Computer >> 컴퓨터 >  >> 네트워킹 >> 네트워크 보안

WordPress 백도어 해킹:증상, 찾기 및 수정

워드프레스 백도어란 무엇입니까?

매년 수천 개의 WordPress 사이트가 감염되고 그 수가 증가하고 있습니다. 이러한 해킹된 웹사이트는 사기와 스팸을 퍼뜨리는 데 사용됩니다. 종종 소유자와 개발자는 감염을 인식하지 못합니다. 감염은 지속되거나 지속되지 않을 수 있습니다. 따라서 WordPress 백도어는 이러한 지속성을 유지하는 데 도움이 됩니다. 워드프레스 백도어 공격자가 서버에 지속적으로 무단 액세스를 허용하는 코드입니다. 이것은 종종 어딘가에 숨겨진 악성 파일입니다. 또는 때때로 감염된 플러그인일 수 있습니다. 매달 새로운 WordPress 백도어 해킹 변종을 찾을 수 있습니다.

해커는 여전히 WordPress 백도어를 주입하려고 합니다. 수년 동안 감염을 퍼뜨리는 데 사용된 여러 플러그인이 있습니다. 따라서 위협은 어디에서나 올 수 있습니다. 나중에 WordPress 백도어를 제거하는 것은 시간과 리소스를 많이 소모하는 프로세스가 될 수 있습니다. 그러나 예방 조치는 여전히 피해를 통제할 수 있습니다. 안전한 WordPress 사이트는 공격을 방지하지 않으면 공격을 지연시킬 수 있습니다. 이 블로그에서 WordPress 백도어를 찾고 수정하는 방법에 대해 자세히 알아보겠습니다.

관련 가이드 – 완전한 WordPress 보안 단계별 가이드(해킹 위험 90% 감소)

WordPress 백도어 해킹으로 이어지는 이유는 무엇입니까?

WordPress 사이트를 설정하는 것은 비교적 쉽습니다. 그러나 몇 가지 결함으로 인해 WordPress 백도어가 생길 수 있습니다. 따라서 단순화를 위해 처음 몇 개로 줄일 수 있습니다. 다음은 다음과 같습니다.

  • 때로는 버그가 있는 플러그인이나 테마 때문일 수 있습니다.
  • 사이트 로그인 정보가 취약하거나 기본 정보일 수 있습니다.
  • 파일 권한이 낮아 민감한 파일이 노출될 수 있습니다.
  • 방화벽이나 어떤 종류의 보안 솔루션도 사용하지 마십시오.
  • 설치가 오래되었을 수 있습니다.
  • 감염된 서버를 다른 웹사이트와 공유합니다. 서비스 제공업체에 서브넷을 요청하세요.
WordPress 백도어 해킹:증상, 찾기 및 수정

WordPress 백도어 찾기

테마에서 WordPress 백도어 찾기

비활성 테마는 WordPress 백도어를 숨기기에 가장 좋은 장소입니다. 해커는 이 사실을 알고 있으며 종종 사이트에서 이러한 테마를 찾습니다. 그 이유는 비활성화되어 있기 때문에 거기에서 확인할 가능성이 적기 때문입니다. WP 테마에는 functions.php라는 중요한 파일이 포함되어 있습니다. . 이 파일은 기본 PHP, WordPress 및 기타 기능을 호출하는 역할을 합니다. 따라서 간단히 말해서 모든 유형의 작업을 수행하는 데 사용할 수 있습니다. 종종 공격자는 WordPress 백도어를 얻기 위해 이 파일을 삽입하려고 합니다. 이러한 예는 아래 이미지에 나와 있습니다.

WordPress 백도어 해킹:증상, 찾기 및 수정

functions.php 파일의 악성 코드입니다. . 공격자가 URL을 방문할 때 트리거됩니다. www.yoursite.com/wp-includes/registration.php 따라서 이 함수는

를 사용하여 새 사용자를 만듭니다.

id: backdooradmin

password: Pa55W0rd.

따라서 사용자를 삭제하더라도 이 URL을 방문하면 다시 생성할 수 있습니다. 이것은 WordPress 백도어의 전형적인 예입니다. 그러나 이 코드는 먼저 서버에 액세스해야 주입할 수 있습니다. 열린 FTP 포트 또는 기타 결함일 수 있습니다.

WordPress의 백도어가 걱정되십니까? 채팅 위젯에 대한 메시지를 보내주시면 기꺼이 도와드리겠습니다. 지금 내 WordPress 사이트를 보호하세요.

플러그인에서 WordPress 백도어 찾기

WordPress 백도어 해킹은 종종 버그가 있는 플러그인으로 인해 발생합니다. 몇 년 동안 버그가 있는 여러 플러그인이 발견되었습니다. 올해 가장 최근의 것은 Contact Form 7이었습니다. 이 플러그인의 활성 사용자는 5백만 명이 넘습니다. 반면에 버그는 권한 상승으로 이어졌습니다. 플러그인 파일이 수정되면 대시보드에 표시되지 않을 수 있습니다. 그러나 FTP 검색은 그러한 파일을 드러낼 수 있습니다. 또한 합법적으로 보이게 하기 위해 백도어 파일을 도우미 파일이라고 합니다. 백도어가 플러그인에 있는 이유는 다음과 같습니다.

  • 사용하지 않는 플러그인은 감염에 더 취약합니다. 오랫동안 백도어를 숨길 수 있기 때문입니다.
  • 신뢰할 수 없고 인기가 없는 플러그인은 종종 잘못 코딩됩니다. 따라서 WordPress 백도어 해킹의 가능성이 높아집니다.
  • 사용되지 않는 플러그인이 대상이 될 가능성이 높습니다. 많은 사람들이 여전히 업데이트하지 않고 실행하기 때문입니다.
  • 이 버그가 있는 플러그인은 다른 핵심 파일을 수정하는 데 도움이 될 수 있습니다.

따라서 알 수 없는 플러그인을 검색하십시오. 사용하지 않는 모든 플러그인을 정리하세요!

설치 파일의 WordPress 백도어 위치

메인 파일의 수정은 플러그인 감염 후 발생합니다. 기본 파일에 승인되지 않은 코드가 있거나 새 파일이 나타날 수 있습니다. 때로는 백도어가 다음과 같이 횡설수설처럼 보일 수 있습니다.

$t43="l/T6\\:aAcNLn#?rP}1\rG_ -s`SZ\$58t\n7E{.*]ixy3h,COKR2dW[0!U\tuQIHf4bYm>wFz<[email protected]&(BjX'~|ge%p+oMJv^);\"k9";
$GLOBALS['ofmhl60'] = ${$t43[20].$t43

이 코드는 알려진 기술을 사용하여 난독화되었습니다. 따라서 인간 사용자가 읽기가 더 어렵습니다. 따라서 이 물고기 같은 코드를 조심하고 포함된 파일을 삭제하십시오. 때로는 백도어가 xml.php과 같은 합법적인 파일로 나타날 수도 있습니다. , media.php , plugin.php 등 따라서 합법적으로 보이더라도 파일을 건너뛰지 마십시오. 또한 코드를 읽기 어렵게 만드는 다른 기술이 있습니다.

검색도 le mot-clé FilesMan dans vos fichiers. Par exemple, c’est le vidage de la tristement célèbre Filesman:02 . Cette porte dérobée est difficile à détecter et n’est pas visible dans les journaux. Il est utilisé pour voler des mots de passe et d’autres détails.

<?php
$auth_pass = "";
$color = "#df5";
$default_action = "FilesMan";
$default_charset = "Windows-1251";
preg_replace("/.*/e","x65x76x61x6Cx28x67x7Ax69x6Ex66x6Cx61x74x65x28x62x61x73x65x36x34x5Fx64x65x63x6Fx64x65x28'7b1tVxs50jD8OXvO9R9Er3fanhhjm2Q2Y7ADIZCQSSAD5GUC3N623bZ7aLs93W0Mk+W/31Wll5b6xZhkdq/7OedhJtDdKpVKUkkqlapK3rDM1tzJLL4tl7qn+ycf90/O7ddnZ++7H+Ctu/t..NRCty4s8Uh1VQKxLg+xQC0T93+IV4sxw/c08okR1wKtoyadLX6Dl6tDg3WxVxFoHhkj6Yn/xc='x29x29x29x3B",".");
?>

Par exemple, le code de la 6e ligne est au format hexadécimal. Lors de la conversion , il ressemblerait à quelque chose comme:preg_replace("/.*/e","eval(gzinfla\ . Il existe des outils disponibles en ligne pour décoder les caractères hexadécimaux. Utilise les! De plus, l’attaquant peut masquer le code à l’aide du codage base64. Alors, traitez-le de la même manière. Ici le mot FilesMan – clé est présent dans la 4ème ligne. Ces variantes de cette infection ont ce mot-clé. Parfois, il est possible que le code altère des fichiers sensibles comme .htaccess . Assurez-vous donc de bien les regarder!

Comment réparer le hack de porte dérobée WordPress?

Comparaison de la somme de contrôle

La première étape consiste à comparer les sommes de contrôle. Il s’agit d’une détermination heuristique de l’intégrité des fichiers. Une inspection manuelle peut être effectuée. De plus, des outils automatiques sont disponibles gratuitement à cet effet. Non seulement pour les fichiers principaux, mais des sommes de contrôle sont également disponibles pour les plugins et les thèmes. De plus, vous pouvez maintenir une liste noire personnelle. Cela peut être fait en utilisant des listes disponibles dans le domaine public. Une fois que les sommes de contrôle ne correspondent pas, procédez manuellement pour supprimer les portes dérobées WordPress.

Besoin d’une aide professionnelle pour supprimer WordPress Backdoors? Envoyez-nous un message sur le widget de chat et nous serons heureux de vous aider. Réparer mon site WordPress maintenant .

Intégrité des fichiers de base

Deuxièmement, après que les fichiers affichent différentes valeurs de somme de contrôle, inspectez-les manuellement. Il est très probable que le piratage de porte dérobée WordPress aurait altéré des fichiers. Ainsi, l’intégrité des fichiers d’installation peut être vérifiée. Commencez par télécharger une nouvelle copie de WordPress.

$ mkdir WordPress

$ cd WordPress

Cette commande a créé un répertoire nommé WordPress et basculé vers celui-ci.

$ wget https://github.com/WordPress/WordPress/archive/4.9.8.zip 

$ tar -zxvf 4.9.8.zip

Téléchargez maintenant la dernière version de WordPress (4.9.8 dans ce cas) en utilisant la première ligne de code. La deuxième ligne l’extrait ensuite. Après avoir terminé ces tâches, vient l’étape critique. $ diff -r path/to/your/file.php  /Wordpress/wp-cron.php . Ce code compare la différence entre les deux fichiers. Étant donné que la porte dérobée WordPress aurait modifié vos fichiers, cela affichera les modifications. Cependant, quelques fichiers sont dynamiques comme le xmlrpc.php . Ce fichier aide les utilisateurs et les services à interagir avec le site via RPC. Les pirates le savent et essaient souvent de cacher la porte dérobée ici. Vérifiez donc soigneusement pour trouver et supprimer les portes dérobées WordPress.

Encodages

Parfois, les fichiers peuvent être modifiés mais peuvent vous être illisibles. Ensuite, vous pouvez commencer le nettoyage du hack de porte dérobée WordPress en recherchant des encodages base64 . C’est là que la grep commande peut faire des merveilles. Utilisez la commande suivante:

find . -name "*.php" -exec grep "base64"'{}'\; -print &> output.txt

Cette commande listera soigneusement toutes les détections base64 dans output.txt. À partir de là, vous pouvez le décoder en texte clair à l’aide d’ outils en ligne . Aussi, si vous souhaitez rechercher dans des fichiers autres que .php simplement remplacer le mot *.php dans le code. De plus, le code malveillant pourrait également être au format hexadécimal. Vous pouvez donc utiliser grep -Pr "[\x01\x02\x03]" . Pour d’autres encodages similaires, répétez cette étape. Supprimez ces fichiers ou lignes de code malveillant pour supprimer les portes dérobées WordPress.

Utilisation des journaux du serveur

Les journaux du serveur peuvent aider à supprimer les portes dérobées WordPress. Tout d’abord, vous devez voir quels fichiers ont été modifiés après une date spécifique. Parcourez également les journaux FTP pour voir les adresses IP utilisées pour vous connecter à votre serveur. Gardez un onglet sur les fichiers récemment modifiés. Recherchez également le dossier d’images. Personne ne s’attend à ce que les exécutables soient présents dans les dossiers d’images. En outre, le dossier d’image peut être accessible en écriture. C’est pourquoi les pirates adorent s’y cacher. Assurez-vous également que les autorisations sont appropriées pour les fichiers sensibles. Définissez ainsi vos autorisations de fichier sur 444 (r–r–r–) ou peut-être 440 (r–r—–) . Voir spécifiquement pour toute modification dans le dossier images.

Mise à jour et sauvegarde

L’importance de la mise à jour de votre site Web WordPress a été soulignée à maintes reprises. Une installation obsolète est aussi bonne qu’une installation infectée.

Si vous ne parvenez pas à retracer la cause du piratage de la porte dérobée WordPress, restaurez-le à partir de la sauvegarde, uniquement après avoir pris la sauvegarde du site actuel, puis comparez les deux.

Si vous n’avez pas de sauvegarde existante et que vous souhaitez remplacer les fichiers WordPress principaux par les nouveaux. Pour cela, vous devez mettre à jour votre site Web WordPress manuellement après avoir effectué la sauvegarde du site actuel.

De plus, si une vulnérabilité est signalée avec les plugins que vous utilisez, il est recommandé de les mettre à jour immédiatement. Si le patch prend trop de temps, remplacez-le par les alternatives. Il est recommandé de rester à jour avec les blogs officiels pour obtenir les correctifs au plus tôt.

Utilisez WordPress Backdoor Scanner

Les humains sont sujets aux erreurs. L’inspection manuelle est fastidieuse et sujette à des erreurs. Cela peut provoquer le piratage de la porte dérobée de WordPress. La solution est donc l’automatisation. Il existe aujourd’hui des outils assez avancés sur le marché. Ces scanners peuvent détecter et supprimer les backdoors WordPress. Un tel est le nettoyeur de logiciels malveillants Astra . Non seulement il nettoiera votre site Web, mais il le protégera contre de futures infections. Son prix est raisonnable et vous donne une vue complète. Cela économiserait vos précieuses ressources et votre temps!