क्या वर्डप्रेस बैकडोर था?
वर्डप्रेस-साइटों को डाउनलोड करने के लिए जेड्स जहर ने तौसेंडे को आगे बढ़ाया। वेबसाइटें देखें और देखें, um Betrug und Spam zu verbreiten . ओफ्ट सिंड सिच डाई आइजेंट्यूमर एंड एंटविकलर डेर इन्फेकशन निचट बेवुस्ट। डाई इंफेक्शन कन्न पर्सिस्ट सीन ओडर निच्ट। वर्डप्रेस-हिन्टरटुर, और बेस्टैंडिगकेइट औफ्रेचत्ज़ुएरहाल्टन। ईइन वर्डप्रेस-हिनटरटुर इस्ट डर कोड, डेर आइनेम एंग्रेफर अनबेफुगटेन और डौएरहाफ्टन जुग्रिफ औफ डेन सर्वर एरमोग्लिच्ट। इस समय इस्तमाल किया गया है। ओडर मंचमल कन्न एस सिच उम ईन इनफिजिएर्ट्स प्लगिन हैंडलन . जेडेन मोनाट को वर्डप्रेस-बैकडोर-हैक्स जैसे नए वेरिएंट मिलते हैं।
हैकर सिंड इम स्पील एंड वर्सुचेन, वर्डप्रेस बैकडोर ज़ू इंजीज़िरेन। इम लाउफ़े डेर जाह्रे वर्डन मेहरेरे प्लगइन्स वर्वेनडेट, उम इन्फेकशन ज़ू वर्बीटेन। डाहर कोनते डाई बेड्रोहंग वॉन überall kommen। स्पैटर कन्न दास एंटरफर्नन वर्डप्रेस-बैकडोर्स ज़ीट- और रिसोर्सनिनटेन्सिव सीन। वोरब्यूगेंडे मेनहमेन कोन्नेन डेन शाडेन जेडोक इमर कॉन्ट्रोलिएरेन। अच्छी तरह से वर्डप्रेस-साइट कन्न डेन एंग्रीफ वर्ज़ोगर्न, वेन निच्ट वर्हिन्डर्न। इन डीज़म ब्लॉग एरफ़ारेन सी मेहर über das Finden und Repaireren einer WordPress-Hintertür।
वेरवांड्टे एनलीतुंग - वोलस्टैन्डिज श्रिट-फर-श्रिट-एनलीतुंग ज़ूर वर्डप्रेस-सिचेरहेइट (रेडुज़िरेन सी दास रिसिको, गेहाकट ज़ू वेर्डन, उम 90%)
क्या führt zu einem वर्डप्रेस बैकडोर हैक था?
दास आइनरिचटेन ने वर्डप्रेस-साइट को संशोधित किया है। मेहरेरे लुकेन कोनन जेडोच डेन वेग फर ईइन वर्डप्रेस-हिंटरटुर इब्नेन। डेर ईनफैचिट हलबर कोनन विर एस औफ डाई वेनिजेन बेसच्रेंकेन। डाईस सिंध:
- मंचमल कन्न एस एन एनेम फेहलरहाफ्टन प्लगिन ओडर ईनेम थीमा लिजेन ।
- डाई एनमेल्डइनफॉर्मेशनन फर इह्रे साइट सिंड मोग्लिचेरवाइज स्चवाच ओडर स्टैण्डर्डमाइग।
- डेटिबेरेचटिगुंगेन कोन्नन श्वाच सीन और वर्ट्रुलिच डेटियन वर्फुगबार मशीन।
- कीन फ़ायरवॉल और सिचेरहेइट्सलोसुंग वर्वेनडेन।
- स्थापना moglicherweise Veraltet है।
- फ्रीगैबे ने वेबसाइटों के लिए सर्वरों को इंफिज़िएरटेन किया है। फ्रैगन सी इहरेन डिएनस्टीनबीटर नच सबनेटजेन।
WordPress Backdoor Finded
थीम में वर्डप्रेस बैकडोर को सुचेन करें
निष्क्रिय थीम्स सिंड डेर बेस्टे ऑर्ट, उम ईइन वर्डप्रेस-हिंटर्टुर ज़ू वर्स्टेकेन। हैकर सिंध सिच डायजर तत्सचे बेवस्ट एंड सुचेन हॉफिग औफ इहरर वेबसाइट नच सॉल्चेन थीम। डेर ग्रंड दफुर इस्त, दास सी डॉर्ट वेनिगर वाहर्सचिन्लिच नचसेन, दा एस इनकटिव इस्त। WP थीम्स में सभी कृतियों के नाम शामिल हैं functions.php . डीज़ डेटी इस्ट फर डेन ऑफ्रफ वॉन नेटिवम पीएचपी, वर्डप्रेस एंड एंडरेन फंकशनन वेरेंटवर्टलिच। इनफैचेन वोर्टेन कन्न में भी वर्वेन्डेट वेर्डन, उम जेड आर्ट वॉन ऑपरेशन औज़फुहरेन। अक्सर वर्सुचेन एंग्रेफ़र, डाइज़ डेटी ज़ू इंज़िज़िरेन, उम ईन वर्डप्रेस-हिनटरटुर ज़ू एरहल्टन। आइन सॉल्चेस बीस्पील इस्ट इम बिल्ड अनटेन डार्जस्टेल्ट।
डेर डेटी functions.php में स्कैडकोड में मर जाता है . Es wird ausgelöst, Wenn der Angreifer die URL besucht. www.yoursite.com/wp-includes/registration.php डैन एर्स्टेल्ट डाइस फंकशन इनेन न्यूएन बेनुत्ज़र मिट
id: backdooradmin
password: Pa55W0rd.
सेल्बस्ट वेन सी डेन बेनुत्ज़र लोशेन, और डर्च ऑफ़्रुफ़ेन डीज़र यूआरएल अर्न्युट एर्स्टेल्ट वर्डेन। वर्डप्रेस-हिंटरट्यूर के रूप में टाइप करें। डीज़र कोड कन्न जेडोच नूर ईन्गफुगट वर्डेन, ज़्यूरस्ट ज़ुग्रिफ औफ़ डेन सर्वर गेवार्ट विर्ड। मोग्लिचेरवाइस विर्ड ईन अपराधी एफ़टीपी-पोर्ट और एंडेरे लुकेन वर्वेंडेट।
WordPress में über Backdoors Besorgt? श्रेइबेन सी उन ईन नचिरच्ट इम चैट-विजेट एंड वाइर हेल्फेन इहेंन गेर्न बी डेर बेहेबुंग। वर्डप्रेस-वेबसाइट .
सुचेन वॉन वर्डप्रेस पिछले दरवाजे प्लगइन्स में
और वर्डप्रेस-बैकडोर-हैक इस्ट हैउफिग औफ फेहलरहाफ्टे प्लगइन्स ज़र्कज़ुफुहरेन। इम लाउफे डेर जहरे वर्डन मेहरेरे प्लगइन्स और फेहलरहाफ्ट बेफंडन। दीसेम में जहर युद्ध दास संपर्क सूत्र 7 दास लेत्ते। ईएस गिबट मेहर अल 5 मिलियनन सक्रिय बेनुत्ज़र प्लगइन्स मर जाता है। इम गेगेन्सत्ज़ दाज़ू फ़ुहरते डेर फेहलर ज़ू आइनर एस्केलेशन डेर बेरेचिगुंगेन। Wenn Plugin-Dateien geändert werden, sind sie moglicherweise nicht im Dashboard sichtbar. एइन एफ़टीपी-सुचे कन्न जेडोच सॉल्चे डेटियन औफ़डेकेन। उम एस लेजिटिम औसेहेन ज़ू लसेन, वेर्डन बैकडोर-डेटियन अल्स हिल्फेडेटियन बेज़िचनेट। डाई ग्रुंडे, वारम बैकडोर इन प्लगइन्स जिफंडन वर्डेन, सिंध:
- निच्ट वर्वेंडेट प्लगइन्स सिंड एहर इनफ़िज़िएर्ट। नूर वेइल सी हिंटरटुरेन लैंग वर्स्टेकेन कोनन।
- Nicht vertrauenswürdige und unpopuläre Plugins sind of schlecht codiert. डाइस एरहोट डाई वाहर्सचेइनलिचकिट वर्डप्रेस-बैकडोर-हैक्स।
- Veraltete प्लगइन्स सिंद एहर दास ज़ील। नूर वेइल विएले सी नोच ओहने अक्टुअलिसिएरंग औसफुहरेन।
- डाईज़ fehlerhaften प्लगइन्स können beim ndern anderer Kerndateien helfen।
अचटेन सी डाहर औफ अनबेकन्टे प्लगइन्स। Bereinigen Sie Alle nicht verwendeten Plugins!
इंस्टालेशन डेटिएन में सुचेन डेर वर्डप्रेस-हिंटरटुर
दास ndern der Kerndateien erfolgt al Nachstes, nachdem das Plugin infiziert wurde. इन डेन बेसिसडेटियन बीफिंडेट सिच मोग्लिचेरवाइज अनरवुन्सचटर कोड, ऑडर एस वेर्डन न्यू डेटियन एंजेजिगट। मंचमल सिहत डाई हिंटरटुर हायर सो औस:
$t43="l/T6\\:aAcNLn#?rP}1\rG_ -s`SZ\$58t\n7E{.*]ixy3h,COKR2dW[0!U\tuQIHf4bYm>wFz<admin@wsxdn.com&(BjX'~|ge%p+oMJv^);\"k9";
$GLOBALS['ofmhl60'] = ${$t43[20].$t43
डीज़र कोड bekannten Techniken verschleiert के साथ है। डेज़ एर्शवर्ट दास लेसन फर मेन्सक्लिचे बेनुत्ज़र। Achten Sie भी auf solch ful aussehenden code und entfernen Sie die dateien, die ihn enthalten. मंचमल कन्न डाई हिंटरटुर प्रसेंटिएरेन सिच आच अल्स वैध डेटी वेई xml.php , media.php , plugin.php यूएसडब्ल्यू। इसके अलावा निचट überspringen जेडे डेटी सेल्बस्ट वेन ब्लिक लेजिटिम। Darüber hinaus gibt es andere Techniken, die das Lesen von Code erschweren.
Achten Sie auch auf das Schlüsselwort FilesMan in Ihren Dateien. Zum Beispiel ist dies der Dump des berüchtigten Backdoor Filesman:02 . Diese Hintertür ist schwer zu erkennen und in Protokollen nicht sichtbar. Es wird verwendet, um Passwörter und andere Details zu stehlen.
<?php $auth_pass = ""; $color = "#df5"; $default_action = "FilesMan"; $default_charset = "Windows-1251"; preg_replace("/.*/e","x65x76x61x6Cx28x67x7Ax69x6Ex66x6Cx61x74x65x28x62x61x73x65x36x34x5Fx64x65x63x6Fx64x65x28'7b1tVxs50jD8OXvO9R9Er3fanhhjm2Q2Y7ADIZCQSSAD5GUC3N623bZ7aLs93W0Mk+W/31Wll5b6xZhkdq/7OedhJtDdKpVKUkkqlapK3rDM1tzJLL4tl7qn+ycf90/O7ddnZ++7H+Ctu/t..NRCty4s8Uh1VQKxLg+xQC0T93+IV4sxw/c08okR1wKtoyadLX6Dl6tDg3WxVxFoHhkj6Yn/xc='x29x29x29x3B","."); ?>
Zum Beispiel ist der Code in der 6. Zeile in hexadezimaler Form. Bei der Konvertierung würde es ungefähr so aussehen :preg_replace("/.*/e","eval(gzinfla\ . Es gibt online verfügbare Tools zum Dekodieren von Hex-Zeichen. Benutze sie! Außerdem kann der Angreifer Code mithilfe der Base64-Codierung ausblenden. Behandle es also ähnlich. Hier steht das Schlüsselwort FilesMan in der 4. Zeile. Solche Varianten dieser Infektion haben dieses Schlüsselwort. Manchmal ist es möglich, dass der Code sensible Dateien wie manipuliert .htaccess . Schauen Sie sich diese also genau an!
Wie WordPress Backdoor Hack zu beheben?
Prüfsumme vergleichen
Der erste Schritt besteht darin, die Prüfsummen zu vergleichen. Es ist eine heuristische Bestimmung der Dateiintegrität. Manuelle Inspektion kann durchgeführt werden. Darüber hinaus stehen hierfür automatisch Werkzeuge zur Verfügung. Nicht nur für Kerndateien, sondern auch für Plugins und Themes stehen Prüfsummen zur Verfügung. Darüber hinaus können Sie eine persönliche schwarze Liste führen. Dies kann mithilfe von öffentlich zugänglichen Listen erfolgen . Nachdem die Prüfsummen nicht übereinstimmen, gehen Sie manuell vor, um WordPress-Backdoors zu entfernen.
Benötigen Sie professionelle Hilfe, um WordPress Backdoors zu entfernen? Schreiben Sie uns eine Nachricht im Chat-Widget und wir helfen Ihnen gerne weiter. Repariere jetzt meine WordPress-Website .
Integrität der Kerndateien
Zweitens, nachdem Dateien verschiedene Prüfsummenwerte angezeigt haben, überprüfen Sie sie manuell. Es ist sehr wahrscheinlich, dass der WordPress-Backdoor-Hack Dateien manipuliert hat. Somit kann die Integrität von Installationsdateien überprüft werden. Laden Sie zunächst eine neue Version von WordPress herunter .
$ mkdir WordPress
$ cd WordPress
Dieser Befehl hat ein Verzeichnis mit dem Namen erstellt WordPress und auf dieses umgeschaltet.
$ wget https://github.com/WordPress/WordPress/archive/4.9.8.zip
$ tar -zxvf 4.9.8.zip
Laden Sie jetzt die neueste Version von WordPress (in diesem Fall 4.9.8) mit der ersten Codezeile herunter. Die zweite Zeile extrahiert es dann. Nach Abschluss dieser Aufgaben folgt der entscheidende Schritt. $ diff -r path/to/your/file.php /Wordpress/wp-cron.php . Dieser Code vergleicht den Unterschied zwischen den beiden Dateien. Da die WordPress-Hintertür Ihre Dateien bearbeitet hätte, werden die Änderungen angezeigt. Einige Dateien sind jedoch dynamisch wie die xmlrpc.php . Diese Datei hilft Benutzern und Diensten, über RPC mit der Site zu interagieren. Hacker wissen das und versuchen oft, hier die Hintertür zu verstecken. Überprüfen Sie dies daher gründlich, um WordPress-Hintertüren zu finden und zu entfernen.
Kodierungen
Manchmal werden Dateien möglicherweise geändert, sind jedoch für Sie möglicherweise nicht lesbar. Anschließend können Sie mit der Bereinigung des WordPress-Backdoor-Hacks beginnen, indem Sie nach Base64- Codierungen suchen . Hier grep kann der Befehl die Wunder vollbringen. Verwenden Sie den folgenden Befehl:
find . -name "*.php" -exec grep "base64"'{}'\; -print &> output.txt
Dieser Befehl listet alle base64-Erkennungen in output.txt übersichtlich auf. Ab hier können Sie es mit Online- Tools in Klartext dekodieren . Wenn Sie in anderen Dateien suchen möchten, als .php nur das Wort *.php im Code zu ersetzen . Darüber hinaus könnte der Schadcode auch im Hex-Format vorliegen. Also könntest du verwenden grep -Pr "[\x01\x02\x03]" . Für andere ähnliche Codierungen wiederholen Sie diesen Schritt. Löschen Sie diese Dateien oder Zeilen mit schädlichem Code, um WordPress-Backdoors zu entfernen.
Verwenden von Serverprotokollen
Die Serverprotokolle können helfen, WordPress-Backdoors zu entfernen. Zunächst müssen Sie sehen, welche Dateien nach einem bestimmten Datum bearbeitet wurden. Durchsuchen Sie außerdem die FTP-Protokolle, um die IP-Adressen anzuzeigen, die für die Verbindung mit Ihrem Server verwendet werden. Behalten Sie die zuletzt bearbeiteten Dateien im Auge. Achten Sie außerdem auf den Bildordner. Niemand erwartet, dass ausführbare Dateien in Bildordnern vorhanden sind. Darüber hinaus kann der Bildordner beschreibbar sein. Deshalb lieben es Hacker, dort Hintertüren zu verstecken. Stellen Sie außerdem sicher, dass die Berechtigungen für vertrauliche Dateien geeignet sind. Stellen Sie daher Ihre Dateiberechtigungen auf 444 (r–r–r–) oder vielleicht ein 440 (r–r—–) . Siehe speziell für Änderungen im Bilderordner.
Aktualisieren und sichern
Die Wichtigkeit der Aktualisierung Ihrer WordPress-Website wurde immer wieder betont. Eine veraltete Installation ist so gut wie eine infizierte.
Wenn Sie die Ursache des WordPress-Backdoor-Hacks nicht nachverfolgen können, stellen Sie ihn erst nach der Sicherung der aktuellen Site aus dem Backup wieder her und vergleichen Sie die beiden.
Wenn Sie noch kein Backup haben und die WordPress-Kerndateien durch die neuen ersetzen möchten. Dazu müssen Sie Ihre WordPress-Website manuell aktualisieren, nachdem Sie die aktuelle Site-Sicherung erstellt haben.
Wenn bei den von Ihnen verwendeten Plugins eine Sicherheitslücke gemeldet wird, wird außerdem empfohlen, diese sofort zu aktualisieren. Wenn der Patch zu lange dauert, ersetzen Sie ihn durch die Alternativen. Es wird empfohlen, mit offiziellen Blogs auf dem Laufenden zu bleiben, um Patches frühestens zu erhalten.
Verwenden Sie den WordPress Backdoor Scanner
Menschen sind fehleranfällig. Die manuelle Überprüfung ist mühsam und fehleranfällig. Dies kann dazu führen, dass der WordPress-Backdoor-Hack erneut auftritt. Die Lösung hierfür ist also die Automatisierung. Es gibt heute ziemlich fortschrittliche Tools auf dem Markt. Diese Scanner können WordPress-Hintertüren erkennen und entfernen. Einer davon ist der Astra Malware Cleaner . Es wird nicht nur Ihre Website bereinigen, sondern auch vor zukünftigen Infektionen schützen. Es ist preiswert und gibt Ihnen einen umfassenden Überblick. Es würde Ihre wertvollen Ressourcen und Zeit sparen!