it-swarm.com.de

Datenbank nach böswilligen Daten durchsuchen

Nachdem eine Seite eines Freundes gehackt wurde, sagte ich ihm, er solle einfach das Chaos beseitigen und von vorne anfangen, damit er weiß, dass keine Datei geändert wurde.

Ich könnte die Site mit Tools wie grep und so weiter nach ihm durchsuchen (Zunächst: Grep and Friends ), aber ich habe mich gefragt, wie ich die Datenbank durchsuchen soll. Was ist, wenn ein Hacker Nutzdaten in die Datenbank gestellt hat? Kann etwas Einfaches wie XSS oder sogar PHP Code sein, falls im Kern noch einige Auswertungen stattfinden (oder sich zum Zeitpunkt des Hacks befanden).

Irgendwelche Vorschläge? Ich habe darüber nachgedacht, SQL-Abfragen mit der LIKE-Vergleichsfunktion zu verwenden, oder es ist sogar REGEX möglich. Aber vielleicht hat jemand dies bereits getan oder möchte dies tun und hat einige Ideen zu teilen.

4
hakre

Ich habe gelesen, dass es ein guter Weg ist, die Datenbank als Text zu speichern und darin zu suchen. Sie können mit phpmyadmin suchen, aber es ist begrenzt. Hängt von der Größe der Datenbank und einem guten Texteditor ab. Sie können jedoch Änderungen an Beiträgen/Seiten löschen, bevor Sie die Datenbank sichern, um die Größe zu verringern. Oder werfen Sie ein paar Tische auf einmal weg.

6
markratledge

Alle meine Sites auf einem Konto wurden mit einem Decode_Base64-Skript infiziert, das viele PHP-Dateien infizierte, und obwohl eine Site bereinigt wurde, die Stunden in Anspruch nahm, wurde sie nur Stunden später erneut infiziert.

Am Ende habe ich den Ordner wp-content/uploads und alle anderen manuell aktualisierten Dateien über eine sichere FTP-Verbindung heruntergeladen.

Ich habe auch Notizen/Backups der Themes, Plugins und anderer Anpassungen gemacht, die ich erneut anwenden müsste.

Dann habe ich alle Account-/FTP-Passwörter geändert und die Datenbank-/Benutzerkennwörter manuell mit phpMyAdmin geändert, um den Zugriff zu verweigern, wenn die Sites wieder hergestellt wurden.

Als nächstes habe ich ALLEN Wordpress-Code von ALLEN Sites gelöscht und stattdessen eine einfache index.html-Datei hochgeladen, die besagt, dass die Sites gewartet werden.

Ich habe die Ordner WP-content/uploads auf alles überprüft, was kein Bild oder mein eigener Inhalt ist, insbesondere auf der Suche nach Skripten (die nicht vorhanden sein sollten).

Laden Sie anschließend die neueste Version von WP herunter, konfigurieren Sie sie für die vorhandene Datenbank mit neuem Kennwort und laden Sie sie auf den Server hoch.

Greifen Sie auf die Website zu, auf der derzeit nur Akismet aktiv ist. Suchen Sie und löschen Sie alles, was nicht dort sein sollte (Seiten, Beiträge, Links usw.).

Installieren Sie ein Backup-Plugin, um sicherzustellen, dass Sie Backups der Datenbank/Ordner haben.

Installieren Sie das Bulletproof-Security-Plugin (oder ähnliches), das gesperrte .htaccess-Dateien für Sie erstellt und Sie darüber informiert, wie Sie Ihre Dateien/Ordner sichern können. Befolgen Sie die Empfehlungen.

Wenden Sie Ihre Anpassungen schließlich nach und nach wieder an.

Wenn Sie mehrere Domänen haben, wiederholen Sie dies nach Bedarf.

In meiner Situation plante ich eigentlich, auf einen neuen Host zu wechseln. Nachdem ich dies getan hatte, speicherte ich alles Standort für Standort und erstellte sie auf dem neuen Host neu, sobald ich sicher war, dass die neu erstellte alte Version fehlerfrei war.

Viel Glück und ich hoffe das hilft.

4
Tony