Cum sa cureti un site infectat si cum sa previ ca hack-ul sa nu se intample in primul rand.

Cum sa cureti un site infectat si cum sa previ ca hack-ul sa nu se intample in primul rand.


    Adesea, proprietarilor de site-uri web li se intampla ca infractorii cibernetici sa „preia” site-ul aratandu-le vizitatorilor reclame pentru medicamente de potenta sau pur si simplu folosind site-ul lor (gazduirea lor) pentru a trimite e-mailuri SPAM.
Daca si site-ul dvs. este infectat, intrebarea cheie pe care o aveti este, cum sa curatati site-ul de software rau intentionat?
Raspunsul este simplu, deloc.
Malware-ul este foarte greu de curatat (iti voi explica de ce), dar exista o alta solutie.

  Sa vedem mai intai cum infecteaza infractorii cibernetici site-urile web in general.

Exista doua modalitati, cele mai comune prin care infractorii cibernetici pot obtine acces la un site:

Prima modalitate este sa permiteti CMS-ului site-ului dvs. (fie ca este WordPress, Joomla, Drupal sau altceva) sa nu fie actualizat luni sau ani. CMS este un software, este complex si se intampla adesea ca dezvoltatorii sa faca greseli. Aceste erori sunt remediate de indata ce sunt descoperite, iar daca actualizati regulat CMS-ul (vom lua WordPress ca exemplu) si pluginurile sale atunci nu trebuie să va faceti griji. Dar daca nu va actualizati WordPress si pluginurile, acele erori vor continua sa existe pe site-ul dvs. Infractorii cibernetici parcurg pe rand toate site-urile și verifica daca exista vreuna dintre vulnerabilitatile cunoscute pe site. Ei gasesc lacuna, isi introduc scriptul in site-ul tau și apoi incepe „partyul”.

O alta modalitate prin care infractorii cibernetici intra pe site este prin pluginuri și teme „nulate”. Acestea sunt acele teme și pluginuri care sunt comerciale și sunt platite altfel, dar tu (sau cineva care a construit site-ul tau) s-ar putea sa le fi descarcat „gratuit” pe un site warez, nu le-ai cumparat. Ei bine, toate acele teme și pluginuri, pentru care sunt platite in mod normal si pe care le-ati descarcat gratuit, de fapt nu sunt atat de „gratuite” – criminalii cibernetici va taxeaza pentru asta, doar putin mai tarziu. In aproape toate aceste pluginuri si teme „nule”, infractorii cibernetici adauga un „cadou” ascuns – software-ul lor rau intentionat, care ulterior le permite sa intre pe site-ul unde este instalata tema sau pluginul „nulat”.

  De ce este greu sa curatati programele malware?

In primul rand, este de obicei bine ascuns, este adesea localizat in mijlocul unui fișier PHP și arata ca o parte complet legitima a codului, ca parte integranta a unui plugin sau a unei teme.
Pentru ca infractorii cibernetici sa creeze o „usa din spate” au nevoie de multe ori doar de o singura linie de cod PHP – de aceea este mult mai greu sa gasesti asa ceva.
In al doilea rand, odata ce intra pe site se asigura ca instaleaza „usa din spate” in inca 5-6 locuri de pe site – infecteaza mai multe fisiere PHP selectate aleatoriu in orice folder, plaseaza mai multe scripturi de incarcare in foldere WordPress complet legitime .

Acest lucru ne aduce la problema principala, daca site-ul dvs. este infectat, mai mult ca sigur nu este infectat doar intr-un singur loc ci cel putin in mai multe locuri. Infractorii cibernetici fac acest lucru intentionat, pentru a asigura controlul asupra site-ului, pentru ca daca le descoperi malware-ul intr-un singur loc si il elimini, pot accesa o alta usa din spate.

  Veti petrece ore in sir cautand malware, il veti gasi într-un singur loc, il veti curata, dar au introdus atat de multe linii rau intentionate incat o veti lua de la capat noaptea urmatore cu acelas rezultat.

Deci ai petrecut ore in zadar.
Nu va ajuta sa actualizati intreaga instalare WordPress cu cele mai recente fișiere WordPress – deoarece malware-ul este adesea inserat ca fișier separat – WordPress in sine nu conține acel fisier.

Un alt lucru este ca nu exista nicio modalitate ca software-ul antivirus să detecteze cu certitudine malware, in zilele noastre oricine isi poate scrie propriul cod PHP rau intentionat  si sa foloseasca funcții PHP perfect legitime (fopen, fwrite, file_get_contents) care, ca atare, nu vor fi suspect deloc pentru software-ul antivirus. Software-ul antivirus poate detecta unele lucruri, dar nu aveti absolut nicio garantie ca toate programele malware sunt detectate.

Administratorul serverului poate folosi terminalul Linux pentru a sorta toate fisierele dupa data modificarii, acest lucru poate ajuta la localizarea fisierelor modificate sau nou încarcate – dar din nou nu exista nicio garantie că „usa din spate” nu este in plugin sau temă in sine si ca de fapt nu este acolo permanenta. Asa ca, curatarea fisierelor incarcate și modificate ulterior nu va ajuta  „usa din spate” originala va fi in continuare ingropata adanc intr-un plugin sau tema.

  Ce sa faci atunci?

Restaurarea site-ului dintr-o copie de rezerva poate fi o solutie, dar aici avem o alta problema. Nu sti cu exactitate, “cand” site-ul a fost infectat. Criminalii cibernetici ar fi putut sa-l infecteze acum un an si sa nu efectueze nicio activitate timp de un an, habar nu ai ca site-ul este infectat si apoi sa inceapa brusc sa terorizeze. Vi se pare ca site-ul a fost spart ieri – restaurați backup-ul de acum o luna – dar degeaba – si acel backup de acum o luna contine malware-ul lor.

  Singura decizie corecta este o taiere radicala, iar in esenta este sa stergeti toate fisierele PHP de pe site-ul dvs. (prin FTP), lasati doar imaginile incarcate și fisierul de configurare pentru conectarea la bază (în WordPress este wp-config.php ).

Urmați acești pași:

  1. Prin FTP, ștergeti TOATE fisierele de pe site (dar absolut totul) cu exceptia fisierului wp-config.phpși a folderului /wp-content/uploads/ (nu stergeti imaginile incarcate)
    ce ramane este fișierul wp-config .php și folderul /wp-content/uploads/
  2. Prin FTP, deschideti fișierul wp-config.phpintr-un editor (de exemplu, Notepad++) și asigurati-va ca nu a fost introdus niciun cod care sa arate ca o gramada de litere amestecate sau cod PHP despre care sunteti sigur că nu face parte din WordPress și este malware. Daca vedeți malware, stergeti întregul bloc cu malware. Activati „Word wrap” in editor pentru a nu pierde malware-ul daca este plasat dupa al sutelea caracter din linie, in spatele campului vizibil (in Notepad++ este în meniul „View” -> „Word wrap” ). Daca nu sunteti sigur ce este in acel fisier – puteți vedea cum arata un fisier wp-config.php normal aici – https://generatewp.com/wp-config/ – si putesi genera un wp-config nou-nouț .php pentru site-ul dvs. (doar introduceți detaliile de conectare MySQL).
  3. FTP în folderul /wp-content/uploads/si apoi aruncati o privire în fiecare dintre subfolderele sale (precum și subfolderele subfolderelor). Sortati fisierele dupa tipul de fișier (după extensie) și verificati BINE sa nu existe fisier .php in niciun subfolder. 
  4. Daca il vedeti, stergeti-l imediat, pentru ca in 99,99% din cazuri este malware.
  5. Descarcati o noua instalare WordPress de pe https://wordpress.org/download/si incarcati-o prin FTP.
  6. Conectați-va pe site-ul dvs. în /wp-admin/, instalati aceeasi tema (descarcati cea mai recenta versiune a temei, nu folosiți cea veche), instalați aceleasi plugin-uri pe care le aveati inainte de stergere.
  7. Schimbați parola de administrator WordPress (în /wp-admin/).
  8. Stergeti toti ceilalți utilizatori admin (în /wp-admin/).
  9. Schimbati parola FTP (de obicei este si parola contului de gazduire, asa ca in majoritatea cazurilor o puteti face in panoul de gazduire).
  • Schimbati parola MySQL (puteti face acest lucru in majoritatea cazurilor in panoul de gazduire), apoi introduceti noua parolă MySQL in fisierul wp-config.php(prin FTP).

  Este important sa nu sariti peste niciun pas – chiar daca vreun pas vi se pare inutil. Omitand orice pas, riscati sa oferiti hackerilor acces la site-ul dvs. – si sa reinfectati site-ul – si apoi ati curatat site-ul in zadar.

Deoarece nu am șters baza de date sau incarcarile/ folderul (imaginile incarcate), site-ul va avea acelasi continut ca inainte de stergerea fisierelor WordPress.
Este posibil sa aveti nevoie doar sa resetati unele setari din cadrul temei sau al pluginurilor.

Asta ar fi.

Nu folositi niciodata, dar absolut niciodata, teme si pluginuri premium „nulate” WordPress – pentru ca DE REGULA vin cu malware.
Actualizati in mod regulat WordPress si pluginurile – pentru ca, asa cum am spus, se intampla adesea ca bug-uri sa fie descoperite in pluginuri și, uneori, in WordPress insusi, daca nu le actualizati, infractorii cibernetici vor profita cu siguranta de acele erori și vor intra pe site-ul dvs.

dataopen.ro