WordPress malware vizsgálat

Honnan tudhatom biztosan, hogy vírusos a WordPress oldalam?

Honnan tudhatom biztosan, hogy vírusos a WordPress oldalam?

Azt biztosan megállapítani, hogy vírusos-e a WordPress oldalad, nem mindig lehet egyetlen gyors scanner futtatásával. Sok fertőzés látványos: átirányítás, Google figyelmeztetés, idegen admin vagy spam tartalom jelenik meg. Más fertőzés viszont csendben marad, és csak akkor aktiválódik, ha Googlebot, mobil látogató vagy egy bizonyos országból érkező felhasználó nyitja meg az oldalt.

Az is gyakori, hogy egy oldal első ránézésre tisztának tűnik, de maradt rajta backdoor, kamu bővítmény, rejtett admin felhasználó vagy időzített feladat. Ezek miatt a fertőzés később visszatérhet, még akkor is, ha a látható malware eltűnt.

Ha biztosra akarsz menni, nem csak azt kell kérdezni, hogy "talált-e valamit a scanner", hanem azt is, hogy van-e olyan mechanizmus, amin keresztül a támadó visszajöhet.

Látható jelek

Ezeknél nagy eséllyel fertőzésről van szó:

Ha az oldaladat épp feltörték, először kövesd az első 30 perces incidenskezelési tervet. Utána jöhet a mélyebb bizonyosság.

Miért lehet fertőzött egy látszólag tiszta oldal?

Egy támadó nem mindig akar azonnal látványos kárt okozni. Gyakran elég neki egy visszajárat, amellyel később újra beléphet.

Tipikus rejtett maradványok:

Ezért fordul elő, hogy valaki "kitisztítja" az oldalt, majd pár nap múlva minden visszajön. Erről részletesebben írtunk a WordPress újrafertőződés okairól.

Mit nézz meg fájlszinten?

Kezdd a szokatlan helyekkel:

wp-content/uploads/
wp-content/cache/
wp-content/mu-plugins/
wp-content/plugins/
wp-content/themes/

Az uploads alatt normál esetben nem kellene futtatható PHP fájloknak lenniük. A mu-plugins könyvtár különösen fontos, mert az ott lévő fájlok automatikusan betöltődnek, és nem feltétlenül jelennek meg úgy, mint a hagyományos bővítmények.

Gyanús minták:

eval(...)
base64_decode(...)
assert(...)
shell_exec(...)
passthru(...)

Ne csak a fájl dátumára támaszkodj. A módosítási idő hamisítható, és egy támadó régi dátumra is állíthatja a fájlt.

Mit nézz meg az adatbázisban?

Az adatbázisban ellenőrizd:

Egy fertőzés nem mindig fájlban lakik. Előfordul, hogy a rosszindulatú JavaScript az adatbázisból kerül minden oldalra.

Miért nem elég egy scanner?

A scanner hasznos, de minták alapján dolgozik. Ha a kód új, obfuszkált, feltételesen aktiválódik, vagy legitim pluginba van beépítve, könnyen átcsúszhat. Ezért fordulhat elő, hogy Wordfence szerint tiszta az oldal, mégis fertőzött.

A biztosabb válaszhoz több forrás kell:

Hogyan lehet nagy bizonyossággal lezárni?

Akkor lehetsz közel biztos a tiszta állapothoz, ha:

Ha biztosra akarsz menni, válaszd a WebShield WordPress védelmet. A tisztítás után folyamatos naplózás, mentés, monitorozás és szakértői háttér segít abban, hogy ne csak egyszer tűnjön tisztának az oldal, hanem tartósan védett is legyen.

Összefoglalás

Egy WordPress oldal attól még nem biztosan tiszta, hogy a főoldal jól néz ki, vagy egy scanner nem talált semmit. Backdoor, kamu bővítmény, ismeretlen admin, adatbázisba rejtett kód vagy időzített feladat bármikor visszahozhatja a fertőzést. A biztosabb válaszhoz fájl-, adatbázis-, jogosultság- és naplóvizsgálat kell.

Nem szeretnél legközelebb is fertőzést takarítani?

A WebShield folyamatos védelemmel, mentéssel és naplózással segít megelőzni az újrafertőződést.