分析假冒及含惡意的WordPress插件 – 重定向
今時今日最熱門的CMS就會是WordPress,它的熱門程度不會在這篇文章詳細討論,今次我們想講的會是WordPress最常見的漏洞「插件」,沒錯就是插件,為了使網頁開發更加有效開發者會使用各種不同的插件去協助開發。 市場上有超過50,000個插件,有免費提供亦有開發商提供的付款版本,亦有一些含有惡意的「盜版」許多盜版會偽裝成免費的商業版插件或主題,盜版含有大量有害的後門,在這篇文章將會介紹比較長見的重定向惡意行為及如何保護您的網站。 惡意注入重定向代碼的例子 最近我們有位新客戶反映,他的網站於舊服務器被駭,現在進去一直會被跳轉至其他網站,當客戶搬遷過來之後,我們發現他的每一個檔案被注入了chr(xx),這是一種比較常見的透過ascii重定向的做法。ascii詳細對照表 https://www.man7.org/linux/man-pages/man7/ascii.7.html 我們的客戶所遇到的攻擊不止是針對網站進行重定向,亦會感染資料庫將Site_url及Home_url更改為其他網站,亦會自動感染所有核心文件及建立更多後門。 經我們EBuildHost的安全團隊修復並檢查,發現原來是客戶使用了一個盜版的flatsome主題,該盜版主題含有大量的後門,當您透過該主題下載它建議的插件並啟動後就會自動感染您所有於public_html及數據庫。 如何保護您的服務器免受惡意插件的侵害 避免這種類型的惡意攻擊請用戶始終遵循以下步驟。 只從可信的來源/開發商的網站上購買插件,而不是從隨機的網站。 要注意免費的插件。惡意的/假的插件往往偽裝成免費版本的高級插件。安裝前要檢查。 定期更新已安裝的插件。確保運行的插件是更新/最新的版本。檢查所安裝的插件是否涵蓋最新的安全更新。 刪除禁用或不需要的插件,最好是刪除不再需要的插件,而不是禁用它們。因為即使禁用的插件也會留下它們的漏洞。 更改密碼。經常更改wordpress管理員和cPanel的密碼。 禁用文件編輯。為了避免獲得管理賬戶的訪問權,禁止編輯管理用戶編輯插件和主題的PHP文件。 在採取上述步驟的同時,我們建議使用採用Imunify360的主機商。 它可以清除惡意軟件,並防止暴力登錄攻擊。 它可以幫助用戶進行惡意軟件檢測和清理功能,同時確保零日威脅和其他各種實時威脅的安全。 通過我們的主動防禦,惡意軟件很容易被識別。它分析了PHP腳本的行為,防止它對服務器造成任何傷害。 它檢測隱藏的惡意代碼,這些代碼可能被混淆,被注入到合法文件的中間。它可以發現攻擊模式並進行相應的處理。 Imunify360可以在大多數網絡應用程序攻擊開始之前就阻止它們。 一套定義好的規則有助於識別和阻止惡意攻擊。 此外,它很容易識別有關域名是否被列入黑名單或在任何其他AVs中被映射為惡意的。 使你的網站不受黑客攻擊和黑名單的影響。 因此,我們建議網站開發者使用含有Imunify360的主機商,而EBuildHost就是其中的一家提供Imunify360及CageFS的主機商,每天自動掃瞄每位客戶的所有檔案,如有發現將會自動處理相關檔案並通知客戶。
什麼是0-day?
在電腦領域中,Zero-day/0-day分別有2種情況分別是: 零日漏洞或零時差漏洞(英文:zero-day vulnerability、0-day vulnerability)通常是指還沒有修補程式的安全漏洞 零日攻擊或零時差攻擊(英文:zero-day exploit、zero-day attack)則是指利用這種漏洞進行的攻擊。 zero-day不論是漏洞或是攻擊都對網路安全具有巨大威脅,因此零日漏洞不但是黑客的最愛,掌握多少零日漏洞也成為評價駭客技術水平的一個重要參數。 解決方法 就一般而言,zero-day攻擊唯一徹底解決方法便是由原軟體發行公司提供補丁,但此法通常較慢,因此軟體公司通常會在最新的病毒代碼中提供迴避已知零時差攻擊的功能,但無法徹底解決漏洞本身。(就是經常會聽到的以一個Bug去處理另一個Bug) 根據Symantec第14期網絡安全威脅研究在2008年分析的所有瀏覽器中,Safari平均要在漏洞出現9天後才會完成修補,需時最久。Mozilla Firefox平均短於1天,需時最短。
5個工具去檢查Linux伺服器是否含有惡意軟件及Rootkit
現在大家都很喜歡使用VPS,但一般人建立好主機之後都是直接建立他們想要的東西 (WordPress,APP,網頁伺服器……) 而忽略了最主要的安全性,正確配置防火牆及定期的安全系統更新會增加一層安全保護。 今次介紹的工具是為了安全掃瞄的,它們有能夠識別病毒,惡意軟件,Rootkit和惡意行為。您可以使用這些工具定期進行系統掃瞄,例如每天晚上自動掃瞄後將報告電郵給您。 目錄 Lynis – 安全審核及Rootkit掃瞄工具 Chkrootkit – Linux Rootkit掃瞄器 Rkhunter – Linux Rootkit掃瞄器 ClamAV –防病毒軟件工具包 LMD – Linux惡意軟件檢測 Lynis – 安全審核及Rootkit掃瞄工具 Lynis是一個免費及開源的,功能強大且流行的安全審核和掃描工具,適用於Unix / Linux之類的操作系統。它可以掃描系統以獲取安全信息和問題,文件完整性,配置錯誤;執行防火牆審核,檢查已安裝的軟件,文件/目錄權限等等。 重要的是,它不會自動執行任何系統強化工作,但是!它僅提供建議讓您強化伺服器的安全。 我們將使用以下命令從源代碼中安裝Lynis的最新版本 (寫文時最新的是3.0.1,如想了解更多可直接到 這裡 查看) 安裝完成後,您就可以嘗試審核系統。 為了能夠讓 Lynic 自動運行並發送郵件,可以透過以下指令去每晚3am自動運作。 Chkrootkit – Linux Rootkit掃瞄器 Chkrootkit亦是一個免費及開源的rootkit掃瞄工具,它能夠在Unix系統上進行本機檢查rootkit的跡象。它有助於檢測隱藏的安全漏洞。Chkrootkit包含一個shell腳本及一個程序,Shell腳本將會檢查系統二進制文件以進行rootkit修改,而程序將會檢查各種安全問題。 *chkrootkit工具於Debian的系統下安裝得比較簡單* 於CentOS系統中你需要透過以下指令去下載。 現在可以開始運行Chkrootkit! 完成運作後您就能夠在報告中看到自己的伺服器有沒有惡意軟件及Rootkit。 如上,如果您想要每晚自動運行及收到電郵通知,可以透過以下cron job在晚上3點自動運行並將報告發送到您的電子郵件地址。 Rkhunter – Linux Rootkit掃瞄器 Rkhunter是另一款免費及開源的工具,功能強大及易於使用,顧名思義,它是一個Rootkit獵人,安全監視和分析工具,可以對系統進行徹底檢查以檢測隱藏的安全漏洞。 rkhunter 可以透過以下Ubuntu及CentOS指令安裝 開始時只需要運行 […]