Šiame įraše apžvelgsime populiarios turinio valdymo sistemos WordPress kenkėjiško kodo išvalymo procedūrą.

Visų pirmą yra rekomenduojama pasidaryti atsargines kopijas (taip tai tiesa su viruso failais) kadangi kartais virusas būna prikibęs prie įprastų svetainės darbui reikalingų failų.

Viruso „atgalinių durų“ angl.: backdoor paieška

Toliau parsisiuntus visus failus į kompiuterį yra rekomenduojama perskenuoti backup’ą su anti-virusine programa ji gali rasti shell’us bei trojan downloader’ius taip pat ir backdoor’us jei naudojate kokią nors geresnę anti virusinę (aš rekomenduoju G DATA nepagailėti pinigų ant licencijos) jei naudojate free avast ir panašias yra tokia svetainė Virus Total kuri perskenuoja iki 1.5GB failus per 56 anti-virusinės API.

Radę kenksmingus failus jų neištriname ir tuomet jau prasideda smagioji dalis: viruso ar malware iškodavimas ir išsiaiškinimas kaip gi po galais jis pas mus atsirado? Dažniausiai virusas arba malware kodas būna užkoduotas hex’u arba base64, tai mes visą tą kenksmingą kodą metame į Malware Decoder

Malware kenėjiško kodo pavyzdys

malware kenėjiško kodo pavyzdys

1.pav malware kenėjiško kodo pavyzdys

Šitame konkrečiam pavyzdyje matome jog kodas tikrina ar yra apibrėžta konstanta ALREADY_RUN_144c87cf623ba82aafi68riab16atio18 tai yra id pagal kurį tikrinama ar vartotojas jau buvo nusiųstas į užkrėstą puslapį, toliau su šiuo ID: 144c87cf623ba82aafi68riab16atio18 persiskenuojame failus ir duomenų bazę su text-editor’iumi ir randame .ico failus su backdoor (neapsigaukite kad failo galūnė .ico ne php, tai tik dar vienas triukas paslėpti kenksimgą kodą o su .htaccess galima padaryti kad .ico failus execute’intų kaip .php) tada pašaliname visus likusius susijusius failus ir duomenų bazės įrašus.

Kaip nuo to apsisaugoti ateityje?

Toliau reikia atnaujinti visus komponentus jei naudojate turinio valdymo sistemą, įskiepius ir temą, pasikeisti visus slaptažodžius pradedant nuo svetainės vartotojų baigiant duomenų bazės ir el. pašto jei naudojate tą patį kitur aišku rekomenduojama pasikeisti ir tuos slaptažodžius. Jei svetainė buvo įtraukta į blacklist’ą ir chrome arba srautui iš google rodė įspėjimus po šios operacijos reiktų Google Webmaster Tools pridėti websaitą ir ties Health, pasirinkti Malware bei pateikti peržiūrai. Po viso ko reikia svetainę bei log’us atidžiai stebėti ar nebuvo palikta kokių nors saugumo spragų.

Rankinis kenkėjiško kodo pašalinimas iš svetainės gali būti nelengva užduotis mažai techninių žinių turinčiam naudotojui, jei neesate tikri ar pajėgsite susitvarkyti visada galite pasinaudoti mūsų siūlomomis paslaugomis:

Žalingos programinės įrangos (malware) ir virusų pašalinimas iš interneto svetainių

Keletas naudingų įskiepių wordpress malware paieškose:

Nors dažniausiai jie pačio backdoor’o nesuranda, bet puikiai sugaudo visus susijusius failus.

 

 

 

2 atsakymų
  1. Andrius
    Andrius says:

    dėkui už informaciją, bet pas mane svetainėje kitoks virusas, wordfence randa ir išvalo failus, bet po kiek laiko jie vėl atsinaujina…

    Atsakyti
    • webadmin
      webadmin says:

      Taip yra su dauguma skenerių, dažniausiai jie randa užkrėstus failus bet nepašalina atsiradimo priežasties, tokiu atveju reikia aiškintis kaip tie failai patenka į serverį.

      Atsakyti

Palikti atsakymą

Want to join the discussion?
Feel free to contribute!

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *