Wie

Question

Gut, korrupt PHP oder WP-Dateien in Wordpress-Website zu finden, ist dies ein bisschen ein Problem:

ich einen Job mit einem IT-Unternehmen (Small Business-Ebene) vor kurzem bekam, und sie tun ein wenig Web Entwicklung. Ursprünglich hatte der Chef einen freiberuflichen Entwickler von Drittanbietern, der eine Website für einen Großkunden erstellte. Er war unzufrieden mit seinem Dienst, also überreichte er es mir (die Website verwalten, Dinge ändern usw.). Ich habe festgestellt, dass die Website für Spam auf der Blacklist steht und dass es sich um das sogenannte "StealRat Botnet" handelt. Ich habe etwas gelesen und festgestellt, dass es normalerweise im Ordner wp-content/plugins und/oder in PHP-Dateien gefunden wird, die nicht dort sein sollten.

Zuhause bin ich auf einer Linux-Maschine, also kann ich in den Server sftp (auch mit Filezilla für GUI). Hat jemand irgendwelche Tipps, wie ich diese korrupten Dateien verfolgen und loswerden kann? Ich habe versucht, Dateien zu durchsuchen, aber ich weiß nicht, wonach ich suche. Jede Hilfe wird geschätzt, weil dies ein großes Problem ist.

Answer 1

Die meisten der beschädigten WordPress-Websites sind auf bösartige Themen und/oder Plugins zurückzuführen.

Versuchen für jedes Auftreten von exec(base64_decode( und eval( Suche in Ihre PHP-Dateien sowohl in Ihrer wp-content/themes und wp-content/plugins Verzeichnisse (wie diejenigen, die am häufigsten Schnipsel versteckt in bösartige Dateien sind), dass eine sein sollte, guter Start.

Wenn Sie wissen, wenn die Website infiziert wurde, können Sie auch nach Dateien zu suchen versuchen, in dieser Zeit bearbeitet oder hinzugefügt werden (einfach in SSH zu tun, wenn Sie den Zugriff auf den Server haben)

Viel Glück für Sie Ich musste vor kurzem mehrere WordPress Seiten putzen, das war kein Kuchenspaziergang.

Answer 2

Zuerst machen Sie eine Sicherung und testen Sie, dass die Wiederherstellung aus dem Backup-Betrieb funktioniert !!

1. Wenn dies bekannte Malware ist, können Sie sich einen Malware-Scanner ansehen. Eine freie Open-Source-Option ist Maldet from rfxn. Ich habe keine Links zu diesem Projekt, und ich weiß nicht, wie gut es funktioniert, aber es kann so eingestellt werden, täglich zu scannen (Cron-Job) und Berichte per E-Mail zu senden, und es aktualisiert seine Signaturen auch täglich.

2. Härten Sie Ihre PHP-Installation, indem Sie Funktionen deaktivieren, die von normalem Code nicht erwartet werden. Verwenden Sie this cheat sheet, um loszulegen.

3. Das Sortieren von Dateien nach dem Erstellungsdatum kann hilfreich sein. Wenn die Website seit einiger Zeit nicht geändert wurde, sollten die letzten Dateien überprüft werden. Wenn Sie wissen, wann die Infektion aufgetreten ist, dann verwenden Sie diese Informationen definitiv, um Dateien zu bearbeiten.

4. Um sicher zu sein, können Sie die Ausführung aller PHP-Dateien standardmäßig verweigern und nur die auf einer genehmigten Liste zulassen. See my answer here für Inspiration. Um eine Whitelist von "guten" Dateien aufzubauen, würde ich auto_append_file in php.ini aktivieren. Diese Datei wird am Ende jeder Skript-Sitzung ausgeführt (docs). Innerhalb der Datei können Sie mit der Funktion get_included_files eine Liste aller ausgeführten Dateien abrufen. Wenn Sie diese Liste in ein Protokoll schreiben und dann jede nicht infizierte Seite der Website durchsuchen, erhalten Sie eine Liste aller legitimen PHP-Dateien. Das ist deine Whitelist !! Sobald Sie es haben, verwenden Sie die auto_prepend_file (auch in php.ini gesetzt), um PHP zu blockieren, das nicht auf dieser Liste gehört. Wenn die Angreifer das nächste Mal versuchen, ein PHP-Skript auszuführen, wird die auto_prepend_file, die immer zuerst ausgeführt wird, dies blockieren.

5. Jedes Stück Software erhöht Ihre Angriffsfläche, also deinstallieren Sie alle nicht verwendeten Plugins. Aktualisieren Sie alles, was gerade verwendet wird. Wenn möglich, aktivieren Sie die automatische Aktualisierung (ich bin nicht vertraut mit Wordpress, aber das ist ein allgemein sicherer Sicherheitstipp)