array(6) { ["headers"]=> object(WpOrg\Requests\Utility\CaseInsensitiveDictionary)#522 (1) { ["data":protected]=> array(6) { ["date"]=> string(29) "Sat, 09 May 2026 14:36:55 GMT" ["server"]=> string(22) "Apache/2.4.58 (Ubuntu)" ["vary"]=> string(15) "Accept-Encoding" ["content-encoding"]=> string(4) "gzip" ["content-length"]=> string(2) "62" ["content-type"]=> string(24) "text/html; charset=UTF-8" } } ["body"]=> string(43) "{"blacklisted":0,"country":"United States"}" ["response"]=> array(2) { ["code"]=> int(200) ["message"]=> string(2) "OK" } ["cookies"]=> array(0) { } ["filename"]=> NULL ["http_response"]=> object(WP_HTTP_Requests_Response)#526 (5) { ["response":protected]=> object(WpOrg\Requests\Response)#525 (10) { ["body"]=> string(43) "{"blacklisted":0,"country":"United States"}" ["raw"]=> string(257) "HTTP/1.1 200 OK date: Sat, 09 May 2026 14:36:55 GMT server: Apache/2.4.58 (Ubuntu) vary: Accept-Encoding content-encoding: gzip content-length: 62 content-type: text/html; charset=UTF-8 connection: close {"blacklisted":0,"country":"United States"}" ["headers"]=> object(WpOrg\Requests\Response\Headers)#524 (1) { ["data":protected]=> array(6) { ["date"]=> array(1) { [0]=> string(29) "Sat, 09 May 2026 14:36:55 GMT" } ["server"]=> array(1) { [0]=> string(22) "Apache/2.4.58 (Ubuntu)" } ["vary"]=> array(1) { [0]=> string(15) "Accept-Encoding" } ["content-encoding"]=> array(1) { [0]=> string(4) "gzip" } ["content-length"]=> array(1) { [0]=> string(2) "62" } ["content-type"]=> array(1) { [0]=> string(24) "text/html; charset=UTF-8" } } } ["status_code"]=> int(200) ["protocol_version"]=> float(1.1) ["success"]=> bool(true) ["redirects"]=> int(0) ["url"]=> string(68) "https://www.webshield.hu/backend/blacklist.php?v=4&ip=216.73.216.117" ["history"]=> array(0) { } ["cookies"]=> object(WpOrg\Requests\Cookie\Jar)#527 (1) { ["cookies":protected]=> array(0) { } } } ["filename":protected]=> NULL ["data"]=> NULL ["headers"]=> NULL ["status"]=> NULL } } kártevő – WebShield https://staging.webshield.hu Feltört WordPress oldal? A WebShield segít! Tue, 14 Jan 2020 17:00:52 +0000 hu hourly 1 https://wordpress.org/?v=6.5.5 https://staging.webshield.hu/wp-content/uploads/2021/02/webshield-150x150.png kártevő – WebShield https://staging.webshield.hu 32 32 Hogyan lehet elemezni egy WordPress kártevőt? https://staging.webshield.hu/2020/01/14/hogyan-lehet-elemezni-egy-wordpress-kartevot/ https://staging.webshield.hu/2020/01/14/hogyan-lehet-elemezni-egy-wordpress-kartevot/#respond Tue, 14 Jan 2020 17:00:52 +0000 https://www.webshield.hu/?p=2108 Read More »Hogyan lehet elemezni egy WordPress kártevőt?]]> Munkám során gyakran találkozom olyan oldalakkal, amelyek már tartalmaznak WordPress kártevőt. Néha még az is előfordul, hogy egy, a Webshield által védett oldalon jelenik meg valamilyen kártevő. Ilyenkor pedig mindig elemzem, hogy mit csinál a vírus.

Egy védett oldalra hogyan fészkelheti be magát egy ilyen vírus?

Hogyan ismered fel?

Hogyan lehet elemezni a kártevőt?

Hogyan kerülhet kártevő a weboldaladra?

A teljesség igénye nélkül, íme pár gyakori lehetőség:

  • Új sérülékenységet fedeznek fel a WordPress-ben vagy valamelyik általad használt bővítményben.
  • Valakinek kiszivárog a WordPress-jelszava.
  • Valakinek kiszivárog azt ftp jelszava.
  • Valakinek fertőzött a gépe és a gépen keresztül a vírus feltölti magát a WordPress-oldalra.

Azonnal feltűnik, ha kártevővel van dolgod?

Sajnos nem.

Sokszor olyan ügyesen el vannak rejtve a kódban a vírusok, hogy az emberek észre sem veszik a jelenlétüket. Az is megnehezítheti a felfedezésüket, ha olyan hosszú space sorozattal van felvezetve, hogy ha akarnád sem látod, -mert kilóg a képernyőből.

Az ember azt gondolná, hogy a vírusellenőrzők minden esetben kiszűrik a kártevőket, azonban ez sincs feltétlenül így, mert ha új variánssal állnak szemben, sokszor zavarba jönnek.

Én mindenesetre szeretem megvizsgálni, pontosan mit csinál a kártevő és ezt most be is mutatom egy példán keresztül.

Így elemezzük a kártevőt

Ha ránézünk az előttünk álló feladványra, néhány tízsoros, szóköz nélküli katyvaszt látunk, amely az emberi szemnek olvashatatlan. De mivel a php szöveges nyelvét dolgozza fel, bárhogy legyen offuszkálva ez a kód, a visszafejtése lehetséges, hiszen a php is megteszi ugyanezt ahhoz, hogy le tudja futtatni.

Ez a visszafejtés lehet egyszerű feladat, de lehet bicskanyitogatóan nehéz is.

A szemléltetéshez kiszedtem egy vírust egy fertőzött fájlból. Egy hosszú sort látsz, amiben benne van az értelmezhetetlen kód. Ahhoz, hogy megtudjuk, mi ennek a vírusnak a feladata, elemeznem kell.

 Az elemzés lépései

  1. Először olvasható formára kell hozni a kódot. Phpban a sorok végét pontosvessző zárja le, ezeket a pontosvesszőket kell megkeresni, és ez alapján betördelhető a kód.
  2. Létrehozunk egy fura nevű változót, hogy lássuk, mit csinál ez a kód.
  3. Létrehozunk egy másik változót, kizáró vaggyal (logikai művelet, amit karakterenként lehet értelmezni), amit összehozunk az előző változónkkal. . Ezzel a művelettel az előző értékből és a katyvaszból létrehoz egy új értéket.
  4. Ezt a változót kimásolom és kiiratom a képernyőre, hogy mi a tartalma
  5. Befejezem a program futását.
  6. Elmentem.
  7. Új ablakban lefuttatom, megnézem mi lesz az eredmény.

Kaptunk egy jól értelmezhető php kódot. Ez alapján már egyértelműen látjuk, hogy a vírus bármit lefuttathat a gazdájának, mert ez egy univerzális vírus.

Így működik a kártevők visszafejtése.

Majdnem az összes ilyen vírus tartalmaz egy olyan kis részt, ami jelszót vár, ha pedig nem kapja meg, nem hajlandó működni. Tehát a vírust is levédik abból a célból, hogy ne használhassa olyan ember a kártevőt, aki nem a gazdája.

]]> https://staging.webshield.hu/2020/01/14/hogyan-lehet-elemezni-egy-wordpress-kartevot/feed/ 0