Analyse de la base de données à la recherche de données malveillantes

Question

Analyse de la base de données à la recherche de données malveillantes

- 4
- 30768 2011-01-03
Après lepiratage du site d'un ami,je lui ai dit qu'il devrait simplementnettoyer le désordreet recommencer à zéropour qu'il sache qu'aucunfichiern'a étémodifié.

Jepourrais scanner le sitepour lui avec des outils commegrepet ainsi de suite (pour commencer: Grepet amis )mais ce queje me demandais,c'est comment analyser labase de données?Et si unpirate aplacé une charge utile dans labase de données.Celapeut être quelque chose de simple comme XSS oumême du code PHP au cas oùil y auraitencore des évaluationsen cours dans lenoyau (ou était aumoment du hack).

Des suggestions?J'aipensé à utiliser SQL-Queries avec lafonction de comparaison LIKE ouil y amême un REGEXpossible.Maispeut-être que quelqu'un l'a déjàfait ou veut lefaireet a desidées àpartager.

After a site of a friend has been hacked I told him he should just clean up the mess and restart from scratch so he know that no file has been altered.

I could scan the site for him with tools like grep an so on (For a start: Grep and Friends) but what I wondered about is, how to scan the database? What if some hacker has placed payload inside the database. Can be something simple like XSS or even PHP code in case there is some eval'ing still going on in core (or was at the time of the hack).

Any suggestions? I thought about using SQL-Queries with the LIKE comparison function or there is even some REGEX possible. But maybe someone has already done this or wants to do this an has some ideas to share.

mysql sql hacked verification

- J'ai remarqué,il y aenviron 2 semaines,que letrafic Google Analyticpourmon site WordPress a chuté defaçon spectaculaire.J'aifinalement réalisé qu'unpirateinformatique étaitentréet quemonblog était obligé de rediriger vers un assortiment de sites contenant du spam.Aujourd'hui,j'ai regardé deprès le code sourceet j'aitrouvé que lapage appelait 2javascripts queje ne reconnaissaispas.Je suisentré dansmongestionnaire defichierset j'ai découvert que les dates de ces 2fichiers avaient étémodifiées àpropos dujour oùmon site a étépiraté.J'aiexécutémon site via l'analysegratuite des logicielsmalveillants du site recommandée ci-dessus,http://sucuri.net/et il a égalementidentifiétho
  
  I noticed, starting about 2 weeks ago, that the Google Analytic traffic for my WordPress site dropped dramatically. I finally realized that some hacker had gotten in and my blog was being forced to redirect to an assortment of spammy sites. Today I took a close look at the source code and found the page was calling up 2 javascripts that I didn't recognize. I went into my file manager and discovered that the dates on those 2 files had been changed about the day that my site was hacked. I ran my site thru the free site malware scan recommended above, http://sucuri.net/ and it also identified tho
  - 1
  - 2011-09-25
- @Pamela veuillezne pas utiliser les réponsespour la discussion.Vouspourrez laisser des [commentaires] (http://wordpress.stackexchange.com/privileges/comment) lorsque vousgagnerez une certaine réputation sur le site.
  
  @Pamela please do not use answers for discussion. You will be able to leave [comments](http://wordpress.stackexchange.com/privileges/comment) when you gain some reputation on site.
  - 0
  - 2011-09-25
  - Rarst

2 réponses

votes

- 4
- 2012-02-23
Mes sites sur un seul compte onttous étéinfectéspar un script Decode_Base64 qui ainfecté denombreuxfichiersphp,et malgré lenettoyage d'un site qui apris des heures,il a été réinfecté quelques heuresplustard.

J'aifini partélécharger le dossier wp-content/uploadset tous les autresfichiersmis àjourmanuellement à l'aide d'une connexionftp sécurisée.

J'ai égalementpris desnotes/sauvegardes desthèmes,pluginset autrespersonnalisations quej'auraisbesoin de réappliquer.

Ensuite,j'ai changétous lesmots depasse de compte/ftp,changémanuellement lesmots depasse de labase de données/des utilisateursen utilisantphpMyAdmin,pour refuser l'accès lorsque les sites sont revenus.

Ensuite,j'ai supprimé TOUT le code Wordpress de TOUS les siteset téléchargé à laplace un simplefichierindex.htmlindiquant que les sites étaienten maintenance.

J'ai vérifié dans les dossiers WP-content/uploadstout ce quin'étaitpas uneimage oumonpropre contenu,en particulier à la recherche de scripts (quine devraientpas être là).

Ensuite,téléchargez la dernière version de WP,configurez-lapour labase de donnéesexistante avec unnouveaumot depasseet téléchargez-la sur le serveur.

Accédez au site,quin'aura actuellement qu'Akismet actif. Vérifiezet supprimeztout ce quine devraitpas être là (pages,articles,liens,etc.).

Installez unplugin de sauvegardepour vous assurer que vous avez des sauvegardes de labase de données/des dossiers.

Installez leplugin Bulletproof-Security (ou similaire) qui crée desfichiers .htaccess verrouilléspour vouset vousindique comment sécuriser vosfichiers/dossiers. Respectez ses recommandations.

Enfin,appliquez ànouveauprogressivement vospersonnalisations.

Si vous avezplusieurs domaines,répétez sinécessaire.

Dansma situation,je prévoyaisen fait depasser à unnouvel hôte,donc après avoirfait cela,j'aiensuitetout sauvegardé sitepar siteet les ai recréés sur lenouvel hôte,unefois quej'étais sûr que l'ancienne version reconstruite étaitpropre.

Bonne chanceet j'espère que cela vous aidera.

My sites on one account all got infected with a Decode_Base64 script that infected many php files, and despite cleaning up a site which took hours, it got re-infected just hours later.

I ended up downloading the wp-content/uploads folder and any other manually updated files using a secure ftp connection.

I also took notes/backups of the themes, plugins, and other customizations which I would need to re-apply.

Then I changed all the account/ftp passwords, manually changed the database/user passwords using phpMyAdmin, to deny access when the sites came back up.

Next I deleted ALL the Wordpress code from ALL the sites and uploaded instead a simple index.html file that said the sites were under maintenance.

I checked the WP-content/uploads folders for anything that was not an image or my own content, especially looking for scripts (which should not be there).

Next, download the latest version of WP, configure it for the existing database with new password, and upload to the server.

Access the site, which will have only Akismet active at this time. Check for and delete anything that should not be there (pages, posts, links etc).

Install a backup plugin to make sure you have backups of the database/folders.

Install the Bulletproof-Security plugin (or similar) which creates locked down .htaccess files for you and tells you how to secure your files/folders. Comply with it's recommendations.

Finally, gradually apply your customizations again.

If you have multiple domains, repeat as necessary.

In my situation, I was actually planning to move to a new host, so having done this, I then saved everything site by site and re-created them on the new host, once I was sure that the rebuilt old version was clean.

Good Luck and I hope this helps.

markratledge · Accepted Answer · 2011-01-03

6

2011-01-03

J'ai lu que vider labase de données sousforme detexteet y chercherest unebonnefaçon deprocéder.Vouspouvez rechercher avecphpmyadmin,mais c'est limité.Cela dépend de lataille de labase de donnéeset d'unbon éditeur detexte,mais vouspouvez supprimer les révisions depublication/page avant de vider labase de donnéespour la réduire.Ou vider quelquestables à lafois.

Supprimer les révisions avant l'analyseme semble être unebonne stratégie.Je vais demander à l'ami s'ilen aencorebesoin ounon.Avez-vous des conseilspour les chaînes de recherche réelles?Mais avant de demander,je pense queje devraisfairemespropres devoirset rechercher des vulnérabilités sur Google,je doismêmeen avoir lié certaines depuismonblog.

Delete revisions prior scanning looks like a good strategy to me. I will ask the friend if he still needs them or not. You have any tips for actual search strings? But before asking, I think I should do my own homework and google things up for know vulnerabilities, I must have even linked some from my blog.
- 0
- 2011-01-04
- hakre
Je chercherais les chaînes habituelles `eval (base64_decode`. Et si vous affichez la source sur le siteet voyez des liens de spam,recherchez-les. Http://sucuri.net/garde unetrace des chaînes de logicielsmalveillants re: Wordpress

I'd look for the usual `eval(base64_decode` strings. And if you view source on the site and see spam links, search for those. http://sucuri.net/ keeps track of malware strings re: Wordpress
- 3
- 2011-01-04
- markratledge