WordPress malware vizsgálat
Honnan tudhatom biztosan, hogy vírusos a WordPress oldalam?
Honnan tudhatom biztosan, hogy vírusos a WordPress oldalam?
Azt biztosan megállapítani, hogy vírusos-e a WordPress oldalad, nem mindig lehet egyetlen gyors scanner futtatásával. Sok fertőzés látványos: átirányítás, Google figyelmeztetés, idegen admin vagy spam tartalom jelenik meg. Más fertőzés viszont csendben marad, és csak akkor aktiválódik, ha Googlebot, mobil látogató vagy egy bizonyos országból érkező felhasználó nyitja meg az oldalt.
Az is gyakori, hogy egy oldal első ránézésre tisztának tűnik, de maradt rajta backdoor, kamu bővítmény, rejtett admin felhasználó vagy időzített feladat. Ezek miatt a fertőzés később visszatérhet, még akkor is, ha a látható malware eltűnt.
Ha biztosra akarsz menni, nem csak azt kell kérdezni, hogy "talált-e valamit a scanner", hanem azt is, hogy van-e olyan mechanizmus, amin keresztül a támadó visszajöhet.
Látható jelek
Ezeknél nagy eséllyel fertőzésről van szó:
- az oldal más weboldalra irányít,
- Google Ads rosszindulatú szoftvert jelez,
- vírusirtó figyelmeztet,
- idegen nyelvű találatok vannak a Google-ben,
- ismeretlen admin jelent meg,
- új, ismeretlen plugin aktív,
- a tárhelyszolgáltató letiltotta a fiókot,
- kéretlen popup vagy script jelenik meg,
- váratlan PHP fájlok vannak az
uploadskönyvtárban.
Ha az oldaladat épp feltörték, először kövesd az első 30 perces incidenskezelési tervet. Utána jöhet a mélyebb bizonyosság.
Miért lehet fertőzött egy látszólag tiszta oldal?
Egy támadó nem mindig akar azonnal látványos kárt okozni. Gyakran elég neki egy visszajárat, amellyel később újra beléphet.
Tipikus rejtett maradványok:
- backdoor PHP fájl,
- hamis vagy módosított plugin,
mu-plugin, ami nem látszik a normál pluginlistában,- ismeretlen admin felhasználó,
- application password,
- módosított
.htaccess, - adatbázisba injektált JavaScript,
- cron esemény, amely újra létrehozza a malware-t,
- módosított sablonfájl,
- ellopott FTP vagy tárhely jelszó.
Ezért fordul elő, hogy valaki "kitisztítja" az oldalt, majd pár nap múlva minden visszajön. Erről részletesebben írtunk a WordPress újrafertőződés okairól.
Mit nézz meg fájlszinten?
Kezdd a szokatlan helyekkel:
wp-content/uploads/
wp-content/cache/
wp-content/mu-plugins/
wp-content/plugins/
wp-content/themes/
Az uploads alatt normál esetben nem kellene futtatható PHP fájloknak lenniük. A mu-plugins könyvtár különösen fontos, mert az ott lévő fájlok automatikusan betöltődnek, és nem feltétlenül jelennek meg úgy, mint a hagyományos bővítmények.
Gyanús minták:
eval(...)
base64_decode(...)
assert(...)
shell_exec(...)
passthru(...)
Ne csak a fájl dátumára támaszkodj. A módosítási idő hamisítható, és egy támadó régi dátumra is állíthatja a fájlt.
Mit nézz meg az adatbázisban?
Az adatbázisban ellenőrizd:
- admin jogosultságú felhasználók,
- application passwordök,
wp_optionsgyanús scriptjei,- aktív pluginok listája,
- ismeretlen cron események,
- spam bejegyzések,
- widgetekbe vagy menükbe injektált kód,
- SEO mezőkbe rejtett spam.
Egy fertőzés nem mindig fájlban lakik. Előfordul, hogy a rosszindulatú JavaScript az adatbázisból kerül minden oldalra.
Miért nem elég egy scanner?
A scanner hasznos, de minták alapján dolgozik. Ha a kód új, obfuszkált, feltételesen aktiválódik, vagy legitim pluginba van beépítve, könnyen átcsúszhat. Ezért fordulhat elő, hogy Wordfence szerint tiszta az oldal, mégis fertőzött.
A biztosabb válaszhoz több forrás kell:
- fájleltérés-vizsgálat,
- adatbázis-audit,
- naplóelemzés,
- felhasználó- és jogosultság-ellenőrzés,
- HTTP kérések vizsgálata,
- Search Console jelzések,
- külső nézőpontból végzett tesztelés.
Hogyan lehet nagy bizonyossággal lezárni?
Akkor lehetsz közel biztos a tiszta állapothoz, ha:
- nincs ismeretlen admin vagy application password,
- a core fájlok hivatalos forrásból származnak,
- a pluginek és sablonok tiszta forrásból újratelepítve vannak,
- nincs PHP fájl az
uploadsalatt, - a
mu-pluginstartalma ismert, - a cron események indokoltak,
- a naplókban nincs gyanús POST vagy közvetlen PHP hívás,
- a Google és külső ellenőrzők nem látnak spamet,
- a jelszavak és kulcsok cserélve vannak,
- néhány nap monitorozás után sem tér vissza semmi.
Ha biztosra akarsz menni, válaszd a WebShield WordPress védelmet. A tisztítás után folyamatos naplózás, mentés, monitorozás és szakértői háttér segít abban, hogy ne csak egyszer tűnjön tisztának az oldal, hanem tartósan védett is legyen.
Összefoglalás
Egy WordPress oldal attól még nem biztosan tiszta, hogy a főoldal jól néz ki, vagy egy scanner nem talált semmit. Backdoor, kamu bővítmény, ismeretlen admin, adatbázisba rejtett kód vagy időzített feladat bármikor visszahozhatja a fertőzést. A biztosabb válaszhoz fájl-, adatbázis-, jogosultság- és naplóvizsgálat kell.