Como shukati código shkіdly sem antivírus e scanners. Diário de bordo

A verdade da vida é tal que o site pode ser mal desde o início. Após a exploração bem-sucedida, o hacker tenta se esconder no site, hospedando shells da web do hacker nos diretórios do sistema, zavantazhuvachi e inserindo backdoors no código do script e no banco de dados do CMS.

Os scanners ajudam a detectar golpes de shell da web, backdoors, páginas de phishing, spam-spamware e outros tipos de scripts codificados - todos aqueles que podem ser adicionados ao banco de dados de assinaturas de códigos codificados. Alguns scanners, como o AI-BOLIT, podem coletar regras heurísticas, que permitem detectar arquivos com código suspeito, que geralmente é encontrado em scripts suspeitos, ou arquivos com atributos suspeitos, que podem ser capturados por hackers. Mas, infelizmente, vale lembrar quantos scanners na hospedagem, existem situações possíveis, se alguns scripts de hackers não forem revelados, o que na verdade significa que o invasor perdeu a “cabeça preta” e você pode hackear o site e assumir novo controle sobre ele - que momento.

Esses hacks e scripts de hackers são significativamente ressuscitados em silêncio, o que foi há 4-5 anos. Ao mesmo tempo, os propagadores do código shkidly combinam ofuscação, criptografia, decomposição, código zvnіshne pіdvantazhennya shkіdly e truques vikoristovuyut inshi para enganar o software antivírus. Portanto, a possibilidade de pular novos “skidniks” é significativamente maior, menor antes.

O que você pode fazer com a este tipo específico para detecção mais eficaz de vírus em sites e scripts de hackers na hospedagem? É necessário resolver um processo complexo: primeiro escaneamento automatizado e posterior análise manual. Este artigo fala sobre as opções para exibir um código codificado sem scanners.

Na parte de trás da cabeça, podemos ver qual é a próxima piada com o mal.

1. Scripts de hackers.
   No caso do mal, é mais comum sequestrar arquivos que são web shells, backdoors, "zavantazhuvachі" (uploaders), scripts para extensões de spam, páginas de phishing + formulários, portas e arquivos-marcadores para o mal (fotos do logo do um grupo de hackers, arquivos de texto de "mensageiros" a hackers toshcho)
2. Injetar (fornecendo o código) nos arquivos principais.
   Outro tipo popular de distribuição de código de hacker e código de hacker é a injeção. NO Arquivos de informações O site .htaccess pode implementar redirecionamentos móveis e baseados na web, scripts php/perl podem injetar backdoors, modelos v.js e .html podem implementar fragmentos de javascript de vírus ou redirecionamentos para recursos de terceiros. Possíveis injeções em arquivos de mídia, por exemplo. Frequentemente código shkidly consiste em componentes de decalque: o próprio código de decalque é salvo no cabeçalho exif arquivo jpg e procure a ajuda de um pequeno script enigmático, cujo código não vemos é suspeito para o scanner.
3. Injeções de banco de dados.
   O banco de dados é o terceiro método para um hacker. Aqui você pode inserir inserções estáticas

   Os chrobacks XSS introduzidos são apenas alguns dos anúncios anônimos sobre a realização de uma competição para o chroback JavaScript mínimo (mais curto) mais curto (sob o saco do concurso) por Robert Hansen (também conhecido como RSnake) em setembro de 2008.

   Sinais de ataques XSS

   Um script XSS é um programa que acessa objetos DOM (Document Object Model) e esses métodos. É improvável que eu seja shkidlivy de outra forma. Por exemplo, uma linha JavaScript
   onckick="var a = "xss""
   não se atenha ao modelo de objeto do documento, portanto, sendo introduzido na tag html, essa linha não é teimosa. Apenas manipulando os objetos do documento html com esses métodos, o hacker do edifício destruirá o site. Por exemplo, uma linha
   onmousemove="document.getElementsByTagName("body").innerHTML="XSS""
   já recoloque as laterais.

   O sinal do sinal para os métodos DOM são todos os arcos redondos, bem como os pontos que ficam à esquerda no sinal de igualdade. Arcos redondos podem ser gravados em html - para definir a cor do formato rgb() No entanto, a cor da fonte e a cor do plano de fundo em HTML são especificadas de pelo menos três maneiras. Para isso, armas redondas podem ser doadas ao html-texto sem prejudicar a viabilidade. É necessário aceitar como regra que as algemas estejam no meio da etiqueta (para< и >) - é ainda mais inseguro, porque tiramos o servidor de notificação do koristuvach, no qual os arcos aparecem no meio das tags, então é mais provável que sejamos culpados por isso - bloqueando essa notificação.

   Um ponto pode ser colocado perto de tags html: quando o endereço é definido, a mensagem é enviada (tag ); ao especificar o tamanho dos elementos HTML ( style="altura:1.5in; largura:2.5in;"). Mente de sequências simbólicas de cerveja
   o ponto da letra é mais velho
   tags html não podem. Para a obviedade da seqüência especificada no meio da tag html, o lembrete do koristuvach, com muito cuidado, para vingar o script e pode ser bloqueado.

   Outro sinal óbvio de insegurança é um símbolo. + Use a etiqueta do meio. HTML sem script não tem tal coisa. Quando exibido no meio das tags mais - bloqueando impiedosamente as notificações.

   Antes de cifrar com primitivos simbólicos no meio de tags html, é bom que o site, que adiciona um comentário para a ajuda de um editor visual, não se empolgue. Não damos nenhuma vantagem a recursos visualmente aditivos da expressão de primitivas simbólicas em tags; Na maioria das vezes, você precisa pensar, um correspondente bem-humorado não sabe o que usar como primitivos simbólicos em html. Observe a regra: o e comercial no meio da tag é a prova de um ataque ao site. Vidpovidno, yakscho bachimo assim, bloqueando a notificação.

   Uma regra semelhante é a próxima a aceitar e escolher um símbolo. % ", que pode ser bloqueado na codificação de url. No entanto, o número de vikoristovuyutsya e no html "puro" - para a tarefa de expansão visual dos elementos. Não é seguro - combinações, em alguns dos sinais" % seguido por uma letra ou um número sem interrupção.

   Scripts de servidor prontos para uso

   Na visão dos interpretadores JavaScript nos navegadores, o interpretador php no servidor não permite liberdade na hora de escrever o texto do programa. Portanto, para neutralizar um possível script de servidor, basta aprofundar a mudança no preenchimento html de todos os símbolos, significados ao escrever programas php e seus primitivos html. Mudanças, para a frente, cifrões, pontos, pontos, arcos redondos, quadrados e figurados, sinais de mais e menos, sinal de barra.

   Filtro PHP para prompt HTML

   $message - transferência do editor visual para o servidor de endereço html.

   // lembra a hora da notificação$mensagem = strlen($mensagem); // altera a tag de comentário$mensagem = preg_replace("//", "", $mensagem); // podemos alterar a skin tag, para a qual o atributo "src" é aplicado ao recurso original$mensagem = preg_replace("/<[^>]+?src[\w\W]+\/\/[^>]+?>/i", "", $message); // delimitado por uma marca de skin, nesse caso há um símbolo, creme: - a-z 0-9 / . : ; " = % # falhou$mensagem = preg_replace("/<[^>]+[^->a-z0-9\/\.\:\;\"\=\%\#\s]+[^>]+?>/i", "", $message); // marca de skin desviante, que tem a sequência ". a-z ="$mensagem = preg_replace("/<[^>]+?\.+?\=[^>]+?>/i", "", $message); // tag de skin diferente, que tem a sequência "% a-z" ou "% 0-9"$mensagem = preg_replace("/<[^>]+?\%+?[^>]+?>/i", "", $message); // Tag de skin variável, nesse caso "script" ou "js:"$mensagem = preg_replace("/<[^>]*?script[^>]*?>/i", "", $mensagem); $mensagem = preg_replace("/<[^>]*?js:[^>]*?>/i", "", $message); // Tag de skin variável que depende do símbolo crim "a-z" ou "/"$mensagem = preg_replace("/<[^a-z\/]{1}[^>]*?>/i", "", $mensagem); // Verificação: se o alarme estiver em curto, o programa é encerrado$mensagem2 = strlen($mensagem); if ($lenmessage != $lenmessage2) ( print "Notificação não pode ser dada"; exit; ) // sdіyshnyuєmо substitui rabiscos símbolos não seguros por aqueles que os combinam com primitivos$mensagem = str_replace("$", "$", $mensagem); $mensagem = str_replace("_", "_", $mensagem); $mensagem = str_replace(".", ".", $mensagem); $mensagem = str_replace(chr(92), "\", $mensagem); // \ $message = str_replace("(", "(", $message); $message = str_replace()", ")", $message); $mensagem = str_replace("[", "[", $mensagem); $mensagem = str_replace("]", "]", $mensagem); $message = str_replace("(", "(", $message); $message = str_replace()", ")", $message); $mensagem = str_replace("?", "?", $mensagem); // agora está sobrescrito, scripts para um novo amigo

   Em seguida, defina o filtro para ver as tags de cara. Digamos que pegamos
   

   Clique aqui!
   
   Filtro virіzhe tilki
   , ale guy (próximo) tag
   livrar-se de. Como lembrete, para aqueles que possuem tags sem pares correspondentes, para um navegador, pode ser inaceitável para um site que pareça distorcido. Mesmo que você não saiba o que é a tag, o que o navegador diz é fechado sem uma aposta, fecha a tag. Para isso, e também para a segurança do espelhamento, lembretes, em alguns casos, foi utilizado o filtro, não sendo possível entrar no navegador. É melhor olhar para a mensagem “A informação não pode ser fornecida” e completar o programa.

   Observe que a mensagem será gravada no arquivo (não na base de dados).

   discussão

   Serei grato pelas críticas. Escreva para o fórum

   O código Shkidlivy é usado no site por negligência ou nome maligno. Atribuição de um código shkidlivy para um código diferente, mas, na verdade, vin para destruir, ou isso afeta o funcionamento normal do site. Para limpar o código confuso no WordPress, você precisa saber.

   O que é código desleixado em um site WordPress

   À primeira vista, o código shkidlivy está digitando letras e símbolos do alfabeto latino. Na verdade, o código de criptografia, pelo qual o outro é vitorioso. Por exemplo, suas novas postagens podem ser publicadas em um recurso de terceiros. Basicamente, roubar seu conteúdo. Є código e outros “zavdannya”, por exemplo, colocação de mensagens de fim de semana nas laterais do site. Zavdannya pode ser o mais sutil, mas percebeu-se que por trás dos códigos shky é preciso olhar e ver.

   Como você usa o código shkіdlі no site

   As brechas para obter códigos no site também são anônimas.

   1. Na maioria das vezes, temas e plug-ins são ocupados com recursos "esquerdos". Embora essa penetração seja mais típica para as chamadas mensagens criptografadas. Código explícito não é usado no site.
   2. Penetração do vírus com um site maligno, o mais seguro. Como regra, um site maligno pode espalhar não apenas um “código único”, mas também inserir um código com elementos de malware (programas maliciosos). Por exemplo, você conhece o código e o vê, e você será atualizado após uma hora. Opções, novamente, impessoais.

   Gostaria de lembrar que a luta contra esses vírus é importante, mas o conhecimento é essencial. Existem três aspectos do problema: primeira decisão- hackear plug-ins de antivírus, por exemplo, um plug-in chamado BulletProof Security.

   Então a solução é sim Resultados Garni ale vimagaє hora, querendo th pequeno. Solução mais radical, mitigação de códigos shkіdlivih, incluindo vírus dobrados, para restaurar o site da parte de trás da linha cópias de segurança local.

   Então, um bom webmaster trabalha periodicamente, então verifique se há uma versão que não está infectada, você pode vê-la sem problemas. Terceira decisão para ricos e linivih, basta ir a um "escritório" especializado ou indivíduo fahivtsya.

   Como falsificar código no WordPress

   É importante entender que o código desleixado do WordPress pode estar em qualquer site de arquivos, e não necessariamente em um tema de trabalho. Vіn pode ser inserido com um plugin, com um tema, com um código "autogerado" retirado da Internet. Você pode tentar conhecer o código shkidlivy de várias maneiras.

   Método 1. Manualmente. Transfira todos os arquivos para o site e emparelhe-os com arquivos de um backup não infectado. Conheça o código de outra pessoa - veja.

   Método 2. Para plugins de segurança adicionais do WordPress. Por exemplo, . Este plugin tem uma função milagrosa, escaneando arquivos no site para a presença de código de outra pessoa e o plugin faz um trabalho maravilhoso com essas tarefas.

   Método 3. Se você tiver um suporte razoável para a hospedagem e souber que o site é “estrangeiro”, peça para eles verificarem seu site com seu antivírus. Seu nome mostrará todos os arquivos infectados. Em seguida, abra os arquivos qi em editor de texto e você pode ver o código shkidlivy.

   Método 4. Se você puder usar o acesso SSH ao diretório do site, vá em frente e tenha sua própria cozinha.

   Importante! De alguma forma, você não brincou com o código shkidlivy, antes de cutucar esse código remoto, feche o acesso aos arquivos do site (desative o modo de manutenção). Lembre-se dos códigos, que são inspirados por eles quando estão fora.

   Procure códigos aleatórios para a função eval

   Є em php função eval. Vaughn permite que você vikonuvat se existe um código na linha її. E o código pode ser codificado. Em si, através da codificação do código shkidlivy, parece um conjunto de letras e símbolos. Duas codificações populares:

   1. base64;
   2. Rot13.

   Obviamente, nessas codificações, a função eval se parece com isso:

   • eval(base64_decode(...))
   • eval (str_rot13 (...)) //patas internas, não entendem o conjunto de letras e símbolos.

   Algoritmo para procurar um código desleixado por trás da função de ataque eval (praticamente no painel de administração):

   • vá para o editor do site (Sunny look→Editor).
   • copie o arquivo functions.php.
   • digite yogo em um editor de texto (por exemplo, Notepad++) e sussurre a palavra: avaliação.
   • como você sabe, não se apresse para ver nada. É necessário entender qual é a função de “pedir” pelo vikonati. Para entender, o código precisa ser explodido. Para ferramentas on-line rozkoduvannya є, classifique os decodificadores.

   Decodificador/Codificador

   O decodificador Pratsiyuyut é simples. Copie o código que você precisa descriptografar, cole-o no campo decodificador e decodifique-o.

   No momento da redação deste artigo, não conheço nenhum código criptografado encontrado no WordPress. Conheça o código do site Joomla. Não há rozkoduvannya em princípio, varejo para rozuminnya. Ficamos maravilhados com a foto.

   Como você vê na foto, a função eval após o rozkoduvannya, não gerou um código terrível que ameaça a segurança do site, mas criptografado por direitos autorais, o autor do modelo. Você também pode ver, mas dê meia volta depois de atualizar o modelo, para não ganhar.

   No final, vou te respeitar para que você não leve o vírus para o site:

   • O código solto do WordPress geralmente vem com temas e plugins. Portanto, não instale modelos e plugins com recursos “esquerdos”, não distorcidos, mas se você os instalar, bombeie-os respeitosamente, envie-os para o vykonavchih funções php. Depois de instalar plugins e tim é de recursos "ilegais", reescreva o site com antivírus.
   • Obov'yazkovo para trabalhar com backups periódicos e vikonite іnshі.

   O WordPress é um dos sistemas de gerenciamento de conteúdo mais populares que são usados ​​para uma variedade de propósitos: de blogs a e-commerce. Usar ampla escolha plugins e temas para WordPress. Traplyayetsya, scho z tsikh razshiren esbanjar nas mãos de webmasters depois, como um intruso, pisoteando-os.

   Para seu próprio benefício, remova as mensagens publicitárias neles ou o código, para a ajuda de tal vinho queruba seu site. Muitos koristuvachіv WordPress não têm uma ótima experiência para programadores da web e não sabem como agir em tal situação.

   Para eles, eu olhei ao redor dos nove maiores ferramentas eficazes para revelar o queixo shkіdlivih no código do site pratsyuyuchy abо datkіv scho vstanovlyuyutsya.

   1. Verificador de autenticidade do tema (TAC)

   Theme Authenticity Checker (Theme Authenticity Checker, TAC) é um plugin do WordPress que verifica a aparência de um tema instalado em busca de elementos suspeitos em um bloco de mensagens invisíveis ou um código criptografado com a ajuda do Base64.

   Tendo mostrado esses elementos, o TAC informa o administrador do WordPress sobre eles, permitindo que ele analise de forma independente e, se necessário, corrija os arquivos atuais:

   2. Explorar Scanner

   O Exploit Scanner verifica todo o código externo do seu site e, além do banco de dados do WordPress, quaisquer inclusões ocultas. Assim, assim como o TAC, este plug-in não zapobіgaє ataques e não luta contra seus ataques em modo automático.

   Vіn menos mostrar sinais de infecção para o administrador do site. Se você quiser ver um código complicado, você deve fazê-lo manualmente:

   3. Segurança da Sucuri

   Sucuri - uma boa solução na sala de segurança do WordPress. Plugin Sucuri Security zdіysnyuє monitoramento de arquivos, scho zavantazhuyutsya no site WordPress, vede lista vlasny ameaças e também permite que você verifique remotamente o site para obter ajuda scanner Kostovnoy Scanner Sucuri SiteCheck. Por uma taxa de assinatura, você pode adicionar proteção adicional ao site instalando a tela física do Sucuri Website Firewall:

   4.Anti-Malware

   Anti-Malware é um plugin para WordPress que sabe como detectar scripts de Trojan, backdoors e outros códigos.

   As opções de digitalização e visualização podem ser personalizadas. Este plugin pode ser apresentado mais tarde registro sem dinheiro em gotmls.

   O plug-in envia-se regularmente para o site do coletor de vírus, transmitindo as estatísticas de detecções de malware e atualizações para ele. Se você não quiser instalar plug-ins em seu site que suportem esse robô, precisará usar exclusivamente o Anti-Malware:

   5. Proteção de sites antivírus WP

   WP Antivirus Site Protection é um plugin que verifica todos os arquivos que entram no site, incluindo temas do WordPress.

   O plugin pode controlar o banco de dados de assinaturas, que é atualizado automaticamente através do link. Він вміє remover ameaças no modo automático, informar o administrador do site o email e muito mais.

   O plugin é instalado e funciona sem custo, mas pode ser espadilha pago adicional, em yakі varto virar respeito:

   6. Antivírus para WordPress

   O AntiVirus para WordPress é um plug-in simples criado para verificar regularmente seu site e mantê-lo informado sobre problemas de segurança de e-mail. O plugin pode ter uma “lista mais”, que pode ser configurada, e outras funções:

   7. Verificador de Malware da Web Quterra

   O scanner Quterra verifica o site quanto à presença de peculiaridades, verificação de código de terceiros, vírus, backdoors, etc. A varredura ainda pode ser possível, como uma varredura heurística, revelando as melhores mensagens.

   As funções básicas do scanner são gratuitas, ao mesmo tempo servico adicional custar-lhe $ 60 por rec:

   8. Wordfence

   Se você está procurando uma solução complexa para os problemas de segurança do seu site, respeite o Wordfence.

   Este plugin protege a pós-hospedagem do WordPress contra vários tipos de ataques, autenticação de dois fatores, lista negra de endereços IP de computadores e redes, crackers vitoriosos e spammers, varredura do site para revelar backdoors.

   Este plug-in é gratuito por si só versão básica, mas pode ser uma funcionalidade premium, para qualquer tipo de selecionador, será cobrada uma modesta taxa de assinatura:

   9. Wemahu

   O Wemahu monitora as alterações no código do seu site e procura o código da senha.

   O banco de dados, com base no qual o malware é detectado, é reabastecido pelo método de crowdsourcing: os próprios autores o preenchem, substituindo os resultados da verificação de instalações infectadas do WordPress no site do autor do plug-in. O plugin também aumenta o poder do e-mail zvіtіv e outras funções básicas.