Injectarea de viru\u0219i JavaScript<\/p>\n\n\n\n
Acum c\u00e2teva luni am observat c\u0103 o mul\u021bime din site-urile mele WordPress au fost „c\u0103zute”. C\u00e2nd doream s\u0103 accesez interfa\u021ba public\u0103 sau pe cea de administrare, acestea nu func\u021bionau sau ap\u0103rea un mesaj de genul:<\/p>\n\n\n\n
\u201cCannot modify header information – headers already sent by (output started at \/path\/blog\/wp-config.php:34) in \/path\/blog\/wp-login.php on line 42,\u201d<\/p>\n\n\n\n
Nu am putut \u00een\u021belege cum s-ar fi putut schimba ceva \u00een condi\u021biile \u00een care am efectuat manual actualiz\u0103rile \u0219i numai eu am \u00eenc\u0103rcat site-urile.<\/p>\n\n\n\n
A\u0219a c\u0103 am decis s\u0103 fac backup la toate site-urile mele WordPress (\u0219i vorim de 34 de site-uri diferite). Pentru aceast\u0103 copie de rezerv\u0103, m-am conectat la serverul principal \u0219i am desc\u0103rcat tot con\u021binutul \u00eentr-un folder pe computerul personal. Aproape imediat mi-a ap\u0103rut Javascript Injection Codeantivirus afirm\u00e2nd c\u0103 \u00een fi\u0219iere existau viru\u0219i. N-am auzit niciodat\u0103 de un site care s\u0103 fie corupt cu viru\u0219i, mai ales c\u00e2nd acesta nu are dec\u00e2t o metod\u0103 de intrare.<\/p>\n\n\n\n
Am descoperit un \u0219ir de cod javascript \u00een sute de fi\u0219iere PHP. Multe dintre acestea nefiind \u00eenc\u0103rcate niciodat\u0103 de mine pe site-uri. Codul era ceva de genul (doar c\u0103 mult mai lung) :<\/p>\n\n\n\n
SwzMywzMyxfMHg0NDcwWzNdW18weDQ0NzBbMl1dKF8weDQ0NzBbMV0pLDAse30pKTs<\/p>\n\n\n\n
Ace\u0219tia se numesc „JavaScript Injection Viruses”. Exist\u0103 comenzi POST \u00eentr-o mul\u021bime de platforme (cum ar fi WordPress \u0219i Joomla) care permit unei persoane s\u0103 \u00eencarce un fi\u0219ier pe un server pur \u0219i simplu prin postarea acestuia. Ini\u021bial \u00eencarc\u0103 acel fi\u0219ier iar apoi \u00eel interogheaz\u0103, ceea ce le permite s\u0103 acceseze o parte sau \u00eentreaga structur\u0103 de fi\u0219iere, deschiz\u00e2nd astfel o gaur\u0103 masiv\u0103.<\/p>\n\n\n\n
De ce ar face cineva asta?<\/p>\n\n\n\n
De obicei motivul este simplu. Bani. Hacker-ului nu \u00eei pas\u0103 de site-ul dvs. \u0219i nu \u00eencearc\u0103 s\u0103 fie r\u0103u inten\u021bionat, ci doar s\u0103 utilizeze resursele serverului. Uneori \u00eel folosesc pentru a procesa comenzi de pe site-urile proprii, alteori \u00eencearc\u0103 s\u0103 fure puterea procesorului \u0219i memoria RAM, sau pur \u0219i simplu doresc s\u0103 aibe un spa\u021biu pentru a stoca fi\u0219iere pentru care ar prefera s\u0103 fi\u021bi prins dvs. \u00een locul lor.<\/p>\n\n\n\n
Ideea este c\u0103 exist\u0103 peste 74 de milioane de site-uri WordPress \u0219i \u00een acest caz discut\u0103m de foarte mult\u0103 putere de care hackerii pot abuza.<\/p>\n\n\n\n
Cum s\u0103 elimin\u0103m viru\u0219ii din WordPress?<\/p>\n\n\n\n
Exist\u0103 c\u00e2teva op\u021biuni atunci c\u00e2nd vine vorba de eliminare.<\/p>\n\n\n\n
Instrumente<\/p>\n\n\n\n
Exist\u0103 instrumente (pluginuri) pe care le pute\u021bi instala \u0219i care fac o treaba bun\u0103 nu neap\u0103rat \u00een a elimina, dar de asemenea \u00eempiedic\u00e2nd ca aceste cazuri s\u0103 se \u00eent\u00e2mple pe viitor. Dou\u0103 pe care le-am folosit personal sunt WordFence \u0219i NinjaFirewall. Ambele au o versiune gratuit\u0103 care v\u0103 va ajuta s\u0103 cur\u0103\u021ba\u021bi site-ul \u0219i s\u0103-l p\u0103stra\u021bi a\u0219a, \u00een schimb versiunea premium adaug\u0103 mai mult\u0103 finctionalitate.<\/p>\n\n\n\n
Rezolvarea personal\u0103<\/p>\n\n\n\n
De\u0219i \u00eemi plac instrumentele existente, am tendin\u021ba de a fi mai \u00eenc\u0103p\u0103\u021b\u00e2nat c\u00e2teodat\u0103 \u0219i vreau s\u0103 \u0219tiu c\u0103 totul a fost 100% eliminat. Deci, pentru majoritatea site-urilor mele, chiar dac\u0103 a durat ceva timp, am f\u0103cut urm\u0103toarele:<\/p>\n\n\n\n
Am \u00eenlocuit fi\u0219ierele WordPress de baz\u0103 (este foarte important s\u0103 va asigura\u021bi c\u0103 le \u00eenlocui\u021bi cu aceea\u0219i versiune pe care o ave\u021bi instalat\u0103)<\/p>\n\n\n\n
M-am uitat prin fiecare director \u0219i sub-director dup\u0103 fi\u0219ierele care nu aveau ce c\u0103uta acolo (ca upload.php \u00eentr-un folder de upload atunci c\u00e2nd nu ave\u021bi nevoie de el acolo). Acest lucru este pu\u021bin mai complicat deoarece va trebui s\u0103 \u0219ti\u021bi ce ar trebui s\u0103 existe \u0219i ce nu. Merit\u0103 men\u021bionat faptul c\u0103 \u00een majoritatea timpului nu ar trebui s\u0103 existe fi\u0219iere PHP sau HTML \u00een nici unul dintre folderele de upload, deoarece upload-urile sunt de obicei doar imagini, videoclipuri \u0219i documente. Dac\u0103 nu sunte\u021bi sigur c\u0103 este mali\u021bios, deschide\u021bi fi\u0219ierul \u00een editorul text \u0219i vede\u021bi dac\u0103 un cod de injec\u021bie (ca cel men\u021bionat mai sus) este \u00een fi\u0219ier.<\/p>\n\n\n\n
Odat\u0103 ce sunt sigur c\u0103 am eliminat tot ce era r\u0103u, fac o scanare a viru\u0219ilor pe \u00eentregul site, \u0219i \u00een cele din urm\u0103 \u00eel \u00eencarc \u00eenapoi unde \u00eei este locul.<\/p>\n","protected":false},"excerpt":{"rendered":"
Injectarea de viru\u0219i JavaScript Acum c\u00e2teva luni am observat c\u0103 o mul\u021bime din site-urile mele WordPress au fost „c\u0103zute”. C\u00e2nd doream s\u0103 accesez interfa\u021ba public\u0103 sau pe cea de administrare, acestea nu func\u021bionau sau ap\u0103rea un mesaj de genul: \u201cCannot modify header information – headers already sent by (output started at \/path\/blog\/wp-config.php:34) in \/path\/blog\/wp-login.php on<\/p>\n","protected":false},"author":1,"featured_media":1704,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[155],"tags":[9,18],"class_list":["post-1703","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-info","tag-gazduire","tag-wordpress"],"yoast_head":"\n