Włamanie do systemu WordPress: Treści spamowe

Wykryliśmy włamanie na niektóre z witryn WordPress. Incydent ten wiąże się z zagrożeniem uzyskania przez przestępców dostępu do danych uwierzytelniających administratora systemu WordPress i przesłania plików na jego konto hostingowe. Następnie pliki te mogą zostać użyte do dodania treści spamowych do motywu i bazy danych WordPress, a w konsekwencji utworzenia ukrytych łączy do niebezpiecznych witryn.

Więcej informacji o włamaniach i sposobach radzenia sobie z nimi możesz uzyskać, korzystając z Jak postępować, gdy moja witryna padnie ofiarą ataku?.

Symptomy świadczące o dokonanym włamaniu

Ponieważ opisywany incydent wiąże się z tworzeniem ukrytych łączy, jego symptomy nie będą widoczne na Twojej witrynie. Najlepszą metodą, aby przekonać się, czy Twoja witryna została zaatakowana, jest przeglądnięcie kodu źródłowego strony głównej. Aby uniknąć odwiedzania zainfekowanej strony głównej, zalecamy użycie przeglądarek Google® Chrome i Firefox® i skorzystanie z polecenia view-source:http://[Twoja nazwa domeny].

W wyświetlonym oknie możesz przeszukać kod źródłowy pod kątem typowych zwrotów stosowanych w przypadku internetowych oszustw, dotyczących np. reklam leków czy pożyczek tzw. chwilówek. Spróbuj wyszukać następujące typowe zwroty:

  • payday
  • pharma
  • viagra
  • cialis

Środki zaradcze

Najprostszą metodą na usunięcie szkodliwych treści jest przywrócenie treści i bazy danych Twojej witryny przy użyciu punktu przywracania, co do którego masz pewność, że nie jest zainfekowany.

Jeżeli nie masz kopii zapasowej, co do której masz pewność, możesz usunąć szkodliwe treści ręcznie. Można je zwykle znaleźć w dwóch miejscach w kodzie witryny — nagłówku kompozycji systemu WordPress i Twojej bazie danych WordPress.

Edytowanie kompozycji

Do kompozycji systemu WordPress można uzyskać dostęp i edytować ją bezpośrednio z poziomu panelu sterowania administratora systemu WordPress. Jeżeli masz kopię zapasową kompozycji, wystarczy, że zainstalujesz ją ponownie, korzystając z menu Appearance (Wygląd).

W innym przypadku musisz przeglądać kod Twoich plików bezpośrednio. Aby uzyskać informacje na temat edycji plików w systemie WordPress, zapoznaj się z dokumentacją serwisu WordPress.org pod tym adresem.

W widoku kodu możesz usuwać wszelkie znalezione łącza.

Oczyszczanie bazy danych

Jeżeli przestępcy umieścili szkodliwe łącza w Twojej bazie danych, są one zwykle zapisywane z wykorzystaniem odwróconej kolejności liter w wyrazach po to, aby zapobiec ich wykryciu (np. „ezcął” zamiast „łącze”). Uwzględnij taki scenariusz podczas przeszukiwania bazy danych.

Przed zmodyfikowaniem bazy danych zalecamy utworzenie kopii zapasowej (więcej informacji).

Tabele w bazie danych możesz przeszukać ręcznie, korzystając z karty Search (Szukaj) interfejsu phpMyAdmin (więcej informacji).

Możesz także skorzystać z karty SQL interfejsu phpMyAdmin i wprowadzić następujące zapytanie:

SELECT *
FROM `wp_options`
WHERE option_value LIKE '%>vid/<%'

Dzięki temu zapytaniu znajdziesz wszystkie wpisy w tabeli wp_options, które zawierają napisany od tyłu znacznik HTML div. Zostaną wyświetlone podobne wyniki do przedstawionych poniżej:

query results

Ze szczegółowymi informacjami możesz się zapoznać, klikając ikonę ołówka. Pozwoli to powiększyć widok zawartości wierszy. W wyświetlonym oknie możesz bezpośrednio edytować treści w celu usunięcia wpisów dodanych przez cyberprzestępcę. Po dokonaniu zmian kliknij polecenie Go back to the previous page (Wróć do poprzedniej strony), aby je zapisać. Jeżeli cała zawartość wygląda na podejrzaną, kliknij polecenie Go back to the previous page (Wróć do poprzedniej strony), a następnie czerwoną ikonę X, aby usunąć cały wpis.

result details

Inne zainfekowane pliki

Po oczyszczeniu kompozycji i bazy danych ze złośliwych treści musisz jeszcze sprawdzić poniższe pliki na Twoim koncie hostingowym i upewnić się, że także one nie zostały zainfekowane. W przypadku opisywanego incydentu przestępca może dodatkowo utworzyć następujące pliki:

  • ./html/wp-admin/includes/class-wp-locale.php
  • ./html/wp-admin/admin-media.php
  • ./html/wp-content/themes/twentyten/entry-meta.php
  • ./html/wp-content/themes/twentyten/sidebar-funcs.php
  • ./html/wp-includes/theme-compat/content.php
  • ./html/wp-includes/default-option.php

O ile ich nazwy nie wzbudzają podejrzeń, o tyle ich treść może zdradzać ich prawdziwe pochodzenie. Aby sprawdzić wiarygodność danego pliku, musisz przejrzeć jego kod albo porównać datę jego modyfikacji z innymi plikami znajdującymi się w tym samym katalogu.

W przypadku podejrzanych plików zalecamy ich usunięcie albo zmianę ich nazw (co spowoduje, że przestaną być używane przez system).

Informacje techniczne

Code Sample

MD5Sums of Known Malicious Files

  • dc1cd95ca7dcd00630a208024f89a5e1
  • 6e986fc5328ce3e3b1a36a3025704403
  • 0f183af9a1ed11124655a90b2fff54ac
  • 51377655c4d0b9db67a21b83f99dae4e
  • 51bb25bfbb0db6eb5359a9bc8567f4e6
  • f99b5bfd95336099a4adc436070d5cdd

Czy ten artykuł był pomocny?
Dziękujemy za przekazanie informacji. Aby porozmawiać z pracownikiem obsługi klienta, zadzwoń pod numer pomocy technicznej lub skorzystaj z opcji czatu (powyżej).
Cieszymy się, że udało się nam pomóc! Czy coś jeszcze możemy dla Ciebie zrobić?
Przykro nam z tego powodu. Powiedz nam, co było niezrozumiałe lub dlaczego nie udało się rozwiązać Twojego problemu.