Как найти бэкдор на компьютере

Обновлено: 04.07.2024

Бэкдор является вредоносной программой, которая используется злоумышленниками для получения несанкционированного удаленного доступа к компьютерной системе, за счет уязвимости в системе безопасности. Бэкдор работает в фоновом режиме и скрывается от пользователя. Он очень похож на другие вредоносные вирусы, и поэтому его довольно трудно обнаружить. Бэкдор это один из самых опасных типов паразитов, так как он дает хакерам возможность выполнять любые возможные действия на зараженном компьютере. Злоумышленник может использовать бэкдора, чтобы следить за пользователем, управлять его файлами, устанавливать дополнительное программное обеспечение или опасные угрозы, контролировать всю систему ПК и атаковать другие хосты. Часто бэкдор имеет дополнительные, разрушительные возможности, такие как выполнение скриншотов, заражение и шифрование файлов. Такой паразит представляет собой сочетание различных, секретных и безопасных угроз, которые работают сами по себе и вообще не требуют управления.

Большинство бэкдоров это вредоносные программы, которые должны каким-то образом проникнуть в компьютер. Тем не менее, некоторые паразиты не требуют установки, так как их части уже интегрированы в программное обеспечение, которое работает на удаленном хосте. Программисты иногда оставляют такие бэкдоры в своем программном продукте для диагностики и устранения неполадок. Но на самом деле, хакеры используют их только для того, чтобы взломать систему.

Вообще говоря, бэкдоры являются специфическими троянами, вирусами, кейлоггерами, шпионами и средствами удаленного администрирования. Они работают таким же образом, как это делают упомянутые вирусные приложения. Тем не менее, их функции и нагрузки являются более сложными и опасными, поэтому, они сгруппированы в одну особою категорию.

Как распространяются бэкдоры?

Бэкдоры не способны распространяться и заражать систему без ведома пользователя. Большинство таких паразитов нужно устанавливать вручную в связке с другим программным обеспечением. Существуют четыре основных способа, как эти угрозы попадают в систему.

Широкое распространение бэкдоров в основном заражает компьютеры на операционной системе Microsoft Windows. Тем не менее, множество менее распространенных паразитов предназначены для работы в разных сферах, например для операционной системы Mac и других.

Какие риски могут быть инициированы этой компьютерной инфекцией?

Когда бэкдор находит путь к системе, он вызывает такие действия:

  • Позволяет взломщику создавать, удалять, переименовывать, копировать или редактировать любой файл, выполнять различные команды, изменять любые настройки системы, изменять реестр Windows, запускать, контролировать и устранять приложения, устанавливать другое программное обеспечение.
  • Позволяет хакеру управлять аппаратными устройствами компьютера, изменять настройки, связанные с выключением или перезагрузкой компьютера без разрешения.
  • Похищает персональную информацию, ценные документы, пароли, логины, данные об идентичности, журналы активности пользователя и отслеживает привычки веб-просмотра.
  • Записывает нажатие кнопок и делает скриншоты. К дополнению, отправляет собранные данные на определенные электронные адреса, загружает их на заданный FTP сервер или передает их через интернет-подключение на удаленные хосты.
  • Заражает файлы, установленные приложения и наносит ущерб всей системе.
  • Распространяет зараженные файлы на удаленные компьютеры с некоторыми уязвимостями безопасности, выполняет нападения против хакеров на отдаленных хостах.
  • Устанавливает скрытый FTP сервер, который может быть использован злоумышленниками для различных незаконных целей.

Каковы наиболее известные примеры бэкдоров?

Есть много различных бэкдоров. Следующие примеры иллюстрируют насколько функциональными и чрезвычайно опасными могут быть эти паразиты.

FinSpy это бэкдор, который позволяет удаленному злоумышленнику загрузить и запустить любой файл из интернета. Паразит уменьшает общую безопасность системы путем изменения дефолтных параметров Windows firewall и инициирует другие системные изменения. FinSpy полагается на файлы, которые используют случайные имена, поэтому довольно трудно обнаружить его лазейку, и удалить его из системы. Бэкдор запускается автоматически при каждом запуске Windows, и его можно остановить только с помощью обновленного антишпионского программного обеспечения.

Briba это бэкдор, который дает хакеру удаленный и несанкционированный доступ к зараженной компьютерной системе. Этот паразит запускает скрытый FTP сервер, который может быть использован для загрузки, обновления или запуска вредного программного обеспечения. Действия Briba могут привести к заметной нестабильности, сбоя работы компьютера и нарушения конфиденциальности.

Удаление бэкдора из системы

Бэкдоры это чрезвычайно опасные паразиты, которые должны быть удалены из системы. Вряд ли можно найти или удалить бэкдора вручную. Поэтому, мы настоятельно рекомендуем использовать опцию автоматического удаления. Есть много программ, которые предлагаются для удаления бекдоров. Тем не менее, самой надежной считается Reimage Intego . Так же можно попробовать SpyHunter 5 Combo Cleaner в качестве альтернативного инструмента безопасности. Тем не менее, убедитесь, что вы обновили те и другие программы, прежде чем запускать их. Это поможет вам предотвратить сбои и другие проблемы, которые могут появиться при попытке избавиться от конкретного бэкдора.

Что такое бэкдор и как предотвратить вирусные атаки

Хакеры могут установить бэкдор на ваше устройство, используя вредоносное ПО, используя уязвимости вашего программного обеспечения или даже напрямую устанавливая бэкдор в аппаратное обеспечение / прошивку вашего устройства.

Как только хакеры входят в вашу машину без вашего ведома, они могут использовать бэкдоры по разным причинам, например:

  • Наблюдение,
  • Кража данных,
  • Криптоджекинг,
  • Саботаж,
  • Атака вредоносного ПО.

Никто не застрахован от взлома бэкдором, и хакеры постоянно изобретают новые методы и файлы вредоносных программ, чтобы получить доступ к пользовательским устройствам.

Если вы думаете, что стали жертвой бэкдор-атаки, вы можете многое сделать, чтобы закрыть бэкдоры в своей системе, оценить нанесенный ущерб и предотвратить еще один взлом бэкдора в будущем.

Что такое бэкдор и как он работает?

Что такое бэкдор и как он работает?

Бэкдоры могут быть установлены в двух разных частях вашей системы:

  1. Железо / прошивка. Физические изменения, обеспечивающие удаленный доступ к вашему устройству.
  2. Программное обеспечение. Файлы вредоносного ПО, которые скрывают свои следы, чтобы ваша операционная система не знала, что к вашему устройству обращается другой пользователь.

Бэкдор может быть установлен разработчиками программного обеспечения и оборудования для целей удаленной технической поддержки, но в большинстве случаев бэкдоры устанавливаются либо киберпреступниками, либо назойливыми правительствами, чтобы помочь им получить доступ к устройству, сети или программному приложению.

Как работают бэкдор-атаки?

Как работают бэкдор-атаки?

  • Открытые порты,
  • Слабые пароли,
  • Устаревшее программное обеспечение,
  • Слабые межсетевые экраны.

Для целей этой статьи все, что вам нужно знать, это то, что существуют вредоносные веб-сайты и рекламные объявления, которые сканируют ваш компьютер на предмет уязвимостей программного обеспечения и используют эксплойты для таких действий, как кража ваших данных, сбой вашей сети или установка бэкдора на ваше устройство.

Итак, как только вредоносный файл заражает ваше устройство, или если ваше устройство физически скомпрометировано (украдено или взломано), или вы стали целью атаки с использованием эксплойтов, хакеры могут установить бэкдор в вашей системе.

Вот несколько примеров различных часто используемых бэкдоров:

Примеры атак через бэкдор

Примеры атак через бэкдор

Уязвимы ли вы к атакам через бэкдор?

Уязвимы ли вы к атакам через бэкдор?

Вот некоторые из методов, которые хакеры используют для установки бэкдоров на пользовательские устройства:

Лучшие способы предотвращения атак через бэкдор

Лучшие способы предотвращения атак через бэкдор

Бэкдоры сложно обнаружить. Обычные пользователи не могут обнаружить бэкдор, просто открыв диспетчер задач.

Но есть несколько простых шагов, которые вы можете предпринять, чтобы обезопасить свое устройство от вирусных атак через бэкдоры, например:

Используйте антивирус

Всегда используйте передовое антивирусное программное обеспечение, которое может обнаруживать и предотвращать широкий спектр вредоносных программ, включая трояны, криптоджекинг, шпионское ПО и руткиты.

Антивирус обнаружит бэкдор-вирусы и устранит их, прежде чем они смогут заразить ваш компьютер.

Скачивайте с осторожностью

Бэкдоры часто связаны с, казалось бы, законными бесплатными программами, файлами и приложениями.

При загрузке любого файла из интернета проверьте, получаете ли вы только тот файл, который хотели, или есть какие-то неприятные попутчики.

Даже файл, который ведет себя как файл, который вы ищете, может быть трояном.

Всегда загружайте файлы с официальных сайтов, избегайте пиратских сайтов и устанавливайте антивирус с защитой в реальном времени, который может помечать вредоносные файлы, прежде чем вы даже загрузите их в свою систему.

Используйте брандмауэр

Расширенные брандмауэры могут обнаруживать неавторизованный бэкдор-трафик, даже если обнаружение вредоносного ПО вашим устройством было обманом.

Windows и macOS имеют довольно приличные встроенные брандмауэры, но они недостаточно хороши.

Используйте менеджер паролей

Менеджеры паролей генерируют и хранят информацию для входа во все ваши учетные записи и даже помогают вам автоматически входить в них.

Вся эта информация надежно зашифрована с использованием 256-битного шифрования AES и заблокирована мастер-паролем.

Поскольку они генерируют случайные сложные пароли, менеджеры паролей значительно усложняют хакерам проникновение в вашу сеть или распространение по ней в случае, если в вашей системе установлен бэкдор.

Будьте в курсе обновлений / исправлений безопасности

Каждый третий ИТ-специалист (34%) в Европе признал, что их компания была взломана в результате не исправленной уязвимости.

Разработчики программного обеспечения часто публикуют новые патчи для исправления уязвимостей в своем программном обеспечении, и установить эти обновления несложно.

Многие программы даже включают функцию автоматического обновления.

Часто задаваемые вопросы об атаках через бэкдор

Что такое бэкдор в кибербезопасности?

Бэкдор является любым методом, который может позволить другому пользователю получить доступ к устройству без вашего ведома или согласия (и, как правило, без знания устройства).

Бэкдор может быть установлен разработчиками программного и аппаратного обеспечения или киберпреступниками для получения несанкционированного доступа к устройству, установки вредоносного ПО, кражи пользовательских данных или саботажа в сети.

Как работают бэкдорные атаки?

Затем хакер использует сложные инструменты, чтобы обмануть ваше устройство, вашу сеть или вашу онлайн-учетную запись, заставив их думать, что бэкдор является законным приложением.

После взлома вашего устройства бэкдор можно использовать для развертывания на нем вредоносных программ (например, криптоджекеров, руткитов или программ-вымогателей), кражи ваших данных и слежки за вашей деятельностью или просто установки вирусов, чтобы вывести устройство из строя.

Что киберпреступники могут делать с бэкдором?

В зависимости от того, насколько сложна программа-бэкдор, она может позволить хакерам выполнять вредоносные действия, такие как DDoS-атаки, отправка и получение файлов, изменение настроек системы, создание снимков экрана и трюки, такие как открытие и закрытие DVD-привода.

Хакеры могут даже получить удаленный доступ к вашему устройству со своего компьютера с помощью бэкдора, перемещаясь по всем вашим файлам и программному обеспечению, не выходя из собственного дома.

Эдвард Сноуден сообщил, что АНБ внедрило бэкдоры в тонны пользовательской электроники и даже в широко распространенные криптографические протоколы, что позволило им прослушивать чьи-либо разговоры, активировать микрофоны и камеры и удаленно собирать пользовательские данные.

Как предотвратить бэкдор-атаки?

Существуют стратегии, которые можно использовать для предотвращения и снижения риска бэкдор-атаки, но первым и наиболее важным шагом в защите от вредоносных программ является получение надежной антивирусной программы.

Кроме того, просто руководствуйтесь здравым смыслом в интернете.

В операционных системах Windows имеется довольно давно известная возможность организовать себе бэкдор, чтобы в будущем получить доступ к компьютеру, к которому доступа быть не должно. Сегодня хочу рассказать вам о нем, показать один из примеров его обнаружения, в самом топорном случае, а также маленько поразмышлять на эту тему.

В чем суть бэкдора? Все вы видели, что при входе в систему всегда есть кнопка «специальные возможности»

Простейший бэкдор в Windows – как использовать, как обнаружить - специальные возможности

Там есть несколько утилит, таких как лупа, залипание клавиш, экранный диктор и т.п. Так вот, эти утилиты запускаются exe файлами, которые лежат в папке system32 вашей системной директории (по умолчанию – c:\windows\system32).

Если заменить оригинальные файлы, например командной строкой (cmd.exe), или еще чем-нибудь, где можно выполнять команды или что-нибудь запустить, то при запуске этих утилит из раздела специальных возможностей, преспокойно запустится замененный файл, и дальше можно делать всё что душе угодно.

Простейший бэкдор в Windows – как использовать, как обнаружить - несанкционированный запуск командной строки

Вот примеры исполняемых файлов, которые отвечают за специальные возможности:

sethc.exe – залипание клавиш
osk.exe – экранная клавиатура
Narrator.exe – экранный диктор
Magnify.exe – экранная лупа
DisplaySwitch.exe – переключение экрана

Напишите в комментариях, если что-то упустил.

В обычном случае, просто заменить эти файлы не удастся, т.к. не хватит прав. Для того что бы получить необходимые права сперва необходимо стать владельцем файла (в свойствах файла – вкладка безопасность – дополнительно – изменить владельца, само собой делать это нужно от имени администратора).

Простейший бэкдор в Windows – как использовать, как обнаружить - измененения владельца, для последующей замены утилит

После чего во вкладке безопасность нужно дать полный доступ нужному пользователю на файл, и после этого можно заменить файл, например файлом cmd.exe.

Так же можно загрузиться с livecd, и если диск не зашифрован, то заменить файлы можно вообще без каких-либо проблем с правами.

Простейший бэкдор в Windows – как использовать, как обнаружить - изменение прав для последующей замены утилит

Всё – теперь на экране ввода пароля можно пять раз быстро нажать shift (если будет заменен sethc.exe) и должна запуститься командная строка с повышенными привилегиями, где можно добавить администраторскую учетку и дальше делать всё что угодно на компьютере.

Простейший бэкдор в Windows – как использовать, как обнаружить - можно делать всё, что угодно

По мимо простой замены файлов, можно пойти несколько более хитрым путем – для утилит sethc.exe и utilman.exe в реестре можно добавить опцию debugger, и результат будет как при замене файлов. К примеру, это может сделать команда:

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "c:\windows\system32\cmd.exe"

Как же с этим бороться? Как всегда – подобную пакость гораздо проще предупредить, чем обнаруживать. Поэтому – не давайте кому попало админских прав и включайте шифрование дисков.

Так же данный бэкдор может обнаружить windows defender – поэтому не стоит его отключать.

Простейший бэкдор в Windows – как использовать, как обнаружить - windows deffender обнаруживает бэкдор

Простейший бэкдор в Windows – как использовать, как обнаружить - windows deffender обнаруживает бэкдор

Пожалуй, один из очевидных и простых способов обнаружения – это запустить все средства специальных возможностей вручную, и проверить – запускается то, что нужно или нет. Хотя он не может гарантировать результат, т.к. не исключено, что злоумышленник может сделать свои утилиты, которые в точности будут копировать функционал оригинальных, и только при определенных событиях, например, при нажатии определенной комбинации клавиш, запускать нужную программу.

Еще на просторах интернета был обнаружен - ]]> интересный скрипт ]]> , для совсем топорных вариантов оставления описываемой возможности доступа к системе. Я его ]]> немного переделал ]]> , что бы он работал на старых версиях powershell (проверял на версии 2). Он работает по следующему принципу – вычисляет хэш для cmd.exe, explorer.exe и powershell.exe и сравнивает их со значением хэш сумм вышеописанных утилит. Если они совпадут, значит злоумышленник подменил файлы, и скрипт об этом сообщит. По мимо сравнения файлов, так же анализируется 2 ветки реестра, на предмет опции /debugger для утилит sethc.exe и utilman.exe.

Простейший бэкдор в Windows – как использовать, как обнаружить - скрипт поможет обнаружить совсем простую реализацию бэкдора

К сожалению, данный скрипт, конечно же, тоже не является панацеей, т.к. злоумышленник вполне может использовать тот же cmd другой версии с другого компьютера, и хэш суммы у оригинальной и подмененной версий будут разными, ну или опять же может спокойно создать свой исполняемый файл. Вообще эта тема довольно обширная и 100% сценарий для обнаружения не сможет дать никто, и заметка эта написана с целью, что бы вы знали, что такая возможность у злоумышленников существует. А что с этой информацией делать – решать вам.

И да – часто советуют полностью отключать в панели управления/групповых политиках/еще где то специальные возможности, якобы это вас убережет… Нет, не убережет, если у злоумышленника есть админский или физический доступ к компьютеру, то ему не составит никакого труда изменить ваши настройки, или сделать так что бы они сами постоянно менялись. Короче будьте бдительны.

Как найти и удалить бэкдоры с Вордпресс сайта

Вы очищаете сайт от контента, который вы не публиковали, но он продолжает появляться на сайте, или Вордпресс сообщает еще об одном аккаунте администратора, но в Пользователях сайта находится только один аккаунт администратора.

Скорее всего, на вашем сайте есть так называемый бэкдор, через который хакер получает доступ к сайту.

В этой статье вы узнаете, что такое бэкдоры, для чего они используются, как можно избавиться от бэкдора вручную или при помощи плагинов и как обезопасить сайт от повторного появления бэкдора.

Что такое бэкдор

Хакер создает скрипт, который работает как ключ. Он внедряет его в файловую структуру сайта и получает доступ ко взломанному сайту в любое время, когда ему это нужно. При этом хакер остается незамеченным, потому что не вводит логин и пароль и не пользуется страницей авторизации для входа.

Обычно хакеры делают со взломанными сайтами что-нибудь из этого:

  • Добавляют себя в качестве скрытого администратора, или используют существующий аккаунт администратора
  • Исполняют код через браузер посетителя
  • Собирают личную информацию пользователей сайта для рассылки спама
  • Меняют контент сайта для своих целей, обычно спам или редирект на свои сайты
  • Рассылают спам со взломанного сайта под видом писем от владельца сайта

Когда хакер добавляtт файл в файловую структуру сайта, он маскируют его под обычный файл, называя его sunrise.php, php5.php, user-wp.php, wp-config.zip или что-нибудь подобное. Файл с таким названием выглядит как один из стандартных файлов Вордпресс.

Кроме этих папок, хакеры могут добавить изменения в главный файл сайта wp-config.php.

Как хакеры проникают на сайт

В основном хакеры попадают на сайты через уязвимости в ПО.

Ядро Вордпресс

Вордпресс достаточно безопасен, но хакеры постоянно находят новые пути для проникновения на Вордпресс сайты. Разработчики устраняют найденные уязвимости, хакеры находят новые, и так далее.

Около 34% сайтов в Интернете работают на Вордпресс. Cуществует большое сообщество Вордпресс, которое помогает разработчикам тестировать и находить уязвимости до и после выпуска новой версии. Иногда непредвиденная уязвимость попадает в новую версию, тогда новая версия выходит с уязвимостью.

Если хакеры ее обнаружат, они могут проникнуть на сайты с этой уязвимостью. Когда ее обнаружат разработчики, они устранят ее в следующем обновлении.

Даже если новая версия выходит с уязвимостью, это не значит, что Вордпресс небезопасен. Если вы постоянно обновляете Вордпресс, то последняя версия не содержит известных уязвимостей.

Если не обновляете, то хакеры могут проникнуть на ваш сайт по списку известных уязвимостей, который находится в открытом доступе.

Темы и плагины

То же самое относится к темам и плагинам. Иногда они содержат уязвимости, и если вы не обновляете софт регулярно, хакеры могут использовать уязвимости старых версий чтобы проникнуть на сайт.

Темы и плагины создаются разными разработчиками или компаниями, поэтому некоторые из них могут быть написаны недостаточно хорошо. Cуществует список минимальных требований, которым софт должен соответствовать, но эти требования являются довольно общими и нестрогими.

Устанавливайте темы и плагины, которые регулярно обновляются, имеют совместимость с последней версией Вордпресс и большое количество установок.

Сделайте бэкап

Если вы подозреваете, что ваш сайт был взломан, то перед тем как начинать поиск взлома сделайте полный бэкап сайта. Например, бесплатными плагинами All-in-One WP Migration или UpdraftPlus.

Current Version: 1.16.63

Last Updated: 25.10.2021

Или сделайте бэкап на хостинге. Если что-то пойдет не так, вы сможете вернуться к первоначальному варианту.

Как найти и удалить вредоносный скрипт

Ваше подключение не защищено

Проверьте скрытых пользователей

Список пользователей сайта

Проверьте количество пользователей на верхней стрелке. Если их больше, чем вы ожидали, то у вас на сайте есть бэкдор.

Хакер может добавить себя не только в роли Администратора или Супер Администратора для мультисайта, но и назначить новому пользователю какую-то другую роль, поэтому проверьте всех пользователей сайта.

Если вы не можете войти на сайт под аккаунтом Администратора, даже если вы пытаетесь восстановить пароль, это может быть еще одним знаком, что ваш сайт взломан.

Проверьте файлы

Зайдите на сервер через хостинг-панель или по FTP и сравните файлы, которые находятся на сервере с файлами в Кодексе Вордпресс. Если вы нашли файлы, которых там не должно быть, откройте их и посмотрите что в них находится.

Если вы видите код, который выглядит как что-нибудь вроде eval($_POST['цифры-буквы-символы']); или eval(base64_decode("цифры-буквы-символы")); , скорее всего, вы нашли бэкдор.

Хакеры часто используют эти функции:

  • base64
  • str_rot13
  • gzuncompress
  • eval
  • exec
  • create_function
  • system
  • assert
  • stripslashes
  • preg_replace (/e/)
  • move_uploaded_file

Иногда такой код может принадлежать темам или плагинам, но в большинстве случаев это бэкдор.

Удалите этот файл и проверьте остальные файлы, хакеры часто создают несколько бэкдоров, поэтому если вы пропустите один из них, хакеры в дальнейшем могут его использовать.

Скачайте последнюю версию Вордпресс на компьютер, распакуйте архив и сравните каждый файл из архива с файлами на сервере. Если вы увидите какое-то отличие, замените файл на сервере файлом из архива Вордпресс.

В зависимости от вашей ситуации вы также можете проверить темы и плагины. Или можете удалить все плагины и темы, кроме активной и родительской, если вы пользуетесь дочерней темой.

Поиск измененных файлов через SSH

Команды, которые будут использоваться ниже, могут не работать в некоторых терминалах, читайте документацию к терминалу. Кроме этого, доступ к серверу через SSH может быть выключен на хостинге. Включение этой функции на разных хостингах может находиться в разных местах, на моем хостинге это находится в разделе FTP.

Откройте терминал, который вы используете, например, Terminal для Маков или PuTTY для Windows, я использую встроенный терминал на хостинге, и введите такую строку:

Эта команда проверит все PHP файлы, которые были изменены за последние 2 дня. Замените /путь/к/вашему/сайту на ваш путь. Также вы можете заменить .php на другое расширение.

Просмотрите результаты поиска, вы можете найти файлы, которые не изменяли.

Если не нашли, проверьте изменения за 4 дня. Постепенно увеличивайте диапазон поиска, пока не найдете изменения.

После того, как вы выяснили, когда посторонний скрипт был внедрен на сайт, вы можете восстановить сайт из бэкапа с более ранней датой. Это короткий путь для возвращения сайта в состояние до внедрения бэкдора.

После восстановления замените все пароли к аккаунтам администратора и пользователей, пароли к FTP и хостингу, ключи и соли в файле wp-config.php, и там же можно заменить пароль к базе данных и в приложении phpMyAdmin.

Если вы хотите найти бэкдор вручную, то заходите в нужную папку при помощи команды cd /путь/к/вашему/сайту/папка/ . Замените /путь/к/вашему/сайту/папка/ на адрес папки, затем введите vi имя.php , чтобы просмотреть содержимое файла. Замените имя.php на нужное имя файла.

Теперь вы можете сравнить содержимое файла с содержимым файла свежей версии из репозитария Вордпресс. Если нужно, отредактируйте файл, после редакции наберите :wp для сохранения и выхода, или :q для выхода.

Чтобы удалить файл, наберите rm -rf имя.php . Замените имя.php на имя вашего файла.

Как найти скрытого админа

Если вы обнаружили еще один аккаунт администратора или пользователя с другой ролью, который не отображается в Пользователях сайта, вы можете найти этого пользователя в базе данных сайта.

Зайдите в phpMyAdmin на хостинге и откройте базу данных. В списке слева кликните таблицу wp_users. В поле справа должны появиться все пользователи сайта.

Таблица wp_users

Если вы видите какого-то пользователя, которого не должно быть, нажмите кнопку Удалить. Если у вас Мультисайт, кликните wp_sitemeta в списке таблиц слева и проверьте записи всех пользователей.

Посмотрите поле site_admins, вы можете найти неизвестного вам пользователя. Если хакер создал скрытый аккаунт, вы должны увидеть что-нибудь подобное:

Вместо части hacker должно быть какое-то имя, которое вы не узнаете. Чтобы удалить этот аккаунт, нажмите на кнопку Редактировать рядом с этой записью, и удалите часть, добавленную хакером, так что должно получиться так:

Если у вас на сайте несколько аккаунтов, тогда удалите только часть, добавленную хакером: i:1;s:6:«hacker»; . Вместо hacker может быть другое имя, которое использует хакер.

Обратите внимание, что начало строки изменилось с a:2: на a:1: . Это значает, что у вас 1 аккаунт администратора. Если у вас несколько администраторов, например, 2 , то строка должна начинаться с a:2: .

Переменная 12 в части i:0;s:12: означает, что имя администратора состоит из 12 символов. Если вы захотите изменить ваше имя пользователя, то эта переменная должна соответствовать количеству символов в новом имени пользователя. Имя пользователя чувствительно к регистру.

Просканируйте сайт с помощью плагинов

Сканер сайта плагина Anti-Malware Security and Brute-Force Firewall

Кроме этого плагина вы можете попробовать плагины NinjaScanner и Quttera Web Malware Scanner.

Читайте также: