تعاریف و انواع درهای پشتی :
در گذشته های دور مهاجمان (هکر ها) Backdoor ها را بر روی سیستم ها شناسایی کرده و به آن نفوذ می کردند ولی بعد از آن دیگر بیشتر درهای پشتی را در سیستم هدف آپلود می کردند و از طریق راه مربوطه وارد سیستم می شدند . مزیت این نوع حملات اینگونه است که هکر در هر زمانی اراده کرد می تواند وارد سیستم هدف شود و کارهایی که می خواهد را انجام دهد . بهتر است در ابتدا با تعریف اصلی یک در پشتی آشنا شویم .بیشتر ما ها ممکن است در پشتی را با یک پورت باز شده بر روی سیستم هدف به همراه یک سرور فایل کوچک جهت ارتباط Server/Client اشتباه می گیریم و همچنین این موضوع نیز گاهی با تروجان (Trojan) ها اشتباه گرفته می شود ، اسب ها تروآ خود یه برنامه ی مجزا بوده که خودشان روش های درهای پشتی یک دسترسی را با توجه با امکاناتشان فراهم می کنند ، پس نباید تروجان ها را با درهای پشتی نیز اشتباه گرفت ، بلکه باید بگوییم یکی از انواع درهای پشتی برای نفوذ به این شکل استفاده می شود . تروجان ها علاوه بر باز کردن درهای پشتی برای یک نفوذ امکانات و ابزار دیگری را نیز فراهم می کنند . ﺷﺎﯾﺪ ﺑﻪ ﻋﻠﺖ ﺗﺸﺎﺑﻪ ﺑﻌﻀﯽ در ھﺎی ﭘﺸﺘﯽ ﺑﺎ ﺗﺮوﺟﺎن ھﺎی ﺗﮏ ﻣﻨﻈﻮره ﺟﮫﺖ ﺑﺎز ﮐﺮد ن ﯾﮏ در ﭘﺸﺘﯽ اﯾﻦ برداشت اشتباه ﭘﯿﺶ آﻣﺪه است که آن هم به خاطر کاربرد آن در Web Hacking و غیره می باشد که بصورت کاربردی آشنا درآمده است
- تعریف علمی درهای پشتی یا Backdoors:
برنامه ای هست که به نفوذگر این امکان را می دهد تا با دور زدن روند امنیتی سیستم ، منابع مختلفی از آن سیستم را از راه مربوطه در اختیار نفوذگر قرار بدهد .تعداد بسیار زیادی از انواع درهای پشتی قابل ذکر است ، همانطور که طبق تعریف بالا مشاهده می کنید مبنای اصلی که به یک در پشتی مربوط می شود به دستیابی یک نفوذگر به منابع سیستمی از طریق در پشتی تعریف می شود . این دسترسی می تواند به روش های مختلف صورت گیرد که این موضوع بستگی به هدفی دارد که هکر از بکارگیری درهای پشتی استفاده می کند برای مثال :
انواع درهای پشتی :
1.[font=Times New Roman] [/font]تغییر در سطح دسترسی محلی : اﯾﻦ ﻧﻮع درﭘﺸﺘﯽ ﺑﻪ ﻧﻔﻮذ ﮔﺮ اﯾﻦ اﻣﮑﺎن را ﻣﯽ دھﺪ ﮐﻪ ﯾﮏ ﺣﺴﺎب ﮐﺎرﺑﺮی ﻣﻌﻤﻮﻟﯽ ﺑﻪ ﺣﺴﺎب ﮐﺎرﺑﺮی ﺑﺎ دﺳﺘﺮﺳﯽ ﺑﻪ Root ﯾﺎ Administrator ﺗﺒﺪﯾﻞ ﺷﺪه و ارﺗﻘﺎء ﯾﺎﺑﺪ ﺑﺎ اﯾﻦ دﺳﺘﺮﺳﯽ ﻧﺎﻣﺤﺪود ﻧﻔﻮذ ﮔﺮ ﻣﯽ ﺗﻮاﻧﺪ دوﺑﺎره ﻓﺎﯾﻞ ھﺎی ذﺧﯿﺮه ﺷﺪه ﺑﺮ ﺳﯿﺴﺘﻢ را ﺑﻪ ﻃﺮﯾﻖ ﺧﻮد ﭘﯿﮑﺮ ﺑﻨﺪی ﻧﻤﺎید .
2.[font=Times New Roman] [/font]اﺟﺮای ﻓﺮﻣﺎﻧﮫﺎی تکی از راه دور : در اﯾﻦ ﻧﻮع ار درھﺎی ﭘﺸﺘﯽ ھﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎ ارﺳﺎل ﭘﯿﻐﺎم ﺑﻪ ﺳﯿﺴﺘﻢ ھﺪف در ھﻤﺎن ﻟﺤﻈﻪ ﯾﮏ ﺗﮏ ﻓﺮﻣﺎن را ﺑﺮوی ﻣﺎﺷﯿﻦ ﻣﻮرد ﻧﻈﺮ اﺟﺮا ﮐﻨﺪ در ﭘﺸﺘﯽ ﻓﺮﻣﺎن ﺗﮑﯽ ھﮑﺮ را اﺟﺮا ﮐﺮده و ﻧﺘﯿﺠﻪ را ﺑﻪ ھﮑﺮ ﺑﺎز ﻣﯽ ﮔﺮداﻧﺪ .
3.[font=Times New Roman] [/font]دﺳﺘﺮﺳﯽ ﺑﻪ ﯾﮏ ﺳﻄﺮ ﻓﺮﻣﺎن از ﺳﯿﺴﺘﻢ هدف از راه دور : یکی از شناخته شده ترین درهای پشتی برای نفوذگران می باشد و نام معروف این نوع Remote Shell است . در این نوع در پشتی به نفوذگر این امکان را می دهد ، در سطر فرمان سیستم هدف و از طریق شبکه فرمان هایی را بطور مستقیم اجرا نماید ، در این نوع نفوذگر می تواند سطر کاربردی را به یک ابزار کاربردی تبدیل نماید . از جمله توانایی های این مورد انجام یک سری فرمان ها به صورت موازی ، نوشتن Script های خطرناک و یا انتخاب دسته ای از فایل ها برای جمع آوری شان . با بررسی بیشتر می توان گفت که Remote Shell ها بسیار پرتوان تر و پرکاربردتر از اجرای فرمان های تکی برای سیستم هدف می باشد ، ﺑﻪ ﺗﺸﺎﺑﮫﯽ اﯾﻦ ﻧﻮع در ﭘﺸﺘﯽ ﯾﮏ دﺳﺘﺮﺳﯽ ﻣﺴﺘﻘﯿﻢ ﺑﻪ ﮐﯿﺒﻮرد ﺳﯿﺴﺘﻢ ھﺪف ﺑﺮای ﺷﻤﺎ ﺗﮫﯿﻪ ﻣﯽ ﻧﻤﺎﯾﺪ .
4.[font=Times New Roman] [/font]دسترسی از راه دور به ماشین هدف از طریق برنامه ی GUI : بعد از گذراندن مراحل دسترسی های سطر فرمان به ماشین هدف به درهای پشتی می رسیم که یک دسترسی به سیستم GUI از سیستم هدف را برای ما فراهم می کند . بطور مثال باز و بسته شدن پنجره ها یا حرکت موس ... در این نوع شما می توانید نظاره گر فعالیت های قربانی بر روی سیستمش باشید یا خود می توانید کنترل GUI سیستم مورد نظر را دست بگیرید .
ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ ھﺮ ﮐﺪام از اﻧﻮاع در ھﺎی ﭘﺸﺘﯽ ذﮐﺮ ﺷﺪه در ﺑﺎﻻ ﯾﮏ ﻧﻔﻮذ ﮔﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺮ روی ﺳﯿﺴﺘﻢ ﻣﻮرد ﻧﻈﺮ ﺧﻮد ﻣﺎﻧﻮر ﮐﻨﺪ از ﺟﻤﻠﻪ ﻓﺎﯾﻞ ھﺎﯾﯽ از ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ را در ﯾﺎﻓﺖ ﮐﻨﺪ ﯾﮏ ﺳﺮی ﭘﯿﮑﺮ ﺑﻨﺪی ھﺎی ﻣﻮرد ﻧﻈﺮ ﺧﻮد را از دوﺑﺎره اﺟﺮا ﻧﻤﺎﯾﺪ و ﻏﯿﺮه .ﻧﮑﺘﻪ ﺗﻮﺟﻪ ﺑﻪ اﯾﻦ ﻻزم اﺳﺖ ﮐﻪ ﺑﺤﺚ ﻣﺎ ﻣﺮﺑﻮط ﺑﻪ Defacement از ﻃﺮﯾﻖ در ھﺎی ﭘﺸﺘﯽ را ﺷﺎﻣﻞ ﻧﻤﯽ ﺷﻮد . ﺑﻠﮑﻪ ﺑﺎﯾﺪ ﺑﮕﻮﯾﻢ اﯾﻦ ﻋﻤﻞ ﯾﮑﯽ از اھﺪاﻓﯽ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎﺷﺪ ﮐﻪ ﯾﮏ ﻧﻔﻮذ ﮔﺮ ﺑﻌﺪ از دﺳﺘﯿﺎﺑﯽ ﺑﻪ ﻣﻨﺎﺑﻊ ﯾﮏ وب ﺳﺮور از ﻃﺮﯾﻖ در ﭘﺸﺘﯽ اﻗﺪام ﺑﻪ آن ﻣﯽ ﮐﻨﺪ ﺑﺤﺚ ﻣﺎ در اﯾﻦ ﻣﻘﺎﻟﻪ ﺑﻪ ﺗﻌﺮﯾﻒ و روش ھﺎی اﯾﺠﺎ د و و ﮔﻮﻧﻪ ھﺎی ﻣﺨﺘﻠﻒ در ھﺎی ﭘﺸﺘﯽ ﻣﺘﻤﺮﮐﺰ ﻣﯽ ﺑﺎﺷﺪ ﻧﻪ اﺳﺘﻔﺎده ھﺎﯾﯽ ﮐﻪ ﻣﯽ ﺷﻮد ﺑﻌﺪ از آن ﻧﻤﻮد. ﻃﯿﻒ ﮔﺴﺘﺮده ای از اھﺪاف را ﻣﯽ ﺷﻮد ﭘﺲ از اﯾﺠﺎد ﯾﮏ در ﭘﺸﺘﯽ دﻧﺒﺎل ﮐﺮد ﮐﻪ ﮐﯽ از ﻧﻮع ﻓﻮق ﻣﻄﻠﺐ ﻧﯿﺰ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎﺷﺪ . ﭘﺲ ﻣﻄﻠﺐ در ھﺎی ﭘﺸﺘﯽ را ﺑﺎ ﮐﺎرﺑﺮد ھﺎی وﯾﮋه اﯾﻦ ﻣﻘﻮﻟﻪ اﺷﺘﺒﺎه ﻧﮕﯿﺮﯾﺪ . ﺑﺤﺚ ﻣﺎ ﯾﮏ ﺑﺤﺚ اﻧﺘﺰاﻋﯽ و ﻣﺤﺾ در ﻣﻮرد در ھﺎی ﭘﺸﺘﯽ ﺧﻮاھﺪ ﺑﻮد ﻧﻪ ﮐﺎرﺑﺮدی . در مطلب بعدی از سری مطالب BackDoors قصد دارم به بررسی روش های متداول نصب BackDoor بپردازیم .امیدوار این مطلب برای شما تا حدودی مفید بوده باشد...
کدهای مخرب کجا مخفی می شوند ؟
بیشتر اوقات احتمال داردBackdoor ها داخل Theme ای که استفاده میکنید، نباشند.
هکر ها میخواهند کدهای مخربی که اضافه کرده اند با آپدیت هسته وردپرس از بین نرود. بنابراین اگر شما Theme قدیمی دارید یا Theme های غیرفعال دارید ممکن است کدهای مخرب در مسیر ذخیره شدن آن ها وجود داشته باشند.
ما پیشنهاد میکنیم تمام Theme های غیرفعال و بدون استفاده را پاک کنید.
۲- پلاگین ها (Plugins) :
پلاگین ها هم به سه دلیل یکی از بهترین مکان ها برای مخفی کردن کدهای مخرب هکر ها می باشند.
– دلیل اول: کاربران وردپرس پلاگین ها و کدهای مربوط به آن را بررسی نمیکنند.
– دلیل دوم: کاربران وردپرس علاقه ای به بروز کردن پلاگین ها ندارند.
– ضعیف بودن کدهای پلاگین های نصب شده که ممکن است آسیب پذیزی از این پلاگین ها آغاز شود.
۳- پوشه uploads :
شما فقط در این فولدر تصویر آپلود میکنید و در پست ها از این مسیر استفاده میکنید و ممکن است هزاران تصویر و فایل آپلود کرده باشید که بر اساس ماه و سال در این پوشه قرار گرفته باشند.
آپلود کردن Backdoorها در این مسیر یکی از ساده ترین راه ها برای هکر ها می باشد زیرا فایل های مخرب در بین هزاران فایلی که در این پوشه هستند، مخفی می شود و شما به صورت منظم این پوشه و فایل های آن را چک نمیکنید. همچنین بیشتر مردم از پلاگین هایی امنیتی مانند Sucuri برای مانیتورینگ این مسیر استفاده نمیکنند.
در پایان به این دلیل که پوشه uploads قابل نوشتن است هدف بسیار خوبی برای آپلود کردن فایل می باشد.
۴- فایل wp-config :
این فایل هم یکی از هدف های خیلی خوب برای هکرها میباشد و یکی از اولین مکانهایی هست که به کاربران گفته میشود بررسی کنند. بهتر است دسترسی به این فایل بصورت بسیار محدود باشد.
۵- پوشه wp-includes :
این پوشه هم یکی دیگر از مکان هایی است که میتوانید فایل های مخرب را پیدا کنید. بعضی از هکر ها حتما اینجا بیشتر از یک فایل مخرب از خود به جا میزارند.
هکر ها یکبار فایل را آپلود میکنند و حتما راه یا راه های دیگری برای دسترسی در آینده برای خود قرار خواهند داد.
فولدر include یکی از مکانهایی است که کاربران بررسی نمی کنند.
همچنین ممکن است فایل های مخربی وجود داشته باشند که بسیار شبیه به فایل های اصلی وردپرس می باشند اما در حقیقت فایل های مخربی هستند که از دید ما مخفی شده اند.
برای مثال در پاکسازی یک سایت با یک فایل مخرب در پوشه wp-includes با نام wp-uers.php مواجه شدیم، در صورتی که این فایل در وردپرس وجود ندارد و نام اصلی آن user.php می باشد.
در بررسی دیگری فایلی با نام hello.php در مسیر پوشه uploads[font=Arial, sans-serif] [/font]پیدا شد، این فایل در قالب پلاگین Hello Dolly مخفی شده بود، در حالی که ارتباطی با این پلاگین نداشت.
www.kishtech.ir
در گذشته های دور مهاجمان (هکر ها) Backdoor ها را بر روی سیستم ها شناسایی کرده و به آن نفوذ می کردند ولی بعد از آن دیگر بیشتر درهای پشتی را در سیستم هدف آپلود می کردند و از طریق راه مربوطه وارد سیستم می شدند . مزیت این نوع حملات اینگونه است که هکر در هر زمانی اراده کرد می تواند وارد سیستم هدف شود و کارهایی که می خواهد را انجام دهد . بهتر است در ابتدا با تعریف اصلی یک در پشتی آشنا شویم .بیشتر ما ها ممکن است در پشتی را با یک پورت باز شده بر روی سیستم هدف به همراه یک سرور فایل کوچک جهت ارتباط Server/Client اشتباه می گیریم و همچنین این موضوع نیز گاهی با تروجان (Trojan) ها اشتباه گرفته می شود ، اسب ها تروآ خود یه برنامه ی مجزا بوده که خودشان روش های درهای پشتی یک دسترسی را با توجه با امکاناتشان فراهم می کنند ، پس نباید تروجان ها را با درهای پشتی نیز اشتباه گرفت ، بلکه باید بگوییم یکی از انواع درهای پشتی برای نفوذ به این شکل استفاده می شود . تروجان ها علاوه بر باز کردن درهای پشتی برای یک نفوذ امکانات و ابزار دیگری را نیز فراهم می کنند . ﺷﺎﯾﺪ ﺑﻪ ﻋﻠﺖ ﺗﺸﺎﺑﻪ ﺑﻌﻀﯽ در ھﺎی ﭘﺸﺘﯽ ﺑﺎ ﺗﺮوﺟﺎن ھﺎی ﺗﮏ ﻣﻨﻈﻮره ﺟﮫﺖ ﺑﺎز ﮐﺮد ن ﯾﮏ در ﭘﺸﺘﯽ اﯾﻦ برداشت اشتباه ﭘﯿﺶ آﻣﺪه است که آن هم به خاطر کاربرد آن در Web Hacking و غیره می باشد که بصورت کاربردی آشنا درآمده است
- تعریف علمی درهای پشتی یا Backdoors:
انواع درهای پشتی :
2.[font=Times New Roman] [/font]اﺟﺮای ﻓﺮﻣﺎﻧﮫﺎی تکی از راه دور : در اﯾﻦ ﻧﻮع ار درھﺎی ﭘﺸﺘﯽ ھﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎ ارﺳﺎل ﭘﯿﻐﺎم ﺑﻪ ﺳﯿﺴﺘﻢ ھﺪف در ھﻤﺎن ﻟﺤﻈﻪ ﯾﮏ ﺗﮏ ﻓﺮﻣﺎن را ﺑﺮوی ﻣﺎﺷﯿﻦ ﻣﻮرد ﻧﻈﺮ اﺟﺮا ﮐﻨﺪ در ﭘﺸﺘﯽ ﻓﺮﻣﺎن ﺗﮑﯽ ھﮑﺮ را اﺟﺮا ﮐﺮده و ﻧﺘﯿﺠﻪ را ﺑﻪ ھﮑﺮ ﺑﺎز ﻣﯽ ﮔﺮداﻧﺪ .
3.[font=Times New Roman] [/font]دﺳﺘﺮﺳﯽ ﺑﻪ ﯾﮏ ﺳﻄﺮ ﻓﺮﻣﺎن از ﺳﯿﺴﺘﻢ هدف از راه دور : یکی از شناخته شده ترین درهای پشتی برای نفوذگران می باشد و نام معروف این نوع Remote Shell است . در این نوع در پشتی به نفوذگر این امکان را می دهد ، در سطر فرمان سیستم هدف و از طریق شبکه فرمان هایی را بطور مستقیم اجرا نماید ، در این نوع نفوذگر می تواند سطر کاربردی را به یک ابزار کاربردی تبدیل نماید . از جمله توانایی های این مورد انجام یک سری فرمان ها به صورت موازی ، نوشتن Script های خطرناک و یا انتخاب دسته ای از فایل ها برای جمع آوری شان . با بررسی بیشتر می توان گفت که Remote Shell ها بسیار پرتوان تر و پرکاربردتر از اجرای فرمان های تکی برای سیستم هدف می باشد ، ﺑﻪ ﺗﺸﺎﺑﮫﯽ اﯾﻦ ﻧﻮع در ﭘﺸﺘﯽ ﯾﮏ دﺳﺘﺮﺳﯽ ﻣﺴﺘﻘﯿﻢ ﺑﻪ ﮐﯿﺒﻮرد ﺳﯿﺴﺘﻢ ھﺪف ﺑﺮای ﺷﻤﺎ ﺗﮫﯿﻪ ﻣﯽ ﻧﻤﺎﯾﺪ .
4.[font=Times New Roman] [/font]دسترسی از راه دور به ماشین هدف از طریق برنامه ی GUI : بعد از گذراندن مراحل دسترسی های سطر فرمان به ماشین هدف به درهای پشتی می رسیم که یک دسترسی به سیستم GUI از سیستم هدف را برای ما فراهم می کند . بطور مثال باز و بسته شدن پنجره ها یا حرکت موس ... در این نوع شما می توانید نظاره گر فعالیت های قربانی بر روی سیستمش باشید یا خود می توانید کنترل GUI سیستم مورد نظر را دست بگیرید .
ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ ھﺮ ﮐﺪام از اﻧﻮاع در ھﺎی ﭘﺸﺘﯽ ذﮐﺮ ﺷﺪه در ﺑﺎﻻ ﯾﮏ ﻧﻔﻮذ ﮔﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺮ روی ﺳﯿﺴﺘﻢ ﻣﻮرد ﻧﻈﺮ ﺧﻮد ﻣﺎﻧﻮر ﮐﻨﺪ از ﺟﻤﻠﻪ ﻓﺎﯾﻞ ھﺎﯾﯽ از ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ را در ﯾﺎﻓﺖ ﮐﻨﺪ ﯾﮏ ﺳﺮی ﭘﯿﮑﺮ ﺑﻨﺪی ھﺎی ﻣﻮرد ﻧﻈﺮ ﺧﻮد را از دوﺑﺎره اﺟﺮا ﻧﻤﺎﯾﺪ و ﻏﯿﺮه .ﻧﮑﺘﻪ ﺗﻮﺟﻪ ﺑﻪ اﯾﻦ ﻻزم اﺳﺖ ﮐﻪ ﺑﺤﺚ ﻣﺎ ﻣﺮﺑﻮط ﺑﻪ Defacement از ﻃﺮﯾﻖ در ھﺎی ﭘﺸﺘﯽ را ﺷﺎﻣﻞ ﻧﻤﯽ ﺷﻮد . ﺑﻠﮑﻪ ﺑﺎﯾﺪ ﺑﮕﻮﯾﻢ اﯾﻦ ﻋﻤﻞ ﯾﮑﯽ از اھﺪاﻓﯽ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎﺷﺪ ﮐﻪ ﯾﮏ ﻧﻔﻮذ ﮔﺮ ﺑﻌﺪ از دﺳﺘﯿﺎﺑﯽ ﺑﻪ ﻣﻨﺎﺑﻊ ﯾﮏ وب ﺳﺮور از ﻃﺮﯾﻖ در ﭘﺸﺘﯽ اﻗﺪام ﺑﻪ آن ﻣﯽ ﮐﻨﺪ ﺑﺤﺚ ﻣﺎ در اﯾﻦ ﻣﻘﺎﻟﻪ ﺑﻪ ﺗﻌﺮﯾﻒ و روش ھﺎی اﯾﺠﺎ د و و ﮔﻮﻧﻪ ھﺎی ﻣﺨﺘﻠﻒ در ھﺎی ﭘﺸﺘﯽ ﻣﺘﻤﺮﮐﺰ ﻣﯽ ﺑﺎﺷﺪ ﻧﻪ اﺳﺘﻔﺎده ھﺎﯾﯽ ﮐﻪ ﻣﯽ ﺷﻮد ﺑﻌﺪ از آن ﻧﻤﻮد. ﻃﯿﻒ ﮔﺴﺘﺮده ای از اھﺪاف را ﻣﯽ ﺷﻮد ﭘﺲ از اﯾﺠﺎد ﯾﮏ در ﭘﺸﺘﯽ دﻧﺒﺎل ﮐﺮد ﮐﻪ ﮐﯽ از ﻧﻮع ﻓﻮق ﻣﻄﻠﺐ ﻧﯿﺰ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎﺷﺪ . ﭘﺲ ﻣﻄﻠﺐ در ھﺎی ﭘﺸﺘﯽ را ﺑﺎ ﮐﺎرﺑﺮد ھﺎی وﯾﮋه اﯾﻦ ﻣﻘﻮﻟﻪ اﺷﺘﺒﺎه ﻧﮕﯿﺮﯾﺪ . ﺑﺤﺚ ﻣﺎ ﯾﮏ ﺑﺤﺚ اﻧﺘﺰاﻋﯽ و ﻣﺤﺾ در ﻣﻮرد در ھﺎی ﭘﺸﺘﯽ ﺧﻮاھﺪ ﺑﻮد ﻧﻪ ﮐﺎرﺑﺮدی . در مطلب بعدی از سری مطالب BackDoors قصد دارم به بررسی روش های متداول نصب BackDoor بپردازیم .امیدوار این مطلب برای شما تا حدودی مفید بوده باشد...
کدهای مخرب کجا مخفی می شوند ؟
Backdoor های درون وردپرس معمولا در مکان های زیر مخفی می شوند:
۱- تم ها (Themes) :بیشتر اوقات احتمال داردBackdoor ها داخل Theme ای که استفاده میکنید، نباشند.
هکر ها میخواهند کدهای مخربی که اضافه کرده اند با آپدیت هسته وردپرس از بین نرود. بنابراین اگر شما Theme قدیمی دارید یا Theme های غیرفعال دارید ممکن است کدهای مخرب در مسیر ذخیره شدن آن ها وجود داشته باشند.
ما پیشنهاد میکنیم تمام Theme های غیرفعال و بدون استفاده را پاک کنید.
۲- پلاگین ها (Plugins) :
پلاگین ها هم به سه دلیل یکی از بهترین مکان ها برای مخفی کردن کدهای مخرب هکر ها می باشند.
– دلیل اول: کاربران وردپرس پلاگین ها و کدهای مربوط به آن را بررسی نمیکنند.
– دلیل دوم: کاربران وردپرس علاقه ای به بروز کردن پلاگین ها ندارند.
– ضعیف بودن کدهای پلاگین های نصب شده که ممکن است آسیب پذیزی از این پلاگین ها آغاز شود.
۳- پوشه uploads :
شما فقط در این فولدر تصویر آپلود میکنید و در پست ها از این مسیر استفاده میکنید و ممکن است هزاران تصویر و فایل آپلود کرده باشید که بر اساس ماه و سال در این پوشه قرار گرفته باشند.
آپلود کردن Backdoorها در این مسیر یکی از ساده ترین راه ها برای هکر ها می باشد زیرا فایل های مخرب در بین هزاران فایلی که در این پوشه هستند، مخفی می شود و شما به صورت منظم این پوشه و فایل های آن را چک نمیکنید. همچنین بیشتر مردم از پلاگین هایی امنیتی مانند Sucuri برای مانیتورینگ این مسیر استفاده نمیکنند.
در پایان به این دلیل که پوشه uploads قابل نوشتن است هدف بسیار خوبی برای آپلود کردن فایل می باشد.
۴- فایل wp-config :
این فایل هم یکی از هدف های خیلی خوب برای هکرها میباشد و یکی از اولین مکانهایی هست که به کاربران گفته میشود بررسی کنند. بهتر است دسترسی به این فایل بصورت بسیار محدود باشد.
۵- پوشه wp-includes :
این پوشه هم یکی دیگر از مکان هایی است که میتوانید فایل های مخرب را پیدا کنید. بعضی از هکر ها حتما اینجا بیشتر از یک فایل مخرب از خود به جا میزارند.
هکر ها یکبار فایل را آپلود میکنند و حتما راه یا راه های دیگری برای دسترسی در آینده برای خود قرار خواهند داد.
فولدر include یکی از مکانهایی است که کاربران بررسی نمی کنند.
همچنین ممکن است فایل های مخربی وجود داشته باشند که بسیار شبیه به فایل های اصلی وردپرس می باشند اما در حقیقت فایل های مخربی هستند که از دید ما مخفی شده اند.
برای مثال در پاکسازی یک سایت با یک فایل مخرب در پوشه wp-includes با نام wp-uers.php مواجه شدیم، در صورتی که این فایل در وردپرس وجود ندارد و نام اصلی آن user.php می باشد.
در بررسی دیگری فایلی با نام hello.php در مسیر پوشه uploads[font=Arial, sans-serif] [/font]پیدا شد، این فایل در قالب پلاگین Hello Dolly مخفی شده بود، در حالی که ارتباطی با این پلاگین نداشت.
www.kishtech.ir