O que é um backdoor?
Um backdoor malicioso é um código que permite o acesso não autorizado e muitas vezes irrestrito a um site comprometido. Eles permitem aos atacantes o acesso a todos os ficheiros dentro da conta de alojamento. Os backdoors podem parecer código php normal ou ofuscados (intencionalmente obscurecidos para tornar o código ambíguo) e escondidos. Um backdoor pode ser inserido num ficheiro válido como apenas uma linha curta de código que parece bastante inocente. Ou, uma porta de trás pode ser um ficheiro autónomo. O acesso pela porta traseira permite a um atacante colocar qualquer código malicioso no site. Os backdoors são frequentemente encontrados em conjunto com outro malware.
Determinar se o seu site está infectado
Backdoors podem ser difíceis de encontrar uma vez que são frequentemente códigos ofuscados. Normalmente, se houver uma porta traseira, há outras que podem ou não ter a mesma aparência. Por vezes, os backdoors são scripts de manutenção sem segurança deixados acidentalmente para trás após manutenção autorizada do site.
Um proprietário de site muitas vezes desconhece que existem backdoors no site, no entanto, se for encontrado qualquer outro malware no site, é provável que existam também muitos ficheiros de backdoor ou injecções de código, permitindo que um atacante possa entrar no site.
Localizar e remover backdoors
Remover backdoors requer uma análise do código do site. Os backdoors são normalmente encontrados dentro de ficheiros php no servidor web. Podem ser inseridos no seu núcleo, plugin, ou ficheiros temáticos, ou podem ser um ficheiro autónomo. Podem ser encontrados em qualquer directório acessível ao público no seu servidor que possa ser facilmente acessível pela pessoa que os colocou.
Para remover o backdoor, crie primeiro uma cópia de segurança dos ficheiros do sítio e da base de dados. É útil rever os seus ficheiros de registo de acesso http em bruto, uma vez que a utilização de backdoor é normalmente feita através de um pedido POST HTTP a um ficheiro.
Uma conta administrativa comprometida pode permitir que o atacante utilize o editor de tema principal para adicionar uma backdoor ao ficheiro 404 de um tema. Desta forma, cada pedido ao seu site que gera uma mensagem de erro 404 serve uma backdoor que pode ser utilizada por qualquer pessoa que saiba que está lá.
Remover a backdoor requer encontrar o código que permite o acesso não autorizado e remover esse código. Requer uma compreensão do código que opera o seu site.
Rogue File Backdoors
Aqui estão algumas amostras de backdoors encontrados como ficheiros desonestos, ou ficheiros que não fazem parte do núcleo do plugin, tema, ou sistema de gestão de conteúdos. Têm nomes que parecem inocentes ou semelhantes a outros ficheiros centrais, tais como xml.php, media.php, plugin.php, etc. e podem ser colocados em qualquer parte do site. O código num ficheiro desonesto pode começar como estes:
$t43="l/T6\\:aAcNLn#?rP}1\rG_ -s`SZ\$58t\n7E{.*]ixy3h,COKR2dW = ${$t43.$t43
É importante não só procurar ficheiros estranhos no seu sítio, mas examinar cada ficheiro.
Backdoor Plugins e Temas
Se uma conta administrativa for comprometida, os atacantes usam frequentemente as capacidades de carregamento de plugins ou temas de um site para adicionar backdoors.
Se um plugin for adicionado com backdoors, pode ou não aparecer na sua página de administração de plugins. Os ficheiros de plugins maliciosos são muitas vezes escondidos da vista e só são visíveis no sistema de ficheiros através do seu gestor de ficheiros ou FTP. São muitas vezes nomeados coisas que parecem úteis, tais como:
- WordPress Support
- Login Wall
- WP zipp
- WP-Base-SEO
Plugins podem ser instalados que pareçam plugins normais, nomeados algo como Akismet3 juntamente com alguns ficheiros Akismet válidos mais antigos mas com código de backdoor contido nos ficheiros carregados.
Arquivos temáticos também podem ser adicionados contendo backdoors. O tema WordPress Sketch foi, durante algum tempo, um tema popular carregado por homens com numerosos ficheiros de backdoor dentro dele. O tema pode aparecer na página de administração do tema, ou pode faltar alguns ficheiros e estar listado na parte inferior dessa página como um tema inactivo porque faltam alguns ficheiros.
Se tiver temas ou plugins que não reconheça, remova-os. Mas também precisará de rever o resto dos seus ficheiros. Muitas vezes um backdoor é um meio de adicionar mais backdoors em todo o site, incluindo a edição de ficheiros centrais para adicionar funcionalidade de backdoor dentro deles.
Core File Backdoor Inserts
Arquivos centrais do seu Sistema de Gestão de Conteúdos podem ter backdoors inseridos neles. Podem ser adicionados ao início do ficheiro, ao fim do ficheiro, e em alguns casos intercalados dentro do código válido do próprio ficheiro principal.
Este código, ou código como este, é muitas vezes adicionado ao topo de uma página válida.
if (isset($_REQUEST)){$_FILE =$_REQUEST('$_',$_REQUEST.'($_);');$_FILE(stripslashes($_REQUEST));}
Aqui está outro exemplo.
Outros backdoors são altamente ofuscados e podem começar assim.
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\
Muitas vezes haverá referências ao Gestor de Ficheiros algures dentro do ficheiro de backdoor.
$default_action = "FilesMan";
Por vezes um backdoor escreve especificamente conteúdo malicioso para um ficheiro específico, neste caso, redirecciona para o ficheiro .htaccess file.
Sripts de manutenção não seguros
Sripts de manutenção são por vezes deixados para trás após a realização da manutenção. Estes scripts são mais tarde descobertos por atacantes e explorados. Um script de manutenção popular é o searchreplacedb2.php que permite o acesso irrestrito à base de dados do sítio.
Looking Beyond the Backdoor
Backdoors são mais frequentemente utilizados como meio para um fim em conjunto com outras páginas maliciosas. Se tiver backdoors, é muito provável que tenha outro malware no seu site, tais como páginas de spam, ligações de spam, operações de phishing ou redireccionamentos maliciosos.
Não importa que tipo de backdoor encontrou no seu site, a grande questão é: como é que lá chegou? Pode haver outros tipos de malware ou vulnerabilidades de segurança no seu site que permitiram que um atacante tivesse acesso ao site. Os atacantes colocam frequentemente vários backdoors, alguns semelhantes, outros diferentes, pelo que uma revisão de todo o site é importante.
Se depois de ler este guia, não tiver a certeza de como remover backdoors, se não tiver a certeza se os removeu todos, ou se estiver à procura de mais respostas sobre como o código foi colocado no seu site, obtenha ajuda.