Co to jest backdoor?
Backdoor to ukryty kod wstrzyknięty przez hakera umożliwiający mu powrót do serwera nawet po zmianie haseł. Najczesciej ukryty w plikach PHP, czasem zakodowany w base64.
Oznaki obecności backdoora
- Nieznane pliki PHP w katalogach uploads, tmp lub z nazwami typu "x.php", "shell.php", "c99.php"
- Zmodyfikowane daty plików (sprawdź przez
ls -la) - Podejrzane funkcje PHP: eval(), base64_decode(), system(), exec(), passthru()
- Nowe konta administratora WordPress które nie zostały przez Ciebie dodane
Skanowanie plików PHP przez SSH
# Szukaj plików zawierających eval i base64 jednoczesnie
grep -r --include="*.php" "eval(base64_decode" ~/public_html/
# Szukaj plików zawierających shell functions
grep -r --include="*.php" -l "system|exec|passthru|shell_exec" ~/public_html/
# Pliki zmodyfikowane w ciagu ostatnich 7 dni
find ~/public_html -name "*.php" -mtime -7Zewnętrzny skaner
- Wordfence (wtyczką WordPress) — pełny skan plików
- Maldet (Linux Malware Detect) — skaner serwerowy
- ClamAV — antywirus dla Linux
Działania po wykryciu backdoora
- Zmień WSZYSTKIE hasła (hosting, WordPress, FTP, baza, email)
- Usuń podejrzane pliki
- Przywróć czysta kopię zapasową
- Zaktualizuj wszystko
- Przeskanuj ponownie
