Co to jest backdoor?
Złośliwy backdoor to kod, który umożliwia nieautoryzowany i często nieograniczony dostęp do zagrożonej strony. Umożliwiają one atakującym dostęp do wszystkich plików znajdujących się na koncie hostingowym. Backdoory mogą wyglądać jak normalny kod php lub jak kod obfuskowany (celowo zamaskowany, aby kod był niejednoznaczny) i ukryty. Backdoor może być wstawiony do poprawnego pliku jako jedna krótka linijka kodu, która wygląda raczej niewinnie. Backdoor może też być samodzielnym plikiem. Dostęp do backdoora pozwala atakującemu na umieszczenie na stronie dowolnego złośliwego kodu. Backdoory są często znajdowane w połączeniu z innym złośliwym oprogramowaniem.
Determinowanie, czy Twoja witryna jest zainfekowana
Backdoory mogą być trudne do znalezienia, ponieważ często są ukrytym kodem. Zazwyczaj, jeśli istnieje jeden backdoor, istnieją inne, które mogą, ale nie muszą wyglądać tak samo. Czasami backdoory są niezabezpieczonymi skryptami konserwacyjnymi, przypadkowo pozostawionymi po autoryzowanej konserwacji witryny.
Właściciel witryny często nie jest świadomy istnienia backdoorów na stronie, jednak jeśli na witrynie znaleziono inne złośliwe oprogramowanie, istnieje prawdopodobieństwo, że wiele plików backdoorów lub wstrzyknięć kodu również istnieje, umożliwiając atakującemu uzyskanie dostępu do witryny.
Znalezienie i usunięcie backdoorów
Usunięcie backdoorów wymaga analizy kodu witryny. Backdoory zazwyczaj znajdują się w plikach php na serwerze WWW. Mogą być wstawione do plików rdzenia, pluginów, motywów lub mogą być samodzielnymi plikami. Można je znaleźć w każdym publicznie dostępnym katalogu na Twoim serwerze, który może być łatwo dostępny dla osoby, która go umieściła.
Aby usunąć backdoora, najpierw utwórz kopię zapasową plików witryny i bazy danych. Pomocne jest przejrzenie plików dziennika dostępu, ponieważ backdoor jest zazwyczaj wykorzystywany przez żądanie HTTP POST do pliku.
Zaatakowane konto administracyjne może pozwolić atakującemu na użycie edytora motywów do dodania backdoora do pliku 404 motywu. W ten sposób każde żądanie do witryny, które generuje komunikat o błędzie 404, dostarcza backdoora, który może być użyty przez każdego, kto wie, że tam jest.
Usunięcie backdoora wymaga znalezienia kodu, który pozwala na nieautoryzowany dostęp i usunięcia go. Wymaga to zrozumienia kodu, który obsługuje twoją witrynę.
Wyłudzone pliki backdoorów
Oto kilka przykładów backdoorów znalezionych jako nieuczciwe pliki, lub pliki, które nie są częścią głównej wtyczki, motywu lub systemu zarządzania treścią. Mają one nazwy, które wydają się niewinne lub podobne do innych podstawowych plików, takich jak xml.php, media.php, plugin.php, itp. i mogą być umieszczone w dowolnym miejscu na stronie. Kod w nieuczciwym pliku może zaczynać się tak jak poniżej:
$t43="l/T6\\:aAcNLn#?rP}1\rG_ -s`SZ\$58t\n7E{.*]ixy3h,COKR2dW = ${$t43.$t43
Ważne jest, aby nie tylko szukać obcych plików na swojej stronie, ale sprawdzać każdy plik.
Wtyczki i motywy z backdoorami
Jeśli konto administracyjne jest zagrożone, atakujący często używają możliwości wgrywania wtyczek lub motywów na stronę, aby dodać backdoory.
Jeśli wtyczka jest dodana z backdoorami, może, ale nie musi pojawić się na stronie administracyjnej wtyczki. Złośliwe pliki wtyczek są często ukryte przed wzrokiem i widoczne tylko w systemie plików poprzez menedżera plików lub FTP. Często mają nazwy, które wydają się pomocne, takie jak:
- WordPress Support
- Login Wall
- WP zipp
- WP-Base-SEO
Wtyczki mogą być zainstalowane, które wyglądają jak normalne wtyczki, nazwane coś jak Akismet3 wraz z niektórymi starszymi ważnymi plikami Akismet, ale z kodem backdoora zawartym w przesłanych plikach.
Pliki motywów również mogą być dodawane i zawierać backdoory. Motyw WordPress Sketch był przez pewien czas popularnym, obciążonym złośliwym oprogramowaniem motywem, który zawierał liczne pliki backdoora. Motyw może pojawić się na stronie zarządzania motywami lub może brakować niektórych plików i być wymieniony na dole tej strony jako nieaktywny motyw, ponieważ brakuje mu niektórych plików.
Jeśli masz motywy lub wtyczki, których nie rozpoznajesz, usuń je. Ale będziesz musiał również przejrzeć resztę plików. Często jeden backdoor jest środkiem do dodania większej ilości backdoorów w całej witrynie, włączając w to edycję plików rdzeniowych w celu dodania funkcjonalności backdoora w ich obrębie.
Wstawki backdoorów do plików rdzeniowych
Pliki rdzeniowe twojego systemu zarządzania treścią mogą mieć wstawione backdoory. Mogą one być dodane na początku pliku, na końcu pliku, a w niektórych przypadkach w samym kodzie pliku core.
Ten kod, lub kod podobny, jest często dodawany na górze ważnej strony.
if (isset($_REQUEST)){$_FILE =$_REQUEST('$_',$_REQUEST.'($_);');$_FILE(stripslashes($_REQUEST));}
Tutaj jest inny przykład.
Inne backdoory są bardzo obfuskowane i mogą zaczynać się tak.
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\
Często gdzieś w pliku backdoora znajdują się odniesienia do FilesMana.
$default_action = "FilesMan";
Czasami backdoor specjalnie zapisuje złośliwą zawartość do konkretnego pliku, w tym przypadku przekierowuje do pliku .htaccess.
Niezabezpieczone skrypty konserwacyjne
Skrypty konserwacyjne są czasami pozostawiane po przeprowadzeniu konserwacji. Skrypty te są później odkrywane przez napastników i wykorzystywane. Jednym z popularnych skryptów konserwacyjnych jest searchreplacedb2.php, który umożliwia nieograniczony dostęp do bazy danych witryny.
Spojrzenie poza backdoora
Backdoory są najczęściej używane jako środek do celu w połączeniu z innymi złośliwymi stronami. Jeśli masz backdoory, najprawdopodobniej masz na swojej witrynie inne złośliwe oprogramowanie, takie jak strony spamowe, linki spamowe, operacje phishingowe lub złośliwe przekierowania.
Niezależnie od tego, jaki typ backdoora znalazłeś na swojej witrynie, najważniejsze pytanie brzmi: jak on się tam dostał? Na Twojej witrynie mogą znajdować się inne rodzaje złośliwego oprogramowania lub luki w zabezpieczeniach, które umożliwiły atakującemu uzyskanie dostępu do witryny. Atakujący często umieszczają wiele backdoorów, niektóre podobne, niektóre różne, więc przegląd całej witryny jest ważny.
Jeśli po przeczytaniu tego przewodnika nie jesteś pewien, jak usunąć backdoory, jeśli nie jesteś pewien, czy usunąłeś je wszystkie, lub szukasz więcej odpowiedzi na pytanie, jak kod został umieszczony na twojej witrynie, skorzystaj z pomocy.