Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Информационная безопасность

Взлом редиректа WordPress – не могу понять, как они это сделали [закрыто]

На чтение 5 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Фон и контекст
  4. Возможные причины и сканирование
  5. Удаление угрозы и восстановление
  6. Заключение

Вопрос или проблема

У меня есть небольшой сайт на WordPress, и он начал перенаправлять в неожиданных местах. Я проверил контрольные суммы с помощью wp core verify-checksums и то же самое для плагинов. Проблема в том, что внешние проверщики перенаправлений не находят ничего, потому что перенаправляет только когда я вхожу в систему.

После того как я вхожу в систему, устанавливается плагин (sabai, sabai-discuss) ultr-seo-processor-wp.zip, который я не устанавливал. Я не понимаю, как это возможно, если контрольные суммы подтверждаются.

У меня есть тема (Unicorn 2.1.3) и платный плагин, который не проверяется на наличие контрольных сумм. Тема является основным подозреваемым, потому что ее не обновляли уже долгое время.

Существуют ли оффлайн-сканеры, которые будут работать без запуска веб-сервера?

Если я не найду лучшее решение, я думаю избавиться от темы, но sabai и sabai-discuss являются ключевыми компонентами, поэтому я ищу решение для очистки того, что они добавили, но не знаю, как это найти.

Я также хотел бы сохранить измененную тему, потому что она работает очень хорошо, и все к ней привыкли.

Как мне следует подойти к поиску того, что они добавили? Я предполагаю, что в теме есть какие-то вызовы к API WordPress в панели администратора, которые вызывают установку плагина. Что нужно grep?

Моя главная надежда здесь в том, что это автоматизированный взлом, который некоторые из вас видели в своих проектах.

Я нашел несколько файлов с названиями вроде “hidden.php”, которые были добавлены хакером, и я удалил их, но проблема остается. Поэтому я прошу совета, на что обратить внимание.

Я также проверил временную метку свежескачанного zip-файла ultra-seo-processor-wp.zip и изучил логи nginx. Запросов не было, кроме как от меня, войдя в панель администратора, поэтому я думаю, что в некоторых файлах темы должны быть добавлены вызовы API WP.

Ответ или решение

Ваша ситуация с взломом WordPress и несанкционированными перенаправлениями очень серьезна и требует тщательного расследования. Рассмотрим ключевые моменты, которые помогут вам диагностировать и устранить проблему.

Фон и контекст

Вы столкнулись с несанкционированной установкой плагина на своем сайте WordPress, а также с перенаправлениями, которые происходят только после входа в систему. Некоторые из файлов, добавленных злоумышленником, имеют названия, как «hidden.php», что указывает на попытку скрыть свои действия и присутствие.

Возможные причины и сканирование

  1. Проблемы с безопасностью темы:

    • Так как ваша тема (Unicorn 2.1.3) не обновлялась долгое время, это может быть причиной уязвимости. Забеленные файлы могут содержать вредоносный код, который позволяет злоумышленнику произвольное исполнение кода при входе в панель управления WordPress.

  2. Местоположение вредоносного кода:

    • Обязательно проверьте файлы вашей темы (в каталоге /wp-content/themes/). Обратите особое внимание на файлы functions.php, а также на файлы и папки, которые не относятся к стандартной структуре темы.
    • Используйте команду grep для поиска подозрительных вызовов, например: 
      grep -r "exec(" wp-content/themes/Unicorn
grep -r "system(" wp-content/themes/Unicorn
grep -r "shell_exec(" wp-content/themes/Unicorn
grep -r "eval(" wp-content/themes/Unicorn

  3. Плагины:

    • Проблема также может быть связана с плагинами. Вы упомянули плагин sabai-discuss, который в сочетании с другими плагинами мог служить вектором атаки, например, через незащищенные API вызываемые при входе.
    • Проверьте папку /wp-content/plugins/ на наличие подозрительных файлов, особенно в папках установленных плагинов.

  4. Логи и мониторинг:

    • Проверьте логи сервера и WordPress (например, debug.log, если включен режим отладки). Логи могут показать, какие вызовы и действия выполнялись в это время.
    • Обратите внимание на логи Nginx — отсутствие подозрительных запросов может указывать на вредоносные вызовы, происходящие непосредственно в PHP.

Удаление угрозы и восстановление

  1. Сканирование системы:

    • Используйте оффлайн-сканеры или инструменты, такие как Wordfence, Sucuri или MalCare, которые могут помочь выявить угрозы без обращения к веб-серверу.

  2. Обновление и замена:

    • Рассмотрите обновление темы и плагинов до последних версий. Если у вас есть резервные копии до появления проблемы, вы можете рассмотреть вариант восстановления сайта из этих резервных копий.
    • В этом контексте важно помнить о сохранении всех данных и настройках, чтобы избежать потери ценной информации.

  3. Защищенность системы:

    • Убедитесь, что доступ к админ-панели защищен надежным паролем и двухфакторной аутентификацией.
    • Установите плагины для безопасности и мониторинга, которые будут отслеживать изменения файлов и попытки взлома.

Заключение

Ваше намерение сохранить работу плагинов sabai и sabai-discuss понятно, однако важно тщательно проверить весь код на наличие уязвимостей. Используйте представленные методы для выявления источника проблемы и ее устранения. Параллельно, учтите необходимость модернизации системы, включая регулярные обновления всех компонентов WordPress для обеспечения максимальной безопасности.

Если у вас будут дополнительные вопросы или потребуется помощь в процессе устранения угрозы, не стесняйтесь обращаться за помощью к специалистам в области кибербезопасности.

wordpress
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности