شناسایی ویروس و کد های مخرب قالب های وردپرس نال

شناسایی ویروس و کد های مخرب قالب های وردپرس نال

قالب ها و افزونه های نال شده زمانی به فکر استفاده از آنها می افتیم که در مواردی به دنبال یک افزونه یا قالب وردپرس بوده ایم که پس از جستجو و یافتن آن متوجه می شویم که افزونه تجاری وردپرس می باشد و یا قالب ، برای اینکه ما به شدت به آن افزونه یا قالب نیاز داریم سعی در یافتن نسخه رایگان و یا نسخه پریمیوم قرار داده شده در سایت هایی که به صورت رایگان ارائه میدهند و یا به اصلاح آنها را به صورت نال شده ارائه میکنند.

در مقالات قبلی موضوع امنیت وردپرس را به جایی کشانیدیم که متوجه این موضوع شدیم برای استفاده از قالب ها و افزونه های نال شده باید وب سایت ما به صورت تست و یا اهمیتی برای ما نداشته باشد زیرا همواره با خطراتی غیر قابل جلوگیری مواجه هستند و زیان هایی به ما میرساند پس بهتر است برای استفاده از نال شده ها وب سایت تستی یا فاقد اهمیت داشته باشیم .

اینبار به بررسی روش جدید برای شناسایی ویروس در افزونه وردپرس و قالب های نال شده می پردازیم با آپ تم همراه باشید تا در این باره صحبت کنیم .

چرا قالب ها و پلاگین ها به صورت رایگان ارائه میشوند ؟

سوال اینجاست که چرا باید وب سایت هایی و یا اشخاصی قالب و افزونه هایی را به صورت رایگان ارائه دهند ، علت ارائه خدمات رایگانی که از ابتدا رایگان بوده اند مانند هزاران افزونه وردپرس رایگان و یا قالب وردپرس رایگان مشخص است معرفی و یا به نمایش گذاشتن کیفیت و نوع خدمات آنهاست ولی نکته این سوال مربوط به آن دسته از قالب هایی است که به صورت تجاری ارائه شده ولی در جاهایی میتوان آنها را رایگان دانلود کرد ، دلیل این امر چیست ؟

علت های مختلفی برای این کار وجود دارد که در زیر چند نمونه ای را مطرح کرده ایم

  • خیر خواهی و یا جلب اعتماد
    که این خیلی بعید به نظر میرسد و یا در صورت وجود به ندرت نالر هایی با این ایده کار میکنند و یا برای جلب اعتماد و کاربر این کار را انجام میدهند و خب قطعا جلب اعتماد برای اهداف تجاری می باشد
  • بک لینک
    در قالب های رایگان و در برخی از موراد نسخه های تجاری پوسته لینک وب سایت را درون قالب جایگذاری کرده و بک لینک دریافت میکنند .
  • هک و نفوذ
    از مهم ترین مواردی که وجود دارد نفوذ به وب سایت و ایجاد خرابکاری و عملایت خرابکارانه می باشد به طوری که به صورت کد های هش شده در سورس قالب و یا افزونه قرار میدهند و به دنبال نفوذ و یا خرابکاری در وب سایت هستند که خسارات زیان بار و در برخی از موارد غیر قابل بازگشت به بار می آورند .
  • جاسوسی اطلاعات
    گاها هیچ یک از موارد بالا در افزونه های نال شده مشاهده نمی شود و شاید این فکر به وجود آید که خب مسئله ای نیست و سایت ما هک نشد و لینکی هم وجود ندارد اما باید به شما هشدار جاسوسی اطلاعات را بدهیم زیرا بعضی از این دسته از پلاگین ها اهداف دیگری را دنبال میکنند به طور مثال به دنبال جاسوسی اطلاعات از کاربرانتان می باشند.
  • Iframe
    از مواردی است که باز هم تشخصی و یافتن آن کمی دشوار خواهد بود زیرا این فریم ها به صورت مخفی درون قالب قرار میگیرند و باعث می شوند ترافیک شما بدون آنکه متوجه شوید به سمت فریم مقصد هدایت شود.

و دلایل دیگری که وجود دارد و تعدد علت ها نیز به دلیل وجود افکار و اهداف مختلفی است که در پشت پرده عملیات نال مورد استفاده قرار میگیرد است و در ادامه به بررسی روش شناسایی ویروس می پردازیم .

شناسایی ویروس نال شده

ما پلاگین فرم ساز quform را از سایت dlwordpress  دانلود میکنیم و در مرحله اول به مقایسه بین نسخه نال شده و اورجینال می پردازیم .

قالب های نال شده و ویروس های آن

طبق آن چیزی که مشاهده میکنید در پوشه افزونه ای که نال شده دانلود کردیم ( کادر قرمز ) فایلی با نامی شبیه به پلاگین quform  وجود دارد که باعث می شود کاربران وردپرس به آن شکی نداشته و با خیال راحت و با فکر اینکه این فایل مربوط به افزونه می باشد از آن استفاده کنند. و در بیشتر مواقع کاربران فایل های پلاگین یا قالب دانلودی را بررسی نمیکند .

حال کد های داخل فایل را باز کرده و به بررسی می پردازیم ما از قبل این کار را کرده ایم و به صورت کادر قرمز رنگ برای شما مشخص کرده ایم و به علت طولانی بودن تصاویر به صورت قطعه ای به یک دیگر متصل شده اند.

قالب های نال شده و ویروس های آن
قالب های نال شده و ویروس های آن
قالب های نال شده و ویروس های آن
قالب های نال شده و ویروس های آن
قالب های نال شده و ویروس های آن
قالب های نال شده و ویروس های آن
قالب های نال شده و ویروس های آن
قالب های نال شده و ویروس های آن
کد های بالا در فایل توابع پوسته ( functions.php ) وارد می شوند و عملیات خرابکارانه خود را انجام میدهند. به تصویر زیر دقت کنید .
قالب های نال شده و ویروس های آن

سپس دو فایل به نام های class.wp.php و wp-cd.php در مسیر wp-includes ایجاد می شود و یک جدول درون پایگاه داده ساخته می شود ( نام جدول wp_datalist ) و بخش مهمی دیگر که درون تصاویر به زیر آن خط کشیده شده بود به آدرس زیر

http://apiword.press/addadmin_۱.txt

یک متن obfuscate شامل دستور های php برای استفاده از جدول بالا و کاربری می باشد وجود دارد

قالب های نال شده و ویروس های آن

کد های بالا هش شده می باشند که توسط یک php-decoder از این حالت خارج و به شکل زیر در می آیند یا به اصلاح دیکد می شوند. مشاهده کنید.

قالب های نال شده و ویروس های آن

زیر مهم ترین قسمت این کد خط سفید کشیده شده است دستور هایی که کاملا خطرناک و با هدف خرابکاری و نفوذ ایجاد شده اند.

  1. افزودن کاربر جدید با سطح دسترسی مدیر
  2. کادر سفید رنگ نیز اطلاعاتی می باشند که ایجاد میشوند که شامل نام کاربر ، رمز عبور ، ایمیل و … هستند .

تا به اینجا ما به بررسی و ارائه راه حلی برای یافتن کد های مخرب در افزونه نال شده پرداختیم و امید میرود که عزیزان وردپرسی بیشتر به امنیت وردپرس اهیمت بدهند لازم به ذکر است که سعی کنید از قالب ها و افزونه های نال شده اکیدا استفاده نکنید و همواره به دلیل رعایت حقوق مولف افزونه را به صورت اورجینال از وب سایت های معتبر تهیه کنید و دلیل دوم رعایت نکات امنیتی که قطع به یقین از مهم ترین مسائل می باشد.

و در صورتی که از این افزونه ها استفاده کرده اید و نگران وب سایتتان هستید شما باید سایت خود را اسکن امنیتی کنید این کار را میتوانید با کمک افزونه های اسکنر امنیتی وردپرس نیز انجام دهید و یا شخصا به بررسی افزونه ها بپردازید که کاری زمان بر می باشد همانطور که عرض شد در وهله اول از دانلود این دسته از محصولات پرهیز کنید و در صورتی که از آنها استفاده میکنید می توانید از روش زیر برای یافتن فایل مخرب استفاده کنید.

افزونه wordfence

از بهترین افزونه های امنیتی وردپرس می باشد که وجود دارد شما میتوانید با استفاده از این افزونه وب سایت خود را اسکن کنید و کاربرد این افزونه به این صورت است که نسخه وردپرس شما را با نسخه اصلی مقایسه میکند و در صورت وجود فایل اضافی به شما هشدار میدهد این افزونه تنها کار اسکن را انجام میدهد و فایل های مخرب را فقط شناسایی میکند و شما باید خود زحمت حذف این فایل ها را بکشید.

پس از شناسایی فایل های مخرب آنها را از هاست خود پاک کنید ، بهتر است از وب سایت خود نسخه های پشتیبان بگیرید این امر بار ها و بارها به شما توصیه شده است زیرا از اهمیت بالایی برخوردار است

با تشکر از همراهی شما – شاد باشید

 

منبع: آپ تم  مرجع: آموزش وردپرس | قالب وردپرس فروشگاهی

یک ستارهدو ستارهسه ستارهچهار ستارهپنج ستاره (3 رای - میانگین: 5٫00 از 5) | به راستی!! در صفحه اینستاگرام آپ تم عضو شوید، ( آموزش وردپرس ، تخفیفات و بروز رسانی ها )
Loading...
مطالب زیر را حتما بخوانید

دیدگاه ها

  1. پرورش قارچ گفت:

    ممنون یک سوال این شامل حال قالبها ی نال شده هم می شود ممنون جواب میدهید

    1. سعید حبیبی گفت:

      سلام ، عرض کردیم که این کد های مخرب و ویروس ها مربوط به قالب های نال می می باشد قالب های ارجینال همان طور که از نام آن مشخص هست بدون هیچ کد مخرب و ویروسی میباشد.

  2. محمد گفت:

    سلام
    نصب و فعال کردم الان گزینه ای برای شروع نداره که و کدوم تب افزونه میگه کدام فایل ها مشکل داره

    1. سعید حبیبی گفت:

      سلام، محمد عزیز داخل مطلب توضیحات رو دادیم.
      با تشکر

  3. کیم گفت:

    ممنون. خیلی خوب بود که روش پاکسازی این کدها را هم می گفتید.

  4. شاهین گفت:

    سلام دو سوال دارم یکی اینکه مثلا محصولاتی که خود شما هم دارید من شنیده ام به دوروش است یکی اینکه با کد مخرب یا ویروس قفل را میشکنند عده ای هم بصورت حرفه ای فقط قفل را برمیدارند عده ای هم قفل را بصورت حرفه ای و سالم میشکنند ایا روش دوم شدنی است قفل را بردارند بدون وارد کردن کد مخرب ؟ بقیه موارد که گفتم درست هستند؟
    و مهم ترین سوالم از کجا بفهمیم که لینک مخفی در افزونه و قالب قرار داده اند؟

    1. رحمت الله مجیدی گفت:

      سلام ، بله درست است ، ما محصولاتمان را فقط قفل را از بین میبریم تا بتوانیم در اختیار ایرانیان عزیز قرار دهیم ، هیچ کد مخرب یا ویروسی هم داخل محصولات وجود ندارد چرا محصولات دارای پشتیبانی هستند ، تمامی محصولات با آنتی ویروس های قوی و بررسی کد ها به صورت حرفه ای در اختیار مشتریان قرار خواهد گرفت. ، پس نتیجه میگیریم که روش دومی که فرمودید که برداشتن قفل بدون کد مخرب بله کاملا امکان پذیر است و فقط بستگی به تیم یا شخصی دارد که این عمل را انجام میدهد، که اگر از سایت های معتبر و با سابقه ایرانی خرید داشته باشید که پشتیبانی خوب نیز ارائه بدهند میتوان گفت خبری از کد مخرب وجود ندارد. ، برای فهمیدن لینک مخفی در افزونه و قالب باید تخصص لازم را داشته باشید

  5. حسین گفت:

    افزونه iThemes Security Pro هم مانند wordfence قابلیت و قدرت تشخیص را دارد ؟

    1. رحمت الله مجیدی گفت:

      بله ولی ۱۰۰% نخواهد بود و بهتر است خودتان به بررسی دقیق بپردازید که نیازمند علم برنامه نویسی است ، ولی پیشگیری بهتر از درمان است ، اصلا چرا باید قالب و افزونه نال استفاده کنیم که این مشکلات نیز برای ما به وجود بیاید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *