Чићшење базе података зараженог WordPress сајта

Унутар базе зараженог/хакованог сајта можемо наћи спам садржај и/или помоћни код који ће бити искоришћен од стране малициозног кода у фајловима сајта. Ево на шта треба да обратимо пажњу:

Лажни налози

Лажни налози најчешће имају статус администратора и лако их је уочити јер сајтови обично немају огроман број администратора и уколико сте упућени у то ко су све администратори на сајту, лако је видети ко је „вишак“. Приликом већине напада добијају генеричка имена и имејл адресе, попут wpadmin, wpsupport, [email protected] итд.

Спам садржај

Гомила линкова ка сајтовима који продају лекове, порно или дејтинг сајтовима или једноставно ка другим сајтовима који садрже малвер који су убачени у чланке и странице сајта су уобичајена појава. Ово се може негативно одразити на сајт у контексту резултата Гугл претраге.

спам у резултатима претраге

Уклањање се своди углавном на едитовање садржаја или кроз едитор стране или директно у бази података. Уколико је у питању велика количина података, додаци попут могу бити од помоћи. А уколико спам уноси нису истог формата (нпр. на једном месту имате линкове, на другом текст, и све од овога је различито), може се десити да сав посао морате да одрадите ручно.

Табела wp_options

Ова табела, наравно, чува већину подешавања самог WP-a, тема и додатака. Код неких врста напада, међу опције се убацује малициозни JS код, спам текст или нека друга врста payloada.

На пример, релативно популарна Newspaper тема је имала велики сигурносни пропуст. У то време, сваки сајт на ком сам радио а имао је наведену тему, увек је био мета напада – што ми је значајно олакшавало посао. Овај пропуст је дозволио људима који нису улоговани на сајт да уносе подешавања у базу, односно да мењају постојећа. Тако смо дошли до овога:

JS код за редирекцију посетилаца сајта, који се налази у опцијама теме

Или познати WP_VCD малвер који у неким својим верзијама у wp_options зна да дода истоимену опцију коју даље користи за своје потребе.

Закључак

Поменућу још и спам коментаре, мада у већини случајева ово само значи да имате лошу анти-спам заштиту на формама за коментаре (tl;dr – користите Акисмет).

Дакле, код базе података је потребно обратити пажњу на: лажне кориснике, спам линкове, малициозни JS код, податке и опције енкодиране користећи base64 и др.

Оставите одговор

Ваша адреса е-поште неће бити објављена. Неопходна поља су означена *