Come codificare shukati senza antivirus e scanner. Diario di bordo

La verità della vita è tale che il sito può essere malvagio all'inizio. Dopo lo sfruttamento riuscito, l'hacker cerca di nascondersi sul sito, ospitando le shell web degli hacker nelle directory di sistema, zavantazhuvachi e provazhuyuchi backdoor nel codice dello script e nel database CMS.

Gli scanner aiutano a rilevare truffe di shell web, backdoor, pagine di phishing, spam-spamware e altri tipi di script criptati, tutti quelli che possono essere aggiunti al database di firme di codici criptati. Alcuni scanner, ad esempio AI-BOLIT, possono raccogliere regole euristiche, che consentono di rilevare file con codice sospetto, che spesso si trova in script scadenti, o file con attributi sospetti, che possono essere dirottati dagli hacker. Ma, purtroppo, è necessario ricordare quanti scanner presenti sull'hosting, ci sono situazioni possibili, se alcuni script hacker non vengono rilevati, il che in realtà significa che l'attaccante ha perso la "testa nera" e puoi hackerare il sito e prenderne di nuovi controllo su di esso - che momento.

Tali hack e script di hacker sono risorti in modo significativo in silenzio, come 4-5 anni fa. Allo stesso tempo, i rivenditori di codice shchidly combinano offuscamento, crittografia, decomposizione, inganno di codice shkidly e altri trucchi per ingannare il software antivirus. Pertanto, la possibilità di saltare nuovi “skidnik” è significativamente più alta, più bassa prima.

Con cosa puoi fare a questo particolare tipo per un rilevamento più efficace dei virus sui siti Web e degli script degli hacker sull'hosting? È necessario risolvere un processo complesso: prima scansione automatizzata e ulteriore analisi manuale. Questo articolo parla delle opzioni per la visualizzazione di un codice codificato senza scanner.

Sulla parte posteriore della testa, possiamo vedere quale sarà la prossima battuta sul male.

1. Script hacker.
   In caso di male, i file vengono spesso dirottati, che sono shell web, backdoor, "zavantazhuvachi" (caricatori), script per estensioni di spam, pagine di phishing + moduli, porte e marcatori di file per il male (immagini dal logo di un hacker gruppo, file di testo dai "messaggeri" agli hacker toshcho)
2. Inietta (fornendo il codice) nei file principali.
   Un altro tipo popolare di distribuzione di codice hacker e codice hacker è l'iniezione. A File di informazioni Il sito .htaccess può implementare reindirizzamenti mobili e basati sul Web, gli script php/perl possono iniettare backdoor, i modelli js e .html possono implementare frammenti di virus javascript o reindirizzamenti a risorse di terze parti. Possibili iniezioni nei file multimediali, ad esempio. Di frequente codice incertoè costituito da componenti della decalcomania: il codice della decalcomania stesso viene salvato nell'intestazione exif file jpg e cerchiamo l'aiuto di un piccolo script criptico, il cui codice non vediamo è sospetto per lo scanner.
3. Iniezioni di database.
   Il database è il terzo metodo per un hacker. Qui puoi inserire inserti statici

   I chroback XSS introdotti sono solo alcuni degli annunci anonimi sull'organizzazione di una competizione per il chroback JavaScript minimo (più corto) più corto (sotto la borsa del concorso) da parte di Robert Hansen (alias RSnake) nel settembre 2008.

   Segni di attacchi XSS

   Uno script XSS è un programma che accede a oggetti DOM (Document Object Model) ea tali metodi. È improbabile che io sia shkidlivy altrimenti. Ad esempio, una riga JavaScript
   onckick="var a = "xss""
   non attenersi al modello a oggetti del documento, quindi, essendo introdotta nel tag html, tale riga non è ostinata. Semplicemente manipolando gli oggetti del documento html con questi metodi, l'hacker distruggerà il sito. Ad esempio, una riga
   onmousemove="document.getElementsByTagName("body").innerHTML="XSS""
   già sostituire i lati.

   Il segno del segno per i metodi DOM sono tutti gli archi a tutto sesto, così come i punti che stanno per mancini nel segno dell'uguaglianza. Gli archi a tutto sesto possono essere goffrati in html - per impostare il colore del formato RGB() Tuttavia, il colore del carattere e il colore dello sfondo in HTML sono specificati in almeno tre modi. Per questo, le braccia rotonde possono essere donate al testo html senza danneggiarne la fattibilità. È necessario accettare come regola che i grilli siano al centro dell'etichetta (a< и >) - è ancora più pericoloso, perché abbiamo rimosso il server di notifica dal koristuvach, in cui gli archi compaiono nel mezzo dei tag, quindi è meglio, se dobbiamo incolpare per questo, bloccando questa notifica.

   Un punto può essere posizionato vicino ai tag html: quando l'indirizzo è impostato, il messaggio viene inviato (tag ); quando si specifica la dimensione degli elementi HTML ( style="altezza: 1,5 pollici; larghezza: 2,5 pollici;"). Ale sequenze simboliche mente
   il punto della lettera è più vecchio
   I tag html non possono. Per l'ovvietà della sequenza specificata nel mezzo del tag html, il promemoria del koristuvach, con grande cura, per vendicare lo script e potrebbe essere bloccato.

   Un altro segno evidente di insicurezza è un simbolo. + Usa il tag centrale. L'html senza script non ha una cosa del genere. Quando viene visualizzato nel mezzo dei tag plus, blocca spietatamente le notifiche.

   Prima di cifrare con primitive simboliche nel mezzo dei tag html, è una buona idea per il sito, che aggiunge un commento per l'aiuto di un editor visivo, non lasciarti trasportare. Non diamo alcun vantaggio alle caratteristiche visivamente additivi dell'espressione delle primitive simboliche nei tag; Il più delle volte, devi pensare, un corrispondente bonario non sa cosa usare come primitive simboliche in html. Nota la regola: la e commerciale al centro del tag è la prova di un attacco al sito. Vidpovidno, yakscho bachimo così, bloccando la notifica.

   Una regola simile è la successiva per accettare e scegliere un simbolo. % ", che può essere bloccato nella codifica dell'URL. Tuttavia, il numero di vikoristovuyutsya e nell'html "puro" - per impostare il vodnoshnikh razmіrіv elementіv. Combinazioni є pericolose, in un tale segno" % seguito da una lettera o un numero senza interruzioni.

   Script del server pronti all'uso

   Secondo gli interpreti JavaScript nei browser, l'interprete php sul server non consente libertà durante la scrittura del testo del programma. Pertanto, per neutralizzare un possibile script del server, è sufficiente modificare completamente il completamento html di tutti i simboli, i significati quando si scrivono programmi php e le loro primitive html. Modifiche, avanti, segni dolar, punti, punti, archi tondi, quadrati e figurati, segni più e meno, barra.

   Filtro PHP per prompt HTML

   $messaggio - trasferimento dall'editor visivo al server di indirizzi html.

   // ricorda l'ora della notifica$lenmessaggio = stringi($messaggio); // cambia il tag del commento$messaggio = preg_replace("//", "", $messaggio); // possiamo cambiare il tag skin, per il quale l'attributo "src" viene applicato alla risorsa originale$messaggio = preg_replace("/<[^>]+?src[\w\W]+\/\/[^>]+?>/i", "", $messaggio); // delimitato da un tag skin, nel qual caso è presente un simbolo, crema: - a-z 0-9 / . : ; " = % # fallito$messaggio = preg_replace("/<[^>]+[^->a-z0-9\/\.\:\;\"\=\%\#\s]+[^>]+?>/i", "", $messaggio); // tag skin deviante, che ha la sequenza ". a-z ="$messaggio = preg_replace("/<[^>]+?\.+?\=[^>]+?>/i", "", $messaggio); // tag skin diverso, che ha la sequenza "% a-z" o "% 0-9"$messaggio = preg_replace("/<[^>]+?\%+?[^>]+?>/i", "", $messaggio); // Tag skin variabile, nel qual caso "script" o "js:"$messaggio = preg_replace("/<[^>]*?script[^>]*?>/i", "", $messaggio); $messaggio = preg_replace("/<[^>]*?js:[^>]*?>/i", "", $messaggio); // Tag skin variabile che si basa sul simbolo crim "a-z" o "/"$messaggio = preg_replace("/<[^a-z\/]{1}[^>]*?>/i", "", $messaggio); // Verifica: se l'allarme è in corto, il programma viene terminato$lenmessaggio2 = stringi($messaggio); if ($lenmessage != $lenmessage2) ( print "Impossibile inviare la notifica"; esci; ) // sdіyshnyuєmо sostituisce scarabocchiato i simboli non sicuri con quelli che li abbinano alle primitive$messaggio = str_replace("$", "$", $messaggio); $messaggio = str_replace("_", "_", $messaggio); $messaggio = str_replace(".", ".", $messaggio); $messaggio = str_replace(chr(92), "\", $messaggio); // \ $messaggio = str_replace("(", "(", $messaggio); $messaggio = str_replace()", ")", $messaggio); $messaggio = str_replace("[", "[", $messaggio); $messaggio = str_replace("]", "]", $messaggio); $messaggio = str_replace("(", "(", $messaggio); $messaggio = str_replace()", ")", $messaggio); $messaggio = str_replace("?", "?", $messaggio); // ora è sovrascritto, script per un nuovo amico

   Quindi, imposta il filtro per vedere i tag guy. Diciamo che abbiamo preso
   

   clicca qui!
   
   Filtra virіzhe tіlki
   , ale guy (chiudi) tag
   sbarazzarsi di. Come promemoria, per quelli che hanno tag senza coppie corrispondenti, per un browser, potrebbe essere inaccettabile per un sito che sembra distorto. Anche se non sai qual è il tag, ciò che dice il browser è chiuso senza una scommessa, chiude il tag. Per questo, e anche per la sicurezza del mirroring, i promemoria, in alcuni casi, è stato utilizzato il filtro, non è stato possibile accedere al browser. È meglio guardare il messaggio "Non è possibile fornire informazioni" e completare il programma.

   Si noti che il messaggio verrà scritto nel file (non nel database).

   discussione

   Sarò grato per le critiche. Scrivi al forum

   Il codice Shkidlivy viene utilizzato sul sito per negligenza o nome malvagio. Assegnazione di un codice shkidlivy a un codice diverso, ma, in effetti, vin to wreck, ovvero influisce sul normale funzionamento del sito. Per ripulire il codice disordinato su WordPress, devi sapere.

   Cos'è il codice sciatto su un sito WordPress

   A prima vista, il codice shkidlivy sta digitando lettere e simboli dell'alfabeto latino. Infatti, il codice di crittografia, per il quale l'altro è vittorioso. Ad esempio, i tuoi nuovi post potrebbero essere pubblicati su una risorsa di terze parti. Fondamentalmente, rubare i tuoi contenuti. Є codice e altri "zavdannya", ad esempio, posizionamento di messaggi del fine settimana ai lati del sito. Zavdannya può essere il più sottile, ma ci si è resi conto che dietro i codici shky è necessario guardare e vedere.

   Come usi il codice shkіdlі sul sito

   Anche le scappatoie per ottenere codici sul sito sono anonime.

   1. Molto spesso, temi e plug-in sono occupati da risorse "sinistra". Sebbene tale penetrazione sia più tipica per i cosiddetti messaggi crittografati. Il codice esplicito non viene utilizzato sul sito.
   2. Penetrazione del virus con un sito malvagio, il più sicuro. Di norma, un sito malvagio può diffondere non solo un "codice monouso", ma anche inserire un codice con elementi malware (programmi dannosi). Ad esempio, conosci il codice e lo vedi e verrai aggiornato dopo un'ora. Opzioni, ancora, impersonali.

   Vorrei ricordarvi che la lotta contro tali virus è importante, ma la conoscenza è essenziale. Ci sono tre aspetti del problema: prima decisione- hackerare plug-in antivirus, ad esempio un plug-in chiamato BulletProof Security.

   Quindi la soluzione è sì Risultati Garni ale vimagaє ora, volendo piccolo. Soluzione più radicale, mitigazione dei codici shkіdlivih, compresi i virus piegati, per ripristinare il sito dal retro della linea copie di backup luogo.

   Quindi, un buon webmaster lavora periodicamente, quindi controlla una versione che non sia infetta, puoi vederla senza problemi. Terza decisione per ricchi e linivih, basta andare in un "ufficio" specializzato o in un individuo fahivtsya.

   Come falsificare il codice su WordPress

   È importante capire che il codice WordPress sciatto può trovarsi in qualsiasi sito di file e non necessariamente in un tema funzionante. Vi si accede con un plugin, con un tema, con un codice "autogenerato" preso da Internet. Puoi provare a conoscere il codice shkidlivy in molti modi.

   Metodo 1. Manualmente. Trasferisci tutti i file sul sito e abbinali ai file di un backup non infetto. Conosci il codice di qualcun altro - vedi.

   Metodo 2. Per ulteriori plug-in di sicurezza di WordPress. Per esempio, . Questo plugin ha una funzione miracolosa, scansionando i file sul sito per la presenza del codice di qualcun altro e il plugin fa un ottimo lavoro con queste attività.

   Metodo 3. Se hai un supporto ragionevole per l'hosting e sai che il sito è "estraneo", chiedi loro di scansionare il tuo sito con il tuo antivirus. Il tuo nome mostrerà tutti i file infetti. Quindi, apri i file qi in editor di testo e puoi vedere il codice shkidlivy.

   Metodo 4. Se puoi utilizzare l'accesso SSH alla directory del sito, vai avanti e crea la tua cucina.

   Importante! In qualche modo, non hai scherzato sul codice shkidlivy, prima di inserire quel codice remoto, chiudi l'accesso ai file sul sito (disattiva la modalità di manutenzione). Ricorda i codici, che ne traggono ispirazione quando sono assenti.

   Cerca codici casuali per la funzione eval

   Є in php funzione di valutazione. Vaughn ti consente di vikonuvat se c'è un codice nella riga її. E il codice può essere codificato. Lo stesso attraverso la codifica del codice shkidlivy sembra un insieme di lettere e simboli. Popolari due codifiche:

   1. base64;
   2. Rot13.

   Ovviamente, in queste codifiche, la funzione eval si presenta così:

   • eval(base64_decode(...))
   • eval (str_rot13 (...)) //paws interni, non capisco l'insieme di lettere e simboli.

   Algoritmo per cercare un codice sciatto dietro la funzione di attacco eval (praticamente dal pannello di amministrazione):

   • vai all'editor del sito (Sunny look→Editor).
   • copia il file functions.php.
   • inserisci yogo in un editor di testo (ad esempio Notepad++) e sussurra la parola: eval.
   • come sai, non avere fretta di vedere nulla. È necessario capire qual è la funzione di "chiedere" per i vikonati. Per capire, il codice deve essere saltato. Per rozkoduvannya є strumenti online, classifica i decoder.

   Decodificatore/Codificatore

   Il decoder Pratsiyuyut è semplice. Copia il codice che devi decifrare, incollalo nel campo del decodificatore e decodificalo.

   Al momento della stesura di questo articolo, non conosco alcun codice crittografato trovato in WordPress. Conoscere il codice dal sito Joomla. Non esiste rozkoduvannya in linea di principio, vendita al dettaglio per rozuminnya. Ci meravigliamo della foto.

   Come si vede nella foto, la funzione eval dopo il rozkoduvannya non ha generato un codice terribile che minaccia la sicurezza del sito, ma criptato da copyright, l'autore del modello. Puoi anche vederlo, ma girati dopo aver aggiornato il modello, quindi non vinci.

   Alla fine, ti rispetterò affinché non porti il ​​virus sul sito:

   • Il codice WordPress sciolto di solito viene fornito con temi e plug-in. Pertanto, non installare modelli e plug-in con risorse "sinistra", non distorte, ma se li installi, pompali rispettosamente, inviali al vykonavchih funzioni php. Dopo aver installato plug-in e tim provenienti da risorse "illegali", riscrivi il sito con gli antivirus.
   • Obov'yazkovo per lavorare con backup periodici e vikonite inshі.

   WordPress è uno dei sistemi di gestione dei contenuti più popolari che vengono utilizzati per una varietà di scopi: dal blog all'e-commerce. Uso ampia scelta plugin e temi per WordPress. Traplyayetsya, scho z tsikh razshiren sperpera per mano dei webmaster dopo, come un intruso, li ha calpestati.

   Per il tuo bene, rimuovi i messaggi pubblicitari in essi contenuti o il codice, per l'aiuto di un tale vino cheruba il tuo sito. Un sacco di koristuvachіv WordPress non ha una grande esperienza per i programmatori web e non sa come agire in una situazione del genere.

   Per loro, ho guardato intorno ai nove più grandi strumenti efficaci per aver rivelato shkіdlivih chin nel codice sito pratsyuyuchy su datkіv scho vstanovlyuyutsya.

   1. Verifica dell'autenticità del tema (TAC)

   Theme Authenticity Checker (Theme Authenticity Checker, TAC) è un plugin per WordPress che scansiona la skin di un tema installato per la presenza di elementi sospetti su un blocco di messaggi invisibili utilizzando un codice crittografato con l'aiuto di Base64.

   Dopo aver mostrato tali elementi, TAC ne informa l'amministratore di WordPress, consentendogli di analizzare in modo indipendente e, se necessario, correggere i file correnti:

   2. Sfrutta lo scanner

   Exploit Scanner esegue la scansione di tutto il codice esterno del tuo sito e oltre al database di WordPress per eventuali inclusioni nascoste. Quindi, proprio come TAC, questo plug-in non zapobіgaє attacchi e non combatte contro i loro attacchi in Modalità automatica.

   In meno mostra segni di infezione all'amministratore del sito. Se vuoi vedere un codice complicato, devi farlo manualmente:

   3. Sicurezza di sicurezza

   Sucuri: una buona soluzione nella stanza di sicurezza di WordPress. Plugin Sucuri Security zdіysnyuє monitoraggio dei file, scho zavantazhuyutsya sul sito WordPress, vede lista di vlasny minacce e consente anche di scansionare in remoto il sito per chiedere aiuto scanner di Kostovnoy Scanner Sucuri SiteCheck. A pagamento è possibile aggiungere ulteriore protezione al sito installando lo schermo rigido del Sucuri Website Firewall:

   4.Anti-malware

   Anti-Malware è un plugin per WordPress, che sa come rilevare script Trojan, backdoor e altro codice.

   Le opzioni di scansione e visualizzazione possono essere personalizzate. Questo plugin può essere presentato in seguito registrazione senza contanti su gotmls.

   Il plug-in si invia regolarmente al sito del raccoglitore di virus, trasmettendo allo stesso le statistiche dei rilevamenti di malware e degli aggiornamenti. Se non desideri installare plug-in sul tuo sito che supportano questo robot, devi utilizzare in modo univoco Anti-Malware:

   5. Protezione del sito antivirus WP

   WP Antivirus Site Protection è un plugin che scansiona tutti i file che entrano nel sito, inclusi i temi WordPress.

   Il plugin può controllare il database delle firme, che viene aggiornato automaticamente tramite il collegamento. Per rimuovere le minacce in modalità automatica, informare l'amministratore del sito e-mail e molto di più.

   Il plugin è installato e funziona gratuitamente, ma potrebbe essere spratto pagato in più, su yakі varto turn rispetto:

   6. Antivirus per WordPress

   AntiVirus per WordPress è un semplice plug-in, creato per scansionare regolarmente il tuo sito e informarti sui problemi di sicurezza della posta elettronica. Il plugin può avere una “lista più”, che può essere configurata, e altre funzioni:

   7. Scanner di malware Web Quterra

   Lo scanner Quterra controlla il sito per la presenza di stranezze, per la verifica di codice di terze parti, virus, backdoor, ecc. Lo scanner può ancora essere possibile, come una scansione euristica, rivelando i messaggi migliori.

   Le funzioni di base dello scanner sono allo stesso tempo gratuite servizio addizionale ti costa $ 60 per registrazione:

   8.Wordfence

   Se stai cercando una soluzione complessa ai problemi di sicurezza del tuo sito, rispetta Wordfence.

   Questo plugin protegge il post-hosting di WordPress da vari tipi di attacchi, autenticazione a due fattori, inserimento nella lista nera dell'indirizzo IP di computer e reti, cracker e spammer vincitori, scansione del sito per rivelare backdoor.

   Questo plug-in è di per sé gratuito versione base, ma potrebbe essere una funzionalità premium, per qualsiasi tipo di selettore ti verrà addebitata una modesta quota di abbonamento:

   9. Wemahu

   Wemahu monitora le modifiche al codice del tuo sito e cerca il codice della password.

   Il database, sulla base del quale viene rilevato il malware, viene reintegrato utilizzando il metodo del crowdsourcing: gli stessi autori lo popolano, prevalendo sui risultati della scansione delle installazioni WordPress infette sul sito web dell'autore del plugin. Il plug-in migliora anche la potenza della posta elettronica zvіtіv e altre funzioni di base.