackaren kunde komma in igen. Detta hÀnder om du inte stÀdade den ordentligt eller om du inte visste vad du letade efter . I de flesta fall som vi hittade fanns en bakdörr skapad av hackaren som gjorde det möjligt för dem att kringgÄ normal autentisering. I den hÀr artikeln visar vi dig hur du hittar en bakdörr pÄ en hackad WordPress-webbplats och fixar den.

Vad Àr en bakdörr?

Bakdörrar hÀnvisas till en metod för att kringgÄ normal autentisering och fÄ förmÄgan att fjÀrrÄtkomst till servern samtidigt som den inte upptÀcks. De flesta smarta hackare laddar alltid upp bakdörren som det första. Detta gör att de kan fÄ tillbaka Ätkomst Àven efter att du har hittat och tagit bort det utnyttjade pluginet. Bakdörrar överlever ofta uppgraderingarna, sÄ din webbplats Àr sÄrbar tills du rensar upp den hÀr röran.

Vissa bakdörrar tillÄter helt enkelt anvÀndare att skapa dolda admin-anvÀndarnamn. Medan de mer komplexa bakdörrarna kan göra det möjligt för hackaren att köra alla PHP-koder som skickas frÄn webblÀsaren. Andra har ett fullfjÀdrat grÀnssnitt som gör att de kan skicka e-postmeddelanden som din server, utföra SQL-frÄgor och allt annat de vill göra.

Var Àr den hÀr koden dold?

Bakdörrar pÄ en WordPress-installation lagras oftast pÄ följande platser:

    Teman – Det Ă€r troligt att det inte Ă€r i det aktuella temat du anvĂ€nder. Hackare vill att koden ska överleva kĂ€rnuppdateringar. SĂ„ om du har det gamla Kubrick-temat i din temakatalog eller ett annat inaktivt tema, kommer koderna antagligen att finnas dĂ€r. Det Ă€r dĂ€rför vi rekommenderar att du tar bort alla inaktiva teman.
    Plugins – Plugins Ă€r en utmĂ€rkt plats för hackaren att dölja koden av tre skĂ€l. En för att mĂ€nniskor inte riktigt tittar pĂ„ dem. TvĂ„ för att mĂ€nniskor inte gillar att uppgradera sina plugins, sĂ„ de överlever uppgraderingarna (folk hĂ„ller dem uppdaterade). Tre, det finns nĂ„gra dĂ„ligt kodade plugins som troligen har sina egna sĂ„rbarheter till att börja med.
    Uppladdningskatalog – Som bloggare kontrollerar du aldrig din uppladdningskatalog. Varför skulle du? Du laddar bara upp bilden och anvĂ€nder den i ditt inlĂ€gg. Du har antagligen tusentals bilder i uppladdningsmappen dividerat med Ă„r och mĂ„nad. Det Ă€r vĂ€ldigt enkelt för hackaren att ladda upp en bakdörr i uppladdningsmappen eftersom den gömmer sig bland tusentals mediefiler. Plus att du inte kontrollerar det regelbundet. De flesta har inte ett övervakningsplugin som Sucuri. Slutligen Ă€r uppladdningskatalogen skrivbar, sĂ„ den kan fungera som den ska. Detta gör det till ett utmĂ€rkt mĂ„l. MĂ„nga bakdörrar vi hittar finns dĂ€r inne.
    wp-config.php – Detta Ă€r ocksĂ„ en av de riktade filerna frĂ„n hackarna. Det Ă€r ocksĂ„ en av de första platserna som de flesta fĂ„r veta.
    Inkluderar mapp – / wp-includes / folder Ă€r en annan plats som vi hittar bakdörrar. Vissa hackare lĂ€mnar alltid mer Ă€n en bakdörrfil. NĂ€r de har laddat upp en, lĂ€gger de till ytterligare en sĂ€kerhetskopia för att sĂ€kerstĂ€lla deras Ă„tkomst. Inkluderar mappen Ă€r en annan dĂ€r de flesta inte bryr sig om att leta.

I alla fall som vi hittade var bakdörren förklÀdd för att se ut som en WordPress-fil.

Till exempel: pĂ„ en webbplats som vi stĂ€dade var bakdörren i wp-inclusive-mappen och den hette wp-user.php (det finns inte i den vanliga installationen). Det finns user.php, men ingen wp-user.php i / wp-includes / mappen. I en annan instans hittade vi en php-fil med namnet hello.php i uppladdningsmappen. Det förklĂ€ddes som Hello Dolly-plugin. Men varför Ă€r det i uppladdningsmappen? D’oh.

Det kan ocksÄ anvÀnda namn som wp-content.old.tmp, data.php, php5.php eller nÄgot sÄdant. Det behöver inte sluta med PHP bara för att det har PHP-kod. Det kan ocksÄ vara en .zip-fil. I de flesta fall Àr dessa filer kodade med base64-kod som vanligtvis utför alla sorteringsÄtgÀrder (dvs. lÀgg till skrÀppostlÀnkar, lÀgg till ytterligare sidor, omdirigera huvudsidan till skrÀppostsidor osv.).

Nu tĂ€nker du förmodligen att WordPress Ă€r osĂ€ker eftersom det möjliggör bakdörrar. Du Ă€r DÖD FEL. Den nuvarande versionen av WordPress har inga kĂ€nda sĂ„rbarheter. Bakdörrar Ă€r inte det första steget i hacket. Det Ă€r vanligtvis det andra steget. Ofta hittar hackare ett utnyttjande i ett plugin eller skript frĂ„n tredje part som sedan ger dem tillgĂ„ng till att ladda upp bakdörren. Tips: TimThumb-hacket. Det kan dock vara alla slags saker. Till exempel kan ett dĂ„ligt kodat plugin tillĂ„ta eskalering av anvĂ€ndarrĂ€ttigheter. Om din webbplats hade öppna registreringar kan hackaren bara registrera sig gratis. Utnyttja den ena funktionen för att fĂ„ fler privilegier (som sedan tillĂ„ter dem att ladda upp filerna). I andra fall kan det mycket vĂ€l vara att dina uppgifter har Ă€ventyrats. Det kan ocksĂ„ vara sĂ„ att du anvĂ€nde en dĂ„lig webbhotellleverantör. Se vĂ„r rekommenderade lista över webbhotell.

Hur hittar jag och rengör bakdörren?

Nu nÀr du vet vad en bakdörr Àr och var den kan hittas. Du mÄste börja leta efter det. Att rensa upp det Àr lika enkelt som att radera filen eller koden. Men den svÄra delen Àr att hitta den. Du kan börja med ett av följande WordPress-plugins för skadlig programvara. Av dessa rekommenderar vi Sucuri (ja det betalas).

Du kan ocksÄ anvÀnda Exploit Scanner, men kom ihÄg att base64- och eval-koder ocksÄ anvÀnds i plugins. SÄ ibland kommer det att returnera mÄnga falska positiva resultat. Om du inte Àr utvecklaren av pluginsna Àr det verkligen svÄrt för dig att veta vilken kod som Àr ute efter sin plats i de tusentals raderna med kod. Det bÀsta du kan göra Àr ta bort din plugin-katalogoch installera om dina plugins frÄn grunden. Yup, det hÀr Àr det enda sÀttet du kan vara sÀker pÄ om du inte har mycket tid att spendera.

Sök i katalogen för uppladdningar

En av skannertillÀggen hittar en skurkfil i uppladdningsmappen. Men om du Àr bekant med SSH behöver du bara skriva följande kommando:

find uploads -name "*.php" -print

Det finns ingen god anledning för att en .php-fil ska finnas i din uppladdningsmapp. Mappen Àr utformad för mediefiler i de flesta fall. Om det finns en .php-fil dÀr, mÄste den gÄ.

Ta bort inaktiva teman

Som vi nÀmnde ovan riktas ofta inaktiva teman in. Det bÀsta du kan göra Àr att ta bort dem (ja, detta inkluderar standardtema och klassiskt tema). Men vÀnta, jag kollade inte om bakdörren var dÀr inne. Om det var sÄ Àr det borta nu. Du sparade bara din tid frÄn att titta och du eliminerade en extra attackpunkt.

.htaccess-fil

Ibland lÀggs omdirigeringskoderna till dÀr. Ta bara bort filen sÄ Äterskapar den sig sjÀlv. Om det inte gör det, gÄ till din WordPress-adminpanel. InstÀllningar »PermalÀnkar. Klicka pÄ knappen Spara dÀr. Det kommer att Äterskapa .htaccess-filen.

wp-config.php-fil

JÀmför den hÀr filen med standardfilen wp-config-sample.php. Om du ser nÄgot som inte Àr pÄ plats, bli av med det.

Databas söker efter exploater och SPAM

En smart hackare kommer aldrig att ha bara en sÀker plats. De skapar mÄnga. Att rikta en databas full av data Àr ett mycket enkelt trick. De kan lagra sina dÄliga PHP-funktioner, nya administrativa konton, SPAM-lÀnkar, etc. i databasen. Japp, ibland ser du inte administratörsanvÀndaren pÄ din anvÀndares sida. Du kommer att se att det finns 3 anvÀndare, och du kan bara se 2. Chansen Àr att du Àr hackad.

Om du inte vet vad du gör med SQL, vill du antagligen lÄta en av dessa skannrar göra jobbet Ät dig. Exploit Scanner-plugin eller Sucuri (betald version) tar bÄda hand om det.

Tror du att du har rengjort den? TĂ€nk om!

Okej sĂ„ hacket Ă€r borta. Phew. VĂ€nta, slappna inte bara av Ă€nnu. Öppna din webblĂ€sare i inkognitolĂ€ge för att se om hacket kommer tillbaka. Ibland Ă€r dessa hackare smarta. De visar inte hacket för inloggade anvĂ€ndare. Endast utloggade anvĂ€ndare ser det. Eller Ă€nnu bĂ€ttre, försök att Ă€ndra din webblĂ€sares anvĂ€ndaragent som Google. Ibland vill hackarna bara rikta in sig pĂ„ sökmotorerna. Om allt ser bra ut Ă€r du bra att gĂ„.

Bara FYI: Om du vill vara 100% sÀker pÄ att det inte finns nÄgon hack, ta bort din webbplats. Och ÄterstÀll det till den punkt dÀr du vet att hacket inte fanns dÀr. Det hÀr kanske inte Àr ett alternativ för alla, sÄ du mÄste leva pÄ kanten.

Hur kan man förhindra hack i framtiden?

VÄrt bÀsta rÄd skulle vara att hÄlla starka sÀkerhetskopior (VaultPress eller BackupBuddy) och börja anvÀnda en övervakningstjÀnst. Som vi sa tidigare kan du omöjligt övervaka allt som gÄr pÄ din webbplats nÀr du gör massor av andra saker. Det Àr dÀrför vi anvÀnder Sucuri. Det kan lÄta som att vi marknadsför dem. Men det Àr vi INTE. Ja, vi fÄr en medlemsprovision frÄn alla som anmÀler sig till Sucuri, men det Àr inte anledningen till att vi rekommenderar det. Vi rekommenderar endast produkter som vi anvÀnder och Àr av hög kvalitet. Stora publikationer som CNN, USAToday, PC World, TechCrunch, TheNextWeb och andra rekommenderar ocksÄ dessa killar. Det beror pÄ att de Àr bra pÄ vad de gör.

LÀs vÄr artikel om 5 skÀl till varför vi anvÀnder Sucuri för att förbÀttra vÄr WordPress-sÀkerhet

FÄ andra saker du kan göra:

    AnvĂ€nd starka lösenord – Tvinga starka lösenord till dina anvĂ€ndare. Börja anvĂ€nda ett lösenordshanteringsverktyg som 1Password. 2-stegsverifiering – Om ditt lösenord komprometteras mĂ„ste anvĂ€ndaren fortfarande ha verifieringskoden frĂ„n din telefon. BegrĂ€nsa inloggningsförsök – Detta plugin lĂ„ter dig lĂ„sa ut anvĂ€ndaren efter X-nummer av misslyckade inloggningsförsök. Inaktivera tema- och plugin-redigerare – Detta förhindrar problem med anvĂ€ndar eskalering. Även om anvĂ€ndarens behörigheter eskalerades kunde de inte Ă€ndra ditt tema eller plugins med WP-Admin. Lösenordsskydd WP-Admin – Du kan lösenordsskydda hela katalogen. Du kan ocksĂ„ begrĂ€nsa Ă„tkomst via IP. Inaktivera PHP-körning i vissa WordPress-kataloger – Detta inaktiverar PHP-körning i uppladdningskatalogerna och andra kataloger du vĂ€ljer. I grund och botten sĂ„ Ă€ven om nĂ„gon kunde ladda upp filen i din uppladdningsmapp skulle de inte kunna köra den.
    HĂ„ll dig uppdaterad – Kör den senaste versionen av WordPress och uppgradera dina plugins.

Slutligen, var inte billig nÀr det gÀller sÀkerhet. Vi sÀger alltid att den bÀsta sÀkerhetsÄtgÀrden Àr bra sÀkerhetskopior. SnÀlla vÀnligen behÄll regelbundna sÀkerhetskopior av din webbplats. De flesta webbhotell gör INTE detta Ät dig. Börjar anvÀnda en pÄlitlig lösning som BackupBuddy eller VaultPress. PÄ det hÀr sÀttet, om du nÄgonsin blir hackad, har du alltid en ÄterstÀllningspunkt. OcksÄ om du kan, fÄ bara Sucuri och spara dig sjÀlv alla problem. De kommer att övervaka din webbplats och stÀda upp den om du nÄgonsin blir hackad. Det verkar vara som $ 3 per mÄnad per webbplats om du fÄr 5-planen.

Vi hoppas att den hÀr artikeln hjÀlpte dig. LÀmna gÀrna en kommentar nedan om du har nÄgot att lÀgga till :)