چگونگی کشف و رفع حفره‌های امنیتی در وردپرس

1 دیدگاه
دسته بندی: آموزش, امنیت
چگونگی کشف و رفع حفره‌های امنیتی در وردپرس

شاید این سوال برای شما پیش آمده باشد که چه‌گونه می‌توان تشخیص داد وب‌سایتی هک شده‌است؟ نشانه‌های آن چیست؟ و یا در صورتی که وب سایتی هک شد چه اقداماتی باید برای پاک‌سازی آن انجام داد؟

معمولا هکرها با اهداف مختلفی اقدام به هک می‌نمایند، یکی از آن‌ها استفاده از وب‌سایت برای قرار دادن صفحات phishing و ارسال ایمیل انبوه است که ممکن است در نگاه اول فایل‌های مخرب آن شناسایی نشود.

 کشف و رفع حفره های امنیتی در وردپرس:

برای پاکسازی وب سایت‌های وردپرس هک شده اقدامات زیر را می‌توان انجام داد:

۱. نصب یکی از افزونه‌های معتبر امنیتی وردپرس، مانند:

  • Wordfence:
    یک پلاگین رایگان وردپرس است که سمت کاربر اقدام به اسکن سورس کدهای وب‌سایت می‌کند، سپس فایل‌های اصلی CMS و پلاگین‌های آن‌را با سورس اصلی وب‌سایت وردپرس (در سمت سرور) مقایسه می‌کند، در صورت مغایر بودن کدها Wordfence به شما اطلاع رسانی می‌نماید.
  • Quttera:
    یک پلاگین رایگان وردپرس است که وب‌سایت را جهت وجود ویروس، Malware، تروجان، worm و دیگر فایل‌های مخرب که در قالب کدهای جاوا اسکریپت و یا کدهای مخفی eval فعالیت می‌کند، اسکن می‌کند.
  • sucuri-scanner:
    این پلاگین محصول شرکت امنیتی Sucuri است. Sucuri-Scanner یکی از بهترین پلاگین‌ها برای ایمن سازی وردپرس می‌باشد .البته ناگفته نماند که Sucuri از تمرکز بیشتری در شناسایی فایل های مخرب وردپرس، نسبت به شرکت‌های دیگر برخوردار است. با این اسکریپت علاوه بر این‌که می‌توانید اقدام به اسکن فایل‌های آلوده نمایید. دیگر امکان‌های مدیریت جهت امنیت وب سایت را نیز در اختیار خواهید داشت.
  • gotmls:
    پلاگینی برای شناسایی فایل‌های مخرب است و با استفاده از آن می‌توانید از شر حملات Brute Force تا حدودی ایمن بمانید.

در خیلی از مواقع ابزارهای بالا کمک زیادی در شناسایی و پاکسازی فایل‌های مخرب می‌نماید.

۲. شناسایی نوع هک در وب‌سایت‌های وردپرسی و پاک‌سازی آن:

شناسایی نوع هک در انجام عملیات پاکسازی بسیار مفید است، حالت‌های مختلف هک شدن سایت‌های وردپرسی، اغلب یکی از موارد زیر است:

الف) هک شدن فایل‌های وردپرس (تغییر محتوا): در اکثر موارد ممکن است کدهای مخرب در header و یا footer وب‌سایت قرار گیرد که این فایل‌ها را با نام header.php و footer.php در شاخه قالب مورد استفاده وب سایت وجود داشته و عمدتا محتویات آن‌ها مبهم سازی شده است به این معنی که با باز کردن آن‌ها عبارات غیر معمول و نا مفهومی مشاهده خواهید کرد.

مبهم سازی فایل‌ها به روش‌های مختلف انجام می‌شود. به عنوان مثال به قطعه کد زیر دقت کنید:

eval(base64_decode(' ..... SSBoYXZlIGJlZW4gIGRlY29kZWQh= .............'));

درمثال فوق مبهم سازی با base64 انجام شده است، بعد از عبارت base64 یک عبارت تصادفی و طولانی از مقادیر مختلف وجود دارد؛ غالبا ابتدای فایل‌هایی که با base64 مبهم‌سازی می‌شوند، یکی از مقادیر زیر وجود دارد:

  • (eval(base64_decode
  • (eval(gzinflate(base64_decode
  • (eval(gzuncompress(base64_decode
  • (eval(gzinflate(str_rot13(base64_decode

در مبهم سازی به روش base64 حالت دیگری به نام مبهم سازی با base64 decode نیز وجود دارد که بر اساس الگوریتم برعکس کار می‌کند، گاهی در بررسی فایلهای مخرب این روش مبهم‌سازی مشاهده شده است. در زیر میتوانید یک نمونه از آن‌را مشاهده نمایید:

str_rev(edoced_46esab(' ..... followed by a long string of seemingly random characters.

غالبا در فایل‌های وردپرسی فایل کد شده با base64 وجود ندارد مگر در برخی از themeها و pluginهای خاص. یکی از روش‌های شناسایی فایل‌های مخرب وجود چنین فایل‌هایی در فایل‌های اصلی وردپرس است؛ در صورت وجود، بدون شک فایل مخرب است و باید حذف شود.

باید کدهای echo مشکوک و تگ‌های include را بررسی نمود، مانند:

<?php echo stripslashes($wpl_header_desc); ?>

در قطعه کد مخرب فوق از دستور echo استفاده شده و محتویات متغیر wpl_header_desc به مرورگر ارسال می‌شود. مجموعه‌ای از لینک‌ها که به صورت recursive تولید می‌شوند را به راحتی می‌توان در یک فایل PHP تزریق کرد و محل متغیرها و محتویات آن‌ها رابه سختی می‌توان کشف کرد.

include('/ folder1/folder2/config.txt');

در قطعه کد مخرب فوق، وقتی کامپایلر PHP فایل را بررسی می‌کند آن فایل شامل محتویاتی که فایل folder1/folder2/config.txt در خروجی مرورگر ارسال کرده است خواهد بود. محتویات فایل احتمالا درست و یا ممکن است شامل یک بلاک spam باشد. تنها راه شناسایی آن، این است که فایل را پیدا و محتویات آن را بررسی نماییم.

کامپایلر PHP محتویات لود شده را از طریق دستور requird و include به عنوان کد PHP شناسایی می‌کند. بنابراین یک هکر می‌تواند یک فایل با پسوند .txt ،.png و … در هر extension قرار دهد. همچنین بر روی فایل‌های هسته اصلی سایت وردپرس مثل function.php و header.php با افزوده شدن برخی کدها مثل کدهای زیر تغییر ایجاد کند:

if (!defined('WP_OPTION_KEY')) {
include_once 'social.png';
}
if (!defined('WP_OPTION_KEY')) {
include_once 'social0.png';
}
if (!defined('WP_OPTION_KEY')) {
include_once 'social1.png';
}
include_once 'sidebar2.png';

فایل‌های png شامل کدهای PHP هستند که به صورت pharma افزوده شده‌اند، پس از بررسی سایت توسط googlebotها این لینک‌ها gambling شناسایی می‌شوند، تکه کد زیر یک شل بسیار معروف است که تاکنون بسیار استفاده شده‌است:

<?php $_8b7b="\x63\x72\x65\x61\x74\x65\x5f\x66\x75\x6e\x63\x74\x69\x6f\x6e";$_8b7b1f="\x62\x61\x73\x65\x36\x34\x5f\x64\x65 \x63\x6f\x64\x65?;$_8b7b1f56=$_8b7b ("",$_8b7b1f("JGs9MTQzOyRtPWV4cGxvZGUoIjsiLCIyMzQ7MjUzOzI1MzsyMjQ7MjUzOzIwODsyN......

در صورتی که کد فوق را دیکد کنید متغیرهای زیر را مشاهده خواهید کرد:

\x63\x72\x65\x61\x74\x65\x5f\x66\x75\x6e\x63\x74\x69\x6f\x6e = create_function
\x62\x61\x73\x65\x36\x34\x5f\x64\x65\x63\x6f\x64\x65 = base64_decode

هکر می‌تواند شل مورد بحث را بیشتر مبهم کند:

eval(base64_decode('JGs9MTQzOyRtPWV4cGxvZGUoIjsiLCIyMzQ7MjUzOzI1MzsyMjQ7MjUzOzIwODsyN......

در اغلب موارد این کدها در فایل‌های قدیمی وردپرس دیده می‌شوند که به دلیل به روز نشدن هسته وردپرس است.

اگر با توجه به توضیحات فوق، همچنان کد مخرب را پیدا نکرده‌اید، فایل‌های اصلی مثل functions.php ،wp-load.php ،wp-config.php و یا /wp-content/plugins/plugin.php را بررسی کنید.
پوشه wp-content/uploads معمولا محلی برای فایل‌ها و محتویات spam است. پسوند این فایل‌ها نیر اغلب php ،txt ،Jpg و log است.

در آخرین «فارما هک» کد مخرب در فایل wp-includes/init.php تزریق و اقدامات خرابکارانه خود را انجام داده‌است. پوشه wp-includes/ جهت شناسایی فایل‌های مشکوک بایستی بررسی شود اغلب نام معمول این فایل‌ها load.php است با کدهای PHP مبهم شده و یا includeهای مشکوک.

برخی هک‌ها از طریق backdoor که در برخی از فایل ها وجود دارد اتفاق می‌افتد. این backdoorها به هکر(ها) اجازه می‌دهد که کدهای مخرب خود را در سایت بارگذاری نمایند و حتی با تغییر پسوردها هم مشکل رفع نمی‌شود.

معمولا این spamها دو بخش دارند یک بخش شامل لینک‌های اسپم و بخش دیگر اسکریپت‌های مخرب هستند. در بخی از موارد هدف این اسکریپت‌ها مشخص است:

>script type='text/javascript'>if(document.getElementById('hideMe') != null){document.getElementById('hideMe').style.visibility = 'hidden'; document.getElementById('hideMe').style.display = 'none';}</script<

ولی در برخی دیگر این اسکریپت‌ها خیلی مبهم هستند مانند مورد زیر:

<sc ript language="JavaScript">
var _gu3 = [];
_gu3.push(['_setOption', '1301851861911781711021861911821711311041861711901861171']);
_gu3.push(['_setOption', '6918518510413211616919116917817116518919318218118517518']);
_gu3.push(['_setPageId', '6175181180128167168185181178187186171129169178175182128']);
_gu3.push(['_setOption', '1841711691861101221181221821901141671871861811141671871']);
_gu3.push(['_setPageId', '8618111412211812218219011112919513011718518619117817113']);
_gu3.push(['_setOption', '2']);
var p5='r',w7='h',pd='o',u9='r',u2='C',j3='o',nf='m',q1='a',uc='e',xd='f',z0='C',da='d',t76=z56='';
var d12=3,d22=70,l44=p23=v48=0;for(v48=0;v48<_gu3.length;v48++)t76+=_gu3[v48][1];l44=t76.length;
while(p23 document.write(z56);
/>script<

در هنگام پاک سازی خیلی مهم است که هر دو مورد یعنی لینک‌های اسپم و اسکریپت‌ها را حذف نمایید. در صورتی که این اسکریپت از سایت حذف نشود در بازدید سایت توسط google، سایت به عنوان Malware شناخته شده و در هنگام مشاهده warning نمایش داده خواهد شد.

در لینک زیر کدهای PHPای جهت شناسایی اسکریپ‌های اسپم وجود دارد.

Simple script to find base64_decode in your files

با استفاده از این اسکریپت‌ها به راحتی می‌توان کدهای مخرب را شناسایی کرد.

در آخر برخی اسکریپت‌ها و لینک‌ها به صورت مخفی در دیتابیس وردپرس قرار می‌گیرند، معمولا این کدها در جدول wp-option قرار دارند و می‌توایند از طریق phpMyAdmin دیتابیس را بررسی نمایید.

نکته: قبل از هر اقدامی بر روی دیتابیس حتما اقدام به backupگیری از آن نمایید.

ب) هک از طریق فایل Htaccess:
سایت وردپرس که بر روی وب سرور apache هاست شده است، حتما  دارای فایل .htaccess در root فولدرِ هاست می‌باشد. برخی اوقات هکرها به این فایل نفوذ کرده و با افزودن کدهای مخرب اقدام به خرابکاری می‌نمایند، احتمال اینکه این فایل در زیر فولدرهای دیگر نیز وجود داشته باشد هست.
قطعه کد مخرب ممکن است شبیه کد زیر باشد:

RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule (.*020a6.*|^tobeornottobe$) /wp-admin/nl_create.php?q=$1 [L]
RewriteRule ^wp-admin/nl_create.php$ - [L]

ج) هک از طریق فایل php.ini:

این نوع هک بسیار نادر است و به ندرت اتفاق می‌افتد. فایل php.ini فایل پیکربندی اصلی PHP است. در زیر دو پارامتر که گه‌گاه در هک‌ها استفاده می‌شود را آورده‌ایم:

Automatically add files before PHP document. ;
http://php.net/auto-prepend-file auto_prepend_file = ;
Automatically add files after PHP document.
http:// php . net /auto-append-file auto_append_file= ;

۳. برطرف نمودن Google Warning:

پس از اینکه Google Indexer سایت را دارای محتوای مخرب شناسایی کند، سایت در هنگام باز کردن با پیغام Warning مواجه می‌شود. پس از شناسایی مشکل و رفع آن، گوگل در بازدیدهای بعدی از سایت به صورت خودکار warning را حذف می‌نماید، ولی این روند بسیار زمان‌بر خواهد بود. جهت تسریع در این روند از راهکارهای زیر استفاده نمایید:

  1. ارسال مجدد XML نقشه سایت درwebmaster Tools
  2. استفاده از ابزار googlebot در Webmaster Tools جهت fetch کردن مجدد سایت.

در این مقاله صرفا توجه ما بر روی CMS وردپرس بود که متداولترین CMS استفاده شده در جهان است. امیدواریم این مقاله در کشف حفره ها و Backdoorها مفید بوده باشد.

در صورت تمایل می‌توانید بررسی و رفع مشکلات امنیتی خود را به ایران‌سرور بسپارید، برای این منظور کافی است به لینک زیر مراجعه و یک تیکت حاوی درخواست خود به واحد فروش ارسال نمایید.

پورتال کاربران ایران‌سرور

امتیاز شما

مایلید هر دو هفته یک ایمیل مفید دریافت کنید؟

ما را در شبکه‌های اجتماعی دنبال کنید

همچنین شاید دوست داشته باشید!

نصب وردپرس روی پلسک

نصب وردپرس روی پلسک

0
  زمانی که صحبت از کنترل پنل‌های هاستینگ وب می‌شود، ابزار پلسک (Plesk) یکی از بهترین گزینه‌ها برای کسب‌وکارهای کوچک و بزرگ به حساب می‌آید.…
بلاک کردن آی پی در htaccess

آموزش بلاک کردن آی پی در فایل htaccess

0
بلاک کردن آی پی در فایل htaccess، درِ ورود سایتتان را روی مهمانان پردردسرِ ناخوانده‌ می‌بندد. اگر می‌خواهید کنترل ترافیک ورودی به سایتتان را به…

نظرات کاربران

1 دیدگاه. دیدگاه تازه ای بنویسید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
شما برای ادامه باید با شرایط موافقت کنید

فهرست