Как определить взломанный сайт WordPress

Опубликовано: 2017-04-14

Взломанный сайт WordPress в большинстве случаев имеет несколько симптомов. В этом посте мы опишем, что это за симптомы, и дадим вам несколько инструментов, чтобы определить, затронут ли ваш сайт какой-либо из них или все они.

Симптомы взломанного сайта WordPress

Большинство симптомов связаны со странным поведением вашего веб-сайта, а также со странными файлами и HTML-кодом, который начинает появляться слева и справа. Давайте рассмотрим их один за другим!

1. Ваш сайт начинает рассылать спам

Хотя идентифицировать входящий спам намного проще, чем исходящий, есть несколько вещей, которые вы можете сделать, чтобы увидеть, использует ли кто-то ваш сайт для рассылки спама:

  • Проверьте свои почтовые журналы (обычно они находятся в /var/log). Наблюдение за необычным количеством электронных писем, заблокированных сообщением об ошибке 550 Sender, запрещенным SPF расценивается как подозрительный. Особенно, если для вашего домена настроены записи SPF. Тогда это определенно красный флаг.
  • Существуют различные веб-сайты, такие как MXToolbox и UltraTools RBL Database LookUp, которые могут сообщить вам, был ли ваш сайт занесен в черный список как источник спама. Доступно несколько из них, и вам нужно искать столько, сколько вы можете найти. Если вы не попали в черный список, это не значит, что вы чисты на 100%.

2. Ваш сайт перенаправляет вас в другое место.

Это, пожалуй, самый простой симптом. Когда вы посещаете свой веб-сайт, вместо того, чтобы просматривать свою веб-страницу, вы перенаправляетесь куда-то в странное место. Прежде всего, проверьте, не изменились ли ваши DNS-записи, и теперь они указывают на другой IP-адрес.

 Если ваши DNS-записи выглядят нормально, то весьма вероятно, что что-то на вашей HTML-странице вызывает такое перенаправление. Попробуйте отключить поддержку Javascript в браузере и еще раз проверьте, не перенаправляет ли вас ваш веб-сайт. Если перенаправление сохраняется, то это признак того, что другие области вашего веб-сайта, скорее всего, подделаны (ваша база данных, файл .htaccess вашего веб-сайта или конфигурация вашего веб-сервера).

3. Ваш сайт содержит подозрительные iframe.

iframe — это «встроенный» HTML-документ в другой HTML-код, который используется для отображения контента из другого источника, обычно рекламы. Видимые фреймы легко заметить, однако большинство из них настолько малы (иногда занимают всего пару пикселей!), что их легко не заметить. Откройте HTML-файл в редакторе и найдите теги <iframe>, которые пытаются подключиться к неизвестным или подозрительным URL-адресам. Закомментируйте их, поместив в HTML-теги комментариев <!–. Вы не должны останавливаться на достигнутом, потому что, вероятно, если вы подделали HTML-файлы, это означает, что ваш сайт определенно скомпрометирован и что могут быть другие места, где ваш сайт был подделан.

4. Ваш сайт открывает всплывающие окна при загрузке.

Это также легко заметить. Ваш сайт загружает всплывающие окна, которые явно неуместны. Некоторые из них, называемые поп-андерами, более коварны. Они не видны, когда вы посещаете свой веб-сайт, но загружаются в фоновом режиме. Однако, если вы свернете свой браузер, вы сразу увидите их, обычно занимая большую часть экрана.

Разместите свой сайт с Pressidium

60- ДНЕВНАЯ ГАРАНТИЯ ВОЗВРАТА ДЕНЕГ

ПОСМОТРЕТЬ НАШИ ПЛАНЫ

5. Искаженные и странного вида файлы PHP.

Обнаружение PHP-файлов, которые выглядят непонятными, как в следующем примере, всегда является явным предупредительным признаком того, что кто-то вмешался в ваш сайт:

<?php eval("\145\166\141\154\050\142\141\163'==QfgsDdphXZgsTKog2c1xmZgszJ+QHcpJ3Yz […]

Технический термин для этих типов файлов — «запутанный». Обфускация — распространенная техника, используемая хакерами для того, чтобы скрыть источник обычно злонамеренного фрагмента кода или затруднить чтение и понимание его функции.

6. Бэкдоры, вебшеллы, учетные записи администратора

Веб-оболочки — это программы, которые хакеры могут использовать для удаленного подключения и получения полного административного доступа к вашему веб-сайту. Эти программы обеспечивают удаленный веб-доступ к оболочке вашего сервера (отсюда и термин веб-оболочка), так что любой, кто подключается к ним, может выполнять команды. Скорее всего, если вы где-то найдете запутанный файл PHP, это веб-шелл.

Хакеры также могут создавать учетные записи с правами администратора, чтобы использовать их в качестве бэкдоров. Их относительно легко найти, поскольку они видны в бэкэнде WordPress или в вашей базе данных.

Инструменты, которые помогут вам выявить подозрительную активность

Есть несколько инструментов, которые могут помочь вам определить, был ли ваш сайт подделан. Если вы считаете, что вы были скомпрометированы или заражены, рекомендуется проверить свой веб-сайт, используя их все. Таким образом, вы получите более полное представление, потому что не все эти службы проверяют одно и то же. Все приведенные ниже ресурсы бесплатны для использования и требуют от вас только ввода URL-адреса вашего веб-сайта.

В частности, если вы считаете, что заражены вредоносными фреймами, всплывающими окнами, перенаправлениями и другими монстрами javascript, следующие веб-сайты немедленно сообщат вам об этом:

  1. Проверка сайта Sucuri и разоблачение паразитов . Они будут проверять наличие известных вредоносных программ, наличие вашего веб-сайта в черном списке и многое другое.
  2. Отчет о прозрачности Google . Это покажет вам, считается ли ваш сайт «опасным для посещения» согласно Google.
  3. VirusTotal — это бесплатная служба, которая может анализировать URL-адреса и файлы, чтобы определить, содержат ли они какой-либо вредоносный контент.
  4. Бесплатный онлайн-сканер вредоносных программ для веб-сайтов от PC Risk. Выполняет поиск на вашем сайте «вредоносного кода, скрытых фреймов, эксплойтов уязвимостей, зараженных файлов и других подозрительных действий».
  5. Бесплатный сканер вредоносных программ для веб-сайтов Quttera . Ищет на вашем сайте «подозрительные скрипты, вредоносные носители и другие угрозы веб-безопасности, скрытые в законном контенте и расположенные на веб-сайтах». Он создает отчет о безопасности, в котором каждое обнаружение классифицируется в соответствии с уровнем угрозы.

Есть также несколько плагинов WordPress, которые помогут вам обеспечить безопасность вашего сайта WordPress. Обязательно ознакомьтесь с этим превосходным руководством по 7 лучшим плагинам безопасности WordPress от InfoSec.

Крайне важно очистить свой сайт, как только вы обнаружите какой-либо вредоносный контент и исправите его уязвимости. Скомпрометированный веб-сайт означает перебои в работе или ненормальное поведение, которые могут и в конечном итоге повлияют на средства к существованию вашего бизнеса!