Jak vyčistit hacknutý web WordPress pomocí Wordfence

Pokud byl váš web hacknut, nepanikařte.

Tento článek popisuje, jak vyčistit váš web, pokud byl hacknut a infikován škodlivým kódem, zadními vrátky, spamem, malwarem nebo jinými nepříjemnostmi. Tento článek byl 27. srpna 2019 aktualizován o další zdroje, které pomohou vyčistit konkrétní typy infekcí. Autorem tohoto článku je Mark Maunder, zakladatel společnosti Wordfence. Jsem také akreditovaný bezpečnostní výzkumník, vývojář WordPressu a vlastním a provozuji mnoho vlastních webových stránek poháněných WordPressem, včetně této. I když nepoužíváte WordPress, tento článek obsahuje několik nástrojů, které můžete použít k vyčištění webu od infekce.

Pokud používáte WordPress a byli jste hacknuti, můžete použít nástroj Wordfence k vyčištění velké části škodlivého kódu z vašeho webu. Wordfence umožňuje porovnat hacknuté soubory s původními soubory jádra WordPressu a s původními kopiemi témat a zásuvných modulů WordPressu v úložišti. Wordfence vám umožní zjistit, co se změnilo, a poskytne vám možnost jedním kliknutím opravit soubory a provést další akce.

Vyčištění webu Wordfence Ad

Pokud máte podezření, že jste byli hacknuti, nejprve se ujistěte, že jste skutečně byli hacknuti. Někdy nás kontaktují zpanikaření správci stránek, kteří si myslí, že byli hacknuti, přestože se jejich stránky pouze špatně chovají, nepovedla se aktualizace nebo se vyskytl jiný problém. Někdy mohou majitelé stránek vidět nevyžádané komentáře a nedokážou rozlišit mezi nimi a hackerským útokem.

Vaše stránky byly hacknuty, pokud:

  • V hlavičce nebo patičce vašich stránek se objevuje spam, který obsahuje reklamy na věci jako pornografie, drogy, nelegální služby atd. Často je vložen do obsahu vaší stránky bez jakéhokoli přemýšlení o prezentaci, takže se může objevit jako tmavý text na tmavém pozadí a není příliš viditelný pro lidské oči (ale vyhledávače ho vidí).
  • Provádíte vyhledávání site:example.com (nahraďte example.com vaším webem) ve službě Google a vidíte stránky nebo obsah, který nepoznáváte a který vypadá jako škodlivý.
  • Přijímáte hlášení od svých uživatelů, že jsou přesměrováni na škodlivý nebo spamový web. Věnujte jim zvláštní pozornost, protože mnoho hackerů zjistí, že jste správcem webu, a nezobrazí vám nic spamového, ale zobrazí spam pouze vašim návštěvníkům nebo vyhledávačům.
  • Přijímáte hlášení od poskytovatele hostingu, že váš web dělá něco škodlivého nebo spamového. Pokud vám například váš hostitel sdělí, že dostává hlášení o nevyžádaných e-mailech, které obsahují odkaz na vaše webové stránky, může to znamenat, že jste byli napadeni hackery. Hackeři v tomto případě rozesílají odněkud spam a používají váš web jako odkaz k přesměrování lidí na web, který vlastní. Dělají to proto, že uvedením odkazu na váš web se vyhnou spamovým filtrům, zatímco uvedení odkazu na jejich vlastní web se ve spamových filtrech zachytí.
  • Wordfence detekuje mnoho těchto problémů a další, které jsem zde nezmínil, takže věnujte pozornost našim upozorněním a reagujte podle nich.

Zálohujte svůj web hned teď. Zde je důvod:

Jakmile zjistíte, že jste byli napadeni hackery, okamžitě web zálohujte. Pomocí FTP, zálohovacího systému poskytovatele hostingu nebo zálohovacího pluginu stáhněte kopii celého webu. Důvod, proč to musíte udělat, je ten, že mnoho poskytovatelů hostingu okamžitě odstraní celý váš web, pokud nahlásíte, že byl hacknut, nebo pokud zjistí škodlivý obsah. Zní to šíleně, ale v některých případech se jedná o standardní postup, aby zabránili infikování dalších systémů ve své síti.

Ujistěte se, že zálohujete také databázi svých webových stránek. Zálohování souborů a databáze by mělo být vaší prioritou. Když toto provedete, můžete bez obav přejít k dalšímu kroku čištění webu v pohodě a s vědomím, že máte alespoň kopii svého hacknutého webu a nepřijdete o všechno.

Věci, které byste měli vědět před čištěním webu WordPress, který byl hacknut:

Tady jsou pravidla pro čištění webu:

  • Obvykle můžete odstranit cokoli v adresáři wp-content/plugins/ a nepřijdete o data ani si web nerozbijete. Důvodem je to, že se jedná o soubory zásuvných modulů, které můžete znovu nainstalovat, a WordPress automaticky zjistí, zda jste odstranili zásuvný modul, a zakáže jej. Jen se ujistěte, že odstraňujete celé adresáře v adresáři wp-content/plugins, a ne jen jednotlivé soubory. Pokud například chcete odstranit zásuvný modul Wordfence, musíte odstranit wp-content/plugins/wordfence a vše v tomto adresáři včetně samotného adresáře. Pokud odstraníte pouze několik souborů zásuvného modulu, můžete nechat své stránky nefunkční.
  • Obvykle máte pouze jeden adresář témat, který se používá pro vaše stránky v adresáři wp-content/themes. Pokud víte, který to je, můžete odstranit všechny ostatní adresáře témat. Pozor, pokud máte „dětské téma“, můžete používat dva adresáře v adresáři wp-content/themes.
  • Do adresářů wp-admin a wp-includes se velmi zřídka přidávají nové soubory. Pokud tedy v těchto adresářích najdete něco nového, s vysokou pravděpodobností se jedná o škodlivý kód.
  • Dejte si pozor na staré instalace WordPressu a zálohy. Často se setkáváme s infikovanými weby, na kterých někdo říká: „Ale já jsem své stránky udržoval aktuální a měl jsem nainstalovaný bezpečnostní doplněk, tak proč jsem byl napaden?“. Někdy se stává, že vy nebo vývojář zazálohujete kopii všech souborů webu do podadresáře, například /old/, který je přístupný z webu. Tato záloha není udržována, a přestože je váš hlavní web zabezpečený, hacker se tam může dostat, infikovat ho a získat přístup k vašemu hlavnímu webu z nastrčených zadních vrátek. Nikdy tedy nenechávejte ležet staré instalace WordPressu, a pokud vás někdo hackne, zkontrolujte nejprve ty, protože je pravděpodobné, že jsou plné malwaru.

Několik užitečných nástrojů:

Pokud máte přístup SSH k serveru, přihlaste se a spusťte následující příkaz, abyste viděli všechny soubory, které byly změněny během posledních 2 dnů. Všimněte si, že tečka označuje aktuální adresář. To způsobí, že níže uvedený příkaz bude prohledávat aktuální adresář a všechny podadresáře pro nedávno změněné soubory. (Chcete-li zjistit, jaký je váš aktuální adresář v SSH, zadejte ‚pwd‘ bez uvozovek).

find . -mtime -2 -ls

Nebo můžete zadat konkrétní adresář:

find /home/yourdirectory/yoursite/ -mtime -2 -ls

Nebo můžete změnit vyhledávání tak, aby se zobrazily soubory změněné za posledních 10 dní:

find /home/yourdirectory/yoursite/ -mtime -10 -ls

Navrhujeme, abyste provedli výše uvedené vyhledávání a postupně zvyšovali počet dní, dokud se nezačnou zobrazovat změněné soubory. Pokud jste od doby, kdy jste byli napadeni, sami nic nezměnili, je velmi pravděpodobné, že uvidíte soubory, které změnil hacker. Můžete je pak sami upravit a hackera vyčistit. Toto je zdaleka nejefektivnější a nejjednodušší způsob, jak zjistit, které soubory byly napadeny, a používá ho každá profesionální služba pro čištění stránek.

Dalším užitečným nástrojem v SSH je ‚grep‘. Chcete-li například vyhledat soubory, které obsahují kód base64 (běžně používaný hackery), můžete spustit následující příkaz:

grep -ril base64 *

Tento příkaz pouze vypíše názvy souborů. Chcete-li zobrazit skutečný obsah souboru, ve kterém se vyskytuje řetězec base64, můžete vynechat volbu ‚l‘:

grep -ri base64 *

Mějte na paměti, že „base64“ se může vyskytovat i v legitimním kódu. Než něco odstraníte, ujistěte se, že neodstraňujete soubor, který je používán tématem nebo zásuvným modulem na vašem webu. Přesnější vyhledávání by mohlo vypadat takto:

grep --include=*.php -rn . -e "base64_decode"

Tento příkaz rekurzivně prohledá všechny soubory končící na .php na řetězec „base64_decode“ a vypíše číslo řádku, abyste mohli snadněji najít kontext, ve kterém se řetězec vyskytuje.

Teď, když víte, jak používat „grep“, doporučujeme používat grep v kombinaci s „find“. Měli byste najít soubory, které byly nedávno změněny, podívat se, co bylo v souboru změněno, a pokud najdete běžný textový řetězec, například „bad hacker was here“, pak můžete prostě grep ve všech souborech pro tento text použít takto:

grep -irl "bad hacker was here" *

a to vám ukáže všechny infikované soubory obsahující text „bad hacker was here“.

Pokud vyčistíte mnoho infikovaných stránek, začnete si všímat vzorců, kde se škodlivý kód běžně vyskytuje. Jedním z takových míst je adresář uploads v instalacích WordPress. Níže uvedený příkaz ukazuje, jak najít všechny soubory v adresáři uploads, které NEJSOU obrazové soubory. Výstup se uloží do souboru protokolu s názvem „uploads-non-binary.log“ v aktuálním adresáři.

find public_html/wp-content/uploads/ -type f -not -name "*.jpg" -not -name "*.png" -not -name "*.gif" -not -name "*.jpeg" >uploads-non-binary.log

Pomocí dvou jednoduchých nástrojů příkazového řádku „grep“ a „find“ můžete vyčistit celý infikovaný web. Jak snadné to je! Vsadím se, že v tuto chvíli jste připraveni začít s vlastním čištěním webu.

Jak vyčistit hacknutý web WordPress pomocí aplikace Wordfence:

Teď, když máte v arzenálu několik výkonných nástrojů a už jste provedli základní čištění, spusťte aplikaci Wordfence a spusťte kompletní skenování a vyčistěte svůj web. Tento krok je důležitý, protože Wordfence provádí velmi pokročilé vyhledávání infekcí. Například:

  • Víme, jak by měly vypadat všechny základní soubory WordPressu, open source témata a open source pluginy, takže Wordfence dokáže zjistit, zda je některý z vašich zdrojových souborů infikovaný, i když se jedná o novou infekci, kterou ještě nikdo nikdy neviděl.
  • Podpisy infekcí vyhledáváme pomocí složitých regulárních výrazů a naše databáze známých infekcí je neustále aktualizována. To nelze provést pomocí jednoduchých nástrojů unixového příkazového řádku nebo panelu cPanel.
  • Vyhledáváme malwarové adresy URL pomocí seznamu Google Safe Browsing.
  • Při vyhledávání malwaru a infekcí ve vašem systému používáme mnoho dalších zdrojů dat, jako je SpamHaus.

Jak vyčistit hacknutý web pomocí Wordfence:

  1. Aktualizujte svůj web na nejnovější verzi WordPressu. Pokud používáte verzi WordPressu předcházející verzi 5.x.x, pak doporučujeme, abyste si před upgradem na nejnovější verzi WordPressu přečetli tento článek zde.
  2. Upgradujte všechna témata a pluginy na jejich nejnovější verze.
  3. Změňte všechna hesla na webu, zejména hesla pro správu.
  4. Vytvořte další zálohu a uložte ji odděleně od zálohy, kterou jsme vám doporučili vytvořit výše. Nyní máte infikovaný web, ale na tomto webu běží nejnovější verze všeho. Pokud při čištění webu pomocí nástroje Wordfence něco porušíte, můžete se vrátit k této záloze a nemusíte znovu provádět všechny výše uvedené kroky.
  5. Přejděte na stránku prověřování Wordfence. Klikněte na odkaz „Možnosti skenování a plánování“. Povolte možnost „Vysoká citlivost skenování“. Pokud skenování trvá příliš dlouho nebo není dokončeno, rozbalte část „Obecné možnosti“. Zrušte výběr možností „Skenovat soubory mimo instalaci WordPressu“ a „Skenovat obrázky, binární a jiné soubory, jako by byly spustitelné“. Uložte změny a zkuste provést nové skenování.
  6. Při zobrazení výsledků se může zobrazit velmi dlouhý seznam infikovaných souborů. Nespěchejte a pomalu se seznamem prokousejte.
  7. Prohlédněte všechny podezřelé soubory a buď tyto soubory ručně upravte a vyčistěte, nebo je odstraňte. Nezapomeňte, že odstranění nelze vrátit zpět. Ale pokud jste si pořídili zálohu, kterou jsme doporučili výše, můžete soubor vždy obnovit, pokud smažete něco špatného.
  8. Podívejte se na všechny změněné soubory jádra, témat a zásuvných modulů. Pomocí možnosti, kterou nabízí Wordfence, zjistěte, co se změnilo mezi původním a vaším souborem. Pokud změny vypadají jako škodlivé, použijte možnost Wordfence a soubor opravte.
  9. Pomalu procházejte seznamem, dokud nebude prázdný.
  10. Spusťte další kontrolu a potvrďte, že je váš web čistý.
  11. Pokud stále potřebujete pomoc, nabízíme komerční službu čištění webu. Více informací se dozvíte na e-mailu [email protected] s předmětem „Placená služba čištění webu“.

Mám soubor, který vypadá podezřele, ale nejsem si jistý, zda je to pravda. Jak to mohu zjistit?

Napište nám ho na adresu [email protected] a my vám dáme vědět. Pokud je váš konfigurační soubor WordPress wp-config.php infikovaný, pak nám kopii tohoto souboru neposílejte, aniž byste předtím odstranili přístupové údaje k databázi a autentizační jedinečné klíče a soli.

Pokud nedostanete odpověď, je možné, že buď váš poštovní systém, nebo náš systém zprávu zahodil v domnění, že je škodlivá kvůli vaší příloze. Pošlete nám proto prosím zprávu bez přílohy, ve které nám sdělíte, že se nám snažíte něco poslat, a my se pokusíme pomoci s jejím odesláním.

Kde najdu pomoc při čištění konkrétního druhu infekce?

V učebním centru Wordfence najdete řadu článků, které vám pomohou. Zde je seznam článků, které vám pomohou s konkrétními typy infekcí:

  • Odstranění škodlivých přesměrování z vašich stránek
  • Nalezení a odstranění zadních vrátek
  • Odstranění nevyžádaných stránek ze stránek WordPress
  • Nalezení a odstranění nevyžádaných odkazů
  • Odstranění phishingových stránek ze stránek WordPress
  • Odstranění škodlivého mailu Kód ze stránek
  • Nalezení a odstranění škodlivých nahrávačů souborů
  • Odstranění poškozených stránek WordPressu
  • Jak odstranit podezřelý kód ze stránek WordPress

Vyčistil jsem své hacknuté stránky WordPress, ale Google Chrome mi stále zobrazuje varování před malwarem. Co mám dělat?

Je třeba, abyste svůj web odstranili ze seznamu Bezpečné prohlížení Google. Přečtěte si tento dokument společnosti Google o tom, jak vyčistit svůj web. Zde je uveden postup:

  1. Nejprve se přihlaste k nástroji Google Webmaster Tools.
  2. Přidejte svůj web, pokud jste tak ještě neučinili.
  3. Ověřte svůj web podle pokynů společnosti Google.
  4. Na domovské stránce nástroje Webmaster Tools vyberte svůj web.
  5. Klikněte na položku Stav webu a poté klikněte na položku Malware.
  6. Klikněte na položku Požádat o přezkoumání.

Návštěvníci mého webu dostávají varování od jiných bezpečnostních produktů a antivirových systémů. Co mám dělat?

Dostat se ze seznamu Google Safe Browsing je velký krok, ale možná vás čeká ještě nějaká práce. Musíte si vést seznam všech antivirových produktů, které tvrdí, že je váš web infikovaný. Může se jednat o produkty, jako je antivirový program ESET, Site Advisor společnosti McAfee a další. Navštivte webové stránky jednotlivých výrobců antivirových programů a vyhledejte jejich pokyny pro odstranění vašeho webu z jejich seznamu nebezpečných webů. Výrobci antivirů tento postup často nazývají „whitelisting“, takže zadáním výrazů jako „whitelisting“, „site removal“, „false positive“ a názvu produktu do Googlu se obvykle dostanete na místo, kde můžete svůj web odstranit.

Jak mohu ručně zkontrolovat, zda je můj web uveden na seznamu bezpečného procházení společnosti Google?

Navštivte následující adresu URL a nahraďte adresu example.com adresou svého webu.

http://www.google.com/safebrowsing/diagnostic?site=http://example.com/

Můžete uvést podadresář, pokud jej váš web má. Stránka, která se zobrazí, je velmi jednoduchá, ale obsahuje podrobné informace o aktuálním stavu vašeho webu, proč je uveden na seznamu škodlivého softwaru nebo phishingu Google (Seznam bezpečného prohlížení Google jsou vlastně dva seznamy) a co dělat dál.

Co dělat, když je váš web čistý:

Gratulujeme, pokud se vám podařilo vyčistit váš web. Nyní se musíte zatraceně ujistit, že nebude znovu napaden hackery. Zde je návod, jak na to:

  • Instalace aplikace Wordfence a pravidelné skenování webu WordPress.
  • Ujistěte se, že WordPress a všechny pluginy a témata jsou aktualizovány. To je nejdůležitější věc, kterou můžete pro zabezpečení svých stránek udělat.
  • Ujistěte se, že používáte silná hesla, která je těžké uhodnout.
  • Zbavte se všech starých instalací WordPressu, které se povalují na vašem serveru.
  • Přihlaste se do našeho mailing listu s bezpečnostními upozorněními, abyste byli upozorňováni na důležité bezpečnostní aktualizace týkající se WordPressu.
  • Ověřte svůj web v aplikaci Wordfence Central, abyste mohli mnohem snadněji spravovat zabezpečení svého webu.

.

Leave a Reply