Hledáme malware ve WordPress pomocí Total Commander

Dneska si ukážeme jak můžete najít malware ve WordPress pomocí oblíbeného programu Total Commander. Spousta z vás jej využívá i jako FTP klienta. Je kompletně zdarma a má i český překlad. Samozřejmě existují efektivnější způsoby pokud máte VPS, ale dnes se opravdu zaměříme na běžné administrátory, kteří mají vše na obyčejném sdíleném webhostingu bez SSH. Těm zkušenějším zřejmě přijdou některé kroky podivné, možná i zbytečné. Návod je však zaměřen na začátečníky a má jim nejen nastínit postup, ale i vysvětlit jednotlivé kroky.

Hledáme malware ve WordPress

Pokud máme dobrý bezpečnostní balíček, tak se připojíme k webhostingu přes FTP a „stáhneme“ si kompletní instalaci na disk. Ideální je uzavřené prostředí na virtuálním počítači, kde nehrozí „únik infekce“. Dále před touto akcí vypněte všechny pluginy, zvláště ty na cachování obsahu, předtím v nich však vymažte všechnu cache. „Stahovat“ si tisíce malých souborů může trvat opravdu dlouho. Našim cílem je zjistit, které soubory přibyly od poslední aktualizace.

A proč je stahovat v uvozovkách? Windows při stahování souborů přepisuje datum poslední změny soubory. Toto obejdeme pomocí funkce synchronizování dat. V jednom okně si označíme celou instalaci WordPress, klikneme na Příkazy – Synchronizovat složky.

snychronizovani-slozek

 

Dávejte si pozor co synchronizujete s čím. Dejte Porovnat a klikněte na Synchronizovat.

 

snychronizovani-slozek-2

 

Teď máte přesnou kopii instalace WordPress na disku.

Jakmile máme celou instalaci bezpečně staženou v adresáři, zmáčkněte CTRL+B anebo klikněte na Příkazy – Zobrazit soubory z podsložek. Tato akce může chvilku trvat, proto jí provádíme na počítači u sebe (ideálně na SSD). Nyní vidíte všechny soubory. Klikněte na nadpis sloupce Datum. Tím se vše seřadí podle data.

total-commander-porovnani-souboru-3

Vidíte naprosto všechny soubory, které obsahuje instalace seřazené podle data. Pokud nějaký soubor byl přepsán, tak se změnilo i jeho datum. Jednoduše tak můžete najít nové soubory malware ve WordPress, které přibyly anebo byly změněny. Stačí je nahradit originálem z čerstvé instalace WordPress, kterou si stáhnete na WordPress.org. Obdobně to funguje i u pluginů, ovšem dávejte si pozor na rozdíl verzí.

Pokud teď přemýšlíte, že vlastně synchronizace by mohla kompletně provést práci za vás, pokud je k dispozici záloha, tak máte pravdu. Stačí do jednoho okna nahrát zálohu a zkontrolovat jí oproti aktuální verzi a nahradit.

Jak najít backdoor ve WordPress

Většina malware umístí do některého ze souborů který je součástí standardní instalace anebo pluginu backdoor. Jedná se o krátký kus kódů, přes který se útočník může zmocnit celé instalace, ovládat jí na dálku a průběžně po nežádoucí aktivitě zamaskovat svou činnost. Například vytvoří uživatele s oprávněním administrátor, přihlásit se, stáhne si data o vašich zákaznících a následně administrátorský účet smaže.

Pokud jsme podle předchozího návodu našli soubor, který je pozměněný můžeme jej nahradit novým, což doporučuji. Jestli se jedná o jeden ze souborů z jádra WordPress není to problém. Ovšem například u šablony, která je na zakázku a originál se někde zapomněl zazálohovat, to nemusí být až tak jednoduché. Anebo dejme tomu, že jen ze zvědavosti se chcete podívat jak takový backdoor vypadá.

V naší ukázce budeme porovnávat soubory wp-login.php z verze 4.4.0 a 4.3.3.

Označte si v jednom okně Total Commander pozměněný soubor a v druhém originál. Klikněte na Soubor – Porovnat podle obsahu.

 

total-commander-porovnani-souboru-1
Budeme porovnávat soubor wp-login.php z verze 4.4.0 a 4.3.3.

 

Otevře se nám speciální editor Porovnání obsahu, který je součástí instalace Total Commander. Snadno v něm dohledáte jakékoliv rozdíly mezi jednotlivými soubory.

 

total-commander-porovnani-souboru-2

 

V případě, že by byly verze stejné a v kódu by se nacházel nějaký rozdíl, tak jej snadno dohledáte. Důležité je sledovat v levém spodním rohu Počet nalezených rozdílů. Na první pohled mohou být verze totožné, ale nebezpečný kód se bude nacházet po 10 tisících mezerách v jednom řádku. Útočníci jsou velice chytří a nevyplatí se je podceňovat.

 

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *