Come trovare una backdoor in un sito WordPress compromesso

In questo articolo ti mostreremo come trovare una backdoor in un sito WordPress compromesso e risolverlo.

Cos’è una backdoor?

Backdoor è un metodo per aggirare la normale autenticazione e ottenere la capacità di accedere in remoto al server rimanendo inosservato. La maggior parte degli hacker intelligenti carica sempre la backdoor come prima cosa. Ciò consente loro di riottenere l’accesso anche dopo aver trovato e rimosso il plug-in sfruttato. Le backdoor spesso sopravvivono agli aggiornamenti, quindi il tuo sito è vulnerabile finché non ripulisci questo casino.

Alcune backdoor consentono semplicemente agli utenti di creare un nome utente amministratore nascosto. Mentre le backdoor più complesse possono consentire all’hacker di eseguire qualsiasi codice PHP inviato dal browser. Altri hanno un’interfaccia utente completa che consente loro di inviare e-mail come server, eseguire query SQL e qualsiasi altra cosa vogliano fare.

Dov’è nascosto questo codice per la backdoor?

Le backdoor su un’installazione di WordPress sono più comunemente archiviate nelle seguenti posizioni:

1. Temi : molto probabilmente non è nel tema corrente che stai utilizzando. Gli hacker vogliono che il codice sopravviva agli aggiornamenti principali. Quindi, se hai un vecchio tema nella directory dei temi, i codici saranno probabilmente lì. Questo è il motivo per cui consigliamo di eliminare tutti i temi inattivi.
2. Plugin : i plugin sono un ottimo posto in cui l’hacker può nascondere il codice per tre motivi. Uno perché le persone non li guardano davvero. Due perché alle persone non piace aggiornare i propri plugin, quindi sopravvivono agli aggiornamenti. Tre, ci sono alcuni plugin mal codificati che probabilmente hanno le loro vulnerabilità per cominciare.
3. Directory dei caricamenti: come blogger, non controlli mai la directory dei caricamenti. Perchè vorresti? Devi solo caricare l’immagine e usarla nel tuo post. Probabilmente hai migliaia di immagini nella cartella dei caricamenti divise per anno e mese. È molto facile per l’hacker caricare una backdoor nella cartella dei caricamenti perché si nasconderà tra migliaia di file multimediali. Inoltre non la controlli regolarmente. La maggior parte delle persone non ha un plug-in di monitoraggio come Sucuri. Infine, la directory dei caricamenti è scrivibile, quindi può funzionare come dovrebbe. Questo lo rende un ottimo obiettivo. Ci sono molte backdoor che possiamo trovare qui.
4. wp-config.php – Questo è anche uno dei file altamente mirati dagli hacker. È anche uno dei primi posti in cui viene detto alla maggior parte delle persone di guardare.
5. Include Folder – / wp-includes / folder è un altro posto in cui possiamo trovare backdoor. Alcuni hacker lasceranno sempre più di un file backdoor. Una volta caricato uno, aggiungeranno un altro backup per garantire il loro accesso. La cartella Include è un’altra in cui la maggior parte delle persone non si preoccupa di guardare.

In tutti i casi che abbiamo trovato, la backdoor era mascherata per sembrare un file WordPress.

Ad esempio: in un sito che abbiamo ripulito, la backdoor era nella cartella wp-includes e si chiamava wp-user.php (questo non esiste nella normale installazione). C’è user.php, ma non wp-user.php nella cartella / wp-includes /. In un altro caso, abbiamo trovato un file php denominato hello.php nella cartella dei caricamenti. Era mascherato da plugin Hello Dolly. Ma non dovrebbe essere nella cartella dei caricamenti

Può anche utilizzare nomi come wp-content.old.tmp, data.php, php5.php o qualcosa del genere. Non deve finire con PHP solo perché contiene il codice PHP. Può anche essere un file .zip. Nella maggior parte dei casi, questi file sono codificati con codice base64 che di solito esegue tutte le operazioni di ordinamento (ad esempio, aggiungere collegamenti spam, aggiungere pagine aggiuntive, reindirizzare il sito principale a pagine contenenti spam, ecc.).

Ora probabilmente stai pensando che WordPress non sia sicuro perché consente le backdoor. La versione corrente di WordPress non ha vulnerabilità note. Le backdoor non sono il primo passo dell’hacking. Di solito è il secondo passaggio. Spesso gli hacker trovano un exploit in un plug-in o uno script di terze parti che consente loro di accedere per caricare la backdoor.

Può essere qualsiasi cosa, però. Ad esempio, un plug-in mal codificato può consentire l’escalation dei privilegi dell’utente. Se il tuo sito aveva registrazioni aperte, l’hacker può semplicemente registrarsi gratuitamente. Sfrutta l’unica funzionalità per ottenere più privilegi (che quindi consente loro di caricare i file). In altri casi, potrebbe benissimo essere che le tue credenziali siano state compromesse. Potrebbe anche essere che stavi usando un cattivo provider di hosting.

Come trovare e rimuovere la backdoor?

Ora che sai cos’è una backdoor e come trovare una backdoor in un sito WordPress compromesso, devi iniziare a cercarla. Rimuoverla è facile come eliminare il file o il codice. Tuttavia, la parte difficile è trovarla.

Puoi iniziare con uno dei seguenti plugin WordPress per lo scanner di malware. Tra questi, consigliamo Sucuri (sì, è a pagamento).

Se non sei lo sviluppatore dei plugin, allora è davvero difficile per te sapere quale codice è fuori posto tra le migliaia di righe di codice. La cosa migliore che puoi fare è eliminare la directory dei plugin e reinstallare i plugin da zero. Sì, questo è l’unico modo per essere sicuro a meno che tu non abbia molto tempo da dedicare.

Cerca nella directory dei caricamenti

Se hai familiarità con SSH, devi solo scrivere il seguente comando:

Non c’è motivo per cui un file .php si trovi nella cartella dei caricamenti. La cartella è progettata per i file multimediali nella maggior parte dei casi. Se c’è un file .php che è lì dentro, deve essere una backdoor.

Elimina temi inattivi

Come accennato in precedenza, spesso vengono presi di mira i temi inattivi. La cosa migliore da fare è eliminarli (sì, questo include il tema predefinito e classico).

File .htaccess

A volte i codici di reindirizzamento vengono aggiunti lì. Basta eliminare il file e verrà ricreato da solo. In caso contrario, vai al tuo pannello di amministrazione di WordPress su Impostazioni »Permalink e fai semplicemente clic sul pulsante Salva. Ricreerà il file .htaccess.

wp-config.php file

Confronta questo file con il file predefinito wp-config-sample.php. Se vedi qualcosa che è fuori posto, sbarazzatene.

Scansione database per exploit e SPAM

Un hacker intelligente non avrà mai un solo posto sicuro. Ne creano numerosi. Il targeting di un database pieno di dati è un trucco molto semplice. Possono memorizzare le loro cattive funzioni PHP, nuovi account amministrativi, collegamenti SPAM, ecc. nel database. Ad esempio, a volte non vedrai l’utente amministratore nella pagina dell’utente. Vedrai che ci sono 3 utenti e puoi vederne solo 2. È probabile che tu sia stato violato.

Se non sai cosa stai facendo con SQL, probabilmente vorrai lasciare che uno di questi scanner faccia il lavoro per te. Il plugin Exploit Scanner o Sucuri (versione a pagamento) se ne occupano entrambi.

Pensi di averlo pulito? Pensa di nuovo

Va bene, quindi l’hack è andato. Uff. Aspetta, non rilassarti ancora. Apri il browser in modalità di navigazione in incognito per vedere se l’hack si ripresenta. A volte, questi hacker sono intelligenti. Non mostreranno l’hack agli utenti che hanno effettuato l’accesso. Solo gli utenti disconnessi lo vedono. O meglio ancora, prova a cambiare lo useragent del tuo browser come Google. A volte, gli hacker vogliono solo prendere di mira i motori di ricerca. Se tutto sembra a posto, allora sei a posto.

Nota: se vuoi essere sicuro al 100% che non ci siano hack, elimina il tuo sito. E ripristina una copia di backup di una data in cui sei certo che l’hack non era lì.

E’ tutto. Speriamo che questo articolo ti abbia aiutato a capire come trovare una backdoor in un sito WordPress compromesso e risolverlo.

.

Dichiarazione sulla trasparenza: il contenuto di B-Fast è supportato dal lettore, il che significa che se fai clic su alcuni dei collegamenti in questo post, potremmo guadagnare una piccola tassa di riferimento. Tieni presente che raccomandiamo solo prodotti che utilizziamo noi stessi e / o che riteniamo possano aggiungere valore ai nostri lettori.

Related Posts