Συνοπτικός οδηγός DIY (how-to) Πως θα εντοπίσετε (scan) το κακόβουλο λογισμικό (malware) και πως θα το αφαιρέσετε (clean) από το wordpress website σας.

malware scan & clean – εντοπισμός & καθαρισμός malware σε wordpress website

Πως θα καταλάβετε ότι ο ιστότοπός σας έχει μολυνθεί από malware;

Συνήθως καταλαβαίνουμε πολύ αργά, ότι ο ιστότοπός μας έχει προσβληθεί από κακόβουλο λογισμικό – malware.

  • Η Google η η Bing θα σας ενημερώσει ότι το website βρίσκεται καταχωρημένο στις μαύρες λίστες τους.
  • Επισκέπτες του website θα σας ενημερώσουν ότι ο ιστότοπός σας έχει μολυνθεί από malware – κακόβουλο λογισμικό.
  • Ο ιστότοπός σας ανακατευθύνει τους επισκέπτες σας, σε άλλους ιστότοπους, που η επιχείρησή σας δεν έχει καμία σχέση.
  • Το περιεχόμενο των ιστοσελίδων σας έχει αλλάξει, χωρίς να έχετε κάνει εσείς τις αλλαγές.
  • Ο πάροχος φιλοξενίας κατεβάζει, σταματά, την λειτουργία του website σας και σας ενημερώνει για την ύπαρξη malware στις σελίδες σας.
  • Το ηλεκτρονικό σας κατάστημα πουλάει παραφαρμακευτικά προϊόντα, ενώ η δραστηριότητα της επιχείρησή σας, είναι η πώληση παπουτσιών.

Αν αντιμετωπίζετε ένα από τα παραπάνω ζητήματα, τότε πρέπει αμέσως να φροντίσετε για την κατάργηση – καθαρισμό του malware – κακόβουλου λογισμικού στο website σας.

Πετάξτε από πάνω σας κάθε ενοχή.
Αν δεν έχετε χρησιμοποιήσει nul plugin ή theme στον μολυσμένο ιστότοπο, δεν φταίτε εσείς.
Μπορεί η μόλυνση με το κακόβουλο λογισμικό να ήρθε από το διπλανό website του shared hosting που χρησιμοποιείτε ( Directory Traversal Attack ).

Βρείτε άμεσα τον τύπο malware που έχει μολύνει τις ιστοσελίδες σας.

Επιβεβαιώσετε ότι έχετε ένα malware στον ιστότοπό σας. Κάντε Scan το website με ένα πλήθος εργαλείων που υπάρχουν στο διαδίκτυο. Θα προτείνω κάποια website malware scanners για τον εντοπισμό  του κακόβουλου λογισμικού.

Λίγο παρακάτω υπάρχει λίστα malware scanners and removals, τώρα όμως θα χρησιμοποιήσω κάποια εργαλεία που ξέρω ότι θα έχουν άμεσο και σίγουρο αποτέλεσμα.

Malware Scanner

Free online website malware scanner quttera.

website malware scanner quttera

Το quttera ζητάει το URL που θέλουμε να ελέγξουμε για μόλυνση από malware. Πληκτρολογήστε το URL της home page και πιέστε το πλήκτρο Scan for Malware. Πολύ γρήγορα θα ξέρουμε αν υπάρχει μόλυνση malware στο website.

quttera website malware scanner scan process

Αποτελέσματα quttera malware scanner

quttera website malware scanner report

malware scan – CLEAN

Το website που μόλις εξετάσαμε είναι καθαρό. Δεν υπάρχει μόλυνση από malware.
Συγχαρητήρια. Στον ιστότοπό σας δεν υπάρχει κακόβουλο λογισμικό.
Τώρα όμως πρέπει να φροντίσετε να κάνετε κάποιες ενέργειες που θα διατηρήσουν το website σας, υγιές.

Θα δούμε αυτό το θέμα λίγο πιο κάτω.

quttera website malware scanner

malware scan – DEFECTED

Στο website που εξετάσαμε, δυστυχώς η αναφορά του quttera δείχνει ότι το malware scanner βρήκε μολυσμένα αρχεία στους φακέλους του ιστότοπου.
Δεν έχει σημασία ο αριθμός των μολυσμένων αρχείων – στην περίπτωση που εξετάζουμε ήταν 9 αρχεία σε διάφορους φακέλους-
Τώρα αρχίζει η πραγματική μάχη με το malware.
Έχουμε δουλειά.
Πάμε λίγο παρακάτω.

Καθαρισμός malware σε wordpress website – Remove malware. Clean wordpress website.

Καντε download το plugin από την διεύθυνση : Quttera Web Malware Scanner ( άνοιγμα σε νέα καρτέλα )
Κάντε εγκατάσταση το Plugin.

ΠΡΟΣΟΧΗ μην κάνετε καμία ενημέρωση στα Plugin ή στο core του website σας, ακόμη. Θα δυσκολέψει την διαδικασία.

Προαπαιτούμενα

Θα χρειαστεί να :

  • Βγάλετε εκτός το frontend του website, έτσι ώστε να μην κινδυνεύουν να μολυνθούν οι επισκέπτες σας.
    Αν μπορείτε κάντε τις παρακάτω ενέργειες , μεταφέροντας το website για να το δουλέψετε  τοπικά.
    Αν αυτό δεν είναι εφικτό, συνεχίστε στα επόμενα βήματα.
  • Backup του website.
  • Backup της βάσης δεδομένων.
    Τα αντίγραφα ασφαλείας κάντε τα σε νέο χώρο, με προσοχή, χωρίς να επικαθίσουν σε κάποιο παλιότερο  αντίγραφο που ίσως χρειαστείτε αργότερα.
  • Με έναν FTP Client, εξετάστε τους φακέλους και τα αρχεία του website σας. Μπορείτε να δείτε αυτά που έχουν τροποποιηθεί πρόσφατα.
    Καταγράψτε τα ύποπτα αρχεία.
  • Αδειάστε την Page Cashe memory.
  • Αδειάστε την Javascript / CSS Cashe Memory.
  • Με έναν FTP client, εξετάστε την περιοχή /wp-content/plugins/ και οτιδήποτε είναι άσχετο με τα plugin που χρησιμοποιείτε απλά κάντε το rename. Πολλά malware χρησιμοποιούν αυτήν την περιοχή για να εγκαταστήσουν τον κώδικα του κακόβουλου λογισμικού. Μην σβήσετε ακόμη τίποτα από την περιοχή αυτή, γιατί θέλουμε να βεβαιωθούμε για την θέση που κάθεται το malware μέσα στον κώδικα του website μας. Αν βρείτε κάτι σ’ αυτή την περιοχή, μετά το rename, ένα wordpress μήνυμα θα σας πληροφορήσει για κάποιο άσχετο plugin που απενεργοποιήθηκε γιατί δεν βρέθηκε. Μην ανησυχείτε, είμαστε σε καλό δρόμο.
    Σημειώστε το όνομα του plugin.

Scanning for Malware

Στην περιοχή wp-admin θα βρείτε τo παρακάτω menu του quttera web malware scanner.
Πάρτε την επιλογή internal Scanner.
Θα ήθελα να σημειώσετε ότι υπάρχει και η επιλογή Internal Scanner – High Sensitivity, που προτείνω να τρέξει στο τέλος της διαδικασίας.
Ο Εσωτερικός σαρωτής θα ελέγξει τα αρχεία PHP/JS/CSS και εικόνες για κακόβουλο λογισμικό.

Πατήστε Scan Now για να εκτελέσετε την εσωτερική σάρωση.

Remove malware. Clean wordpress website.
Quttera Web Malware Scanner Scanning Proccess

Ανάλυση της αναφοράς – report του internal Quttera web Malware Scanner.

Στην περιοχή Summary έχουμε τον αριθμό των :

  • Potentially Suspicious Files – Πιθανά ύποπτα αρχεία
  • Suspicious Files – Ύποπτα αρχεία
  • Malicious Files – Αρχεία με κακόβουλο κώδικα.

Malware Remove – Clean website

Στην περιοχή Detected Threats – Ανιχνευμένες απειλές, υπάρχει λεπτομερής καταγραφή των αρχείων που περιέχουν κακόβουλο λογισμικό.

  • Με κάποιο πρόθεμα, κάντε rename (μην τα διαγράψετε ακόμη) τα αρχεία που παρουσιάζονται ως μολυσμένα. Για παράδειγμα χρησιμοποιήστε το _SF_ (Suspicious Files) μπροστά από το όνομα του μολυσμένου αρχείου.
  • Τρέξτε το website σας για δοκιμή και για να δείτε αν έφυγαν τα ανεπιθύμητα αποτελέσματα.
  • Βεβαιωθείτε ότι το website σας τρέχει κανονικά.
    Ελέγξτε όλες τις λειτουργίες του.
  • Μεταφέρετε κάπου τα αρχεία που έχετε κάνει rename.
  • Σβήστε τα από τον webserver.
  • Τρέξτε πάλι την διαδικασία του Quttera web Malware Internal Scanner.
  • Βεβαιωθείτε ότι ΔΕΝ ΥΠΑΡΧΕΙ ΑΛΛΟ ΜΟΛΥΣΜΕΝΟ ΑΡΧΕΙΟ.

Μέχρι τώρα καταφέραμε να αφαιρέσουμε τα μολυσμένα αρχεία από το κακόβουλο λογισμικό.

Δεν τελειώσαμε.
Πάμε παρακάτω.

RDBMS Cleaning – Καθαρισμός της Βάσης Δεδομένων από Malware

Οι Hackers προσπαθούν να κρύψουν τον κακόβουλο κώδικα, όσο γίνεται καλύτερα. Επίσης θέλουν να εξασφαλίσουν ότι ο κακόβουλος κώδικας θα μπορεί να εγκατασταθεί ξανά, από μόνος του, σε ένα καθαρό πια wordpress site. Ο καλύτερος τρόπος να κρυφτεί, και να αναπαραχθεί, είναι στα περιεχόμενα των εγγραφών των πινάκων της βάσης δεδομένων του website.

Ο δύσκολος τρόπος για να ψάξετε το malware στη βάση δεδομένων, είναι να ανοίξετε και να επεξεργαστείτε την βάση με το phpmyadmin.
Θα πρέπει να ψάξετε τους πίνακες options, posts, postmeta & users ή κάθε πίνακα που δεν ανήκει στο σύστημα ή σε κάποιο plugin που έχετε εγκατεστημένο. Οπωσδήποτε πρέπει να δείτε την δομή της βάσης δεδομένων, διεξοδικά.
Προς το παρόν πάμε να δούμε μία γρήγορη λύση για την ανίχνευση malware στη βάση δεδομένων του wordpress website.

Εγκατάσταση του plugin Better Search Replace

  • Κατεβάστε και εγκαταστήστε το free plugin Better Search Replace (άνοιγμα σε νέα καρτέλα). Με αυτό το plugin θα κάνουμε σάρωση την βάση δεδομένων για να βρούμε ίχνη του malware που μόλις καθαρίσαμε από το σύστημά μας.
  • Από το menu εργαλεία του wp-admin πάρτε την επιλογή Better Search Replace.
  • Κάντε κλικ στον πρώτο πίνακα, κάντε scroll κάτω, και shift + κλικ στον τελευταίο πίνακα, ή Ctrl + A για να επιλέξετε όλους τους πίνακες.
  • Αφήστε επιλεγμένο το Run as dry run. Με αυτή την επιλογή δεν πρόκειται να γίνει καμία αλλαγή στην βάση δεδομένων.
  • Στο πεδίο Search for θα βάλετε τα ονόματα των αρχείων που βρήκε μολυσμένα από το malware το Quttera Malware Scanner. Ένα, ένα. Όλα. Θα ψάξετε την βάση δεδομένων με κλειδί τα ονόματα των μολυσμένων αρχείων.
  • Αφήστε κενό το πεδίο Replace with.
  • Πιέστε το πλήκτρο Run Search/Replace.

 

Better Search Replace Dry Run
Το Better Search Replace θα σας ενημερώσει πόσες φορές βρήκε (αν βρεθεί) στην βάση δεδομένων το περιεχόμενο από το μολυσμένο αρχείο που ψάχνουμε.

ΠΡΟΣΟΧΗ ! Στον Πίνακα options, αν το option_name είναι = ‘_transient_bsr_results‘ ή ‘bsr_dataαπλά αγνοήστε τα. Είναι εγγραφές του plugin Better Search Replace. False alarm. 

Κάντε click for more details.

Better Search Replace Dry Run Details

Καθαρισμός εγγραφών βάσης δεδομένων – malware clean

Έτσι θα βρούμε σε ποιον πίνακα κρύβεται ακόμη κακόβουλο λογισμικό.
Στις λεπτομέρειες βλέπουμε ότι βρέθηκε σε δύο cells του πίνακα options κομμάτι του malware.

Τώρα θα πάμε με το phpmyadmin στον συγκεκριμένο πίνακα να ψάξουμε το συγκεκριμένο κλειδί.
Το τι ακριβώς θα κάνουμε με την συγκεκριμένη εγγραφή, εξαρτάται από την κάθε περίπτωση.

Θα πρέπει να επαναληφθεί η διαδικασία για όλα τα ονόματα των μολυσμένων αρχείων, ξεχωριστά.

Τρέξτε την διαδικασία από την αρχή για να βεβαιωθείτε ότι το website είναι καθαρό από malware.

Επιπλέον έλεγχοι. Malware clean.

Στον έλεγχο της βάσης δεδομένων πρέπει να ψάξετε για κομμάτια του κακόβουλου κώδικα. Χρησιμοποιήστε ένα κομμάτι του κώδικα και ψάξτε την βάση δεδομένων. Επίσης πρέπει να ψάξετε για ανεπιθύμητες λέξεις-κλειδιά και σύνδεσμους ανακατεύθυνσης.

Ψάξτε για τις PHP functions :

  • base64
  • str_rot13
  • gzuncompress
  • eval
  • exec
  • system
  • assert
  • stripslashes
  • preg_replace
  • move_uploaded_file

Αυτές οι PHP Functions μπορεί να είναι κανονικός κώδικας ενός plugin που χρησιμοποιείτε στο website σας. Μπορεί όμως να είναι και η πίσω πόρτα που μπορεί να εισέλθει ο χάκερ.

Δεν είναι εύκολος ο καθαρισμός malware.
Αν δεν έχετε την πείρα ή δεν είστε εξοικειωμένοι με τα βασικά εργαλεία, ζητήστε την βοήθεια κάποιου επαγγελματία.

Δείτε πως μπορεί να κωδικοποιηθεί η base64_decode στο παρακάτω κομμάτι του κακόβουλου κώδικα της εικόνας ώστε να γίνει αδύνατον να ανιχνευθεί.
Θα χρειαστεί να αφήσετε αχαλίνωτη την φαντασία σας.

Αφαιρέστε κάθε ύποπτο κομμάτι κώδικα που θα βρείτε.

Επαληθεύστε ότι ο ιστότοπος λειτουργεί σωστά μετά από κάθε αλλαγή.

Detected Malware Code
Better Search Replace WordPress Plugin
Better Search Replace Dry Run Details

Ίσως χρειαστείτε την βοήθεια επαγγελματία.

Δεν είναι εύκολος ο καθαρισμός malware.
Αν δεν έχετε την πείρα ή δεν είστε εξοικειωμένοι με τα βασικά εργαλεία, αν δεν έχετε τον απαιτούμενο χρόνο, απλά επικοινωνήστε μαζί μου.

Τώρα έχετε ένα καθαρό website που έχει αφαιρεθεί το κακόβουλο λογισμικό

Πρέπει όμως να φροντίσετε ώστε να μείνει καθαρό το website σας από malware.
Επίσης πρέπει να φροντίσετε να αφαιρεθεί το website σας από τις μαύρες λίστες των μηχανών αναζήτησης που πιθανότατα έχει καταχωρηθεί.

Θα πρότεινα :

  • Να κρατάτε ενημερωμένο το website σας σε Core, Themes & Plugins.
  • Να αλλάξετε όλους τους κωδικούς πρόσβασης στο website σας.
  • Να Ελέγξετε τους χρήστες που έχουν εγγραφεί στον ιστότοπό σας.
  • Να εγκαταστήσετε ένα plugin ασφάλειας (security plugin) σαν το wordfence.
  • Να εγκαταστήσετε μια υπηρεσία ανίχνευσης malware ( Malware scanner & Malware Cleaner ) σαν την Malcare.
  • Να χρησιμοποιείτε όσο γίνεται λιγότερα plugin και να είστε σίγουροι για την αξιοπιστία τους.
  • Να μην χρησιμοποιείτε ποτέ Null Themes & plugins. Εκτός το ότι είναι παράνομο, είναι και επικίνδυνο για το website σας αλλά και για τα διπλανά website του Shared hosting που χρησιμοποιείτε.
Τεχνικές Βελτιστοποίησης της Ταχύτητας Φόρτωσης των Ιστοσελίδων: Δοκιμές απόδοσης και πρακτικές βελτίωσης

Τεχνικές Βελτιστοποίησης της Ταχύτητας Φόρτωσης των Ιστοσελίδων: Δοκιμές απόδοσης και πρακτικές βελτίωσης

Πρακτικές βελτίωσης – Οδηγίες για την επιτάχυνση της ιστοσελίδας σας. Τι πρέπει να κάνετε για να βελτιστοποιήσετε την ταχύτητα φόρτωσης του website σας.
Τεχνικές για τη βελτίωση της απόδοσης ιστότοπου

Διαβάστε Περισσότερα
Performance Lab. Νέο WordPress Plugin

Performance Lab. Νέο WordPress Plugin

Η πλατφόρμα WordPress εξελίσσεται συνεχώς, με νέες εκδόσεις του λογισμικού και των εργαλείων να βγαίνουν κάθε λίγες εβδομάδες. Μια πρόσφατη έκδοση από την ομάδα ανάπτυξης του πυρήνα του WP που έχει τη δυνατότητα να δώσει στους ιστότοπους του WordPress ένα σημαντικό πλεονέκτημα έναντι άλλων συστημάτων διαχείρισης περιεχομένου. Το πρόσθετο Performance Lab υπόσχεται βελτιωμένη απόδοση ιστότοπου με λίγα μόνο απλά κλικ.

Διαβάστε Περισσότερα
SEO – Βελτιστοποίηση Ιστοσελίδων στις Μηχανές Αναζήτησης. (Search Engine Optimization)

SEO – Βελτιστοποίηση Ιστοσελίδων στις Μηχανές Αναζήτησης. (Search Engine Optimization)

Search Engine Optimization (SEO) είναι η υπηρεσία, που έχει ως σκοπό την υψηλότερη βαθμολογία των ιστοσελίδων του website σας από τις μηχανές αναζήτησης, ώστε να εμφανίζεται στις πρώτες σελίδες προβολής των αποτελεσμάτων τους, για την προσέλκυση περισσότερων επισκεπτών.

Διαβάστε Περισσότερα