وردپرس: یافتن اکانت نامرئی هکر

در مطلب «هک سایت وردپرسی و پاکسازی آن» اشاره کردم که باید قسمت مدیران سایت را بررسی کرد تا مبادا هکر در بین آن‌ها نفوذ کرده باشد. در این حالت کافیست که کاربر مشکوک و ناشناس را به محض مشاهده از همانجا پاک کرد. منتها در مواردی هکر هوشمندانه‌تر عمل می‌کند، به طوری که نام کاربری‌اش در فهرست مدیران سایت برای شما نمایش داده نمی‌شود. در این حالت با یک نام کاربری نامرئی و به‌اصطلاح شبح طرف هستیم که باید پیدا و حذفش کنیم. اما چطور؟

مرحله اول

1) ابتدا باید وارد صفحه phpMyAdmin می‌شویم (که اگر تازه‌کار باشید، معمولا برایتان ترسناک‌ترین صفحه به نظر می‌رسد!)

اگر هم نیاز به یوزرنیم و پسورد داشتید ولی فراموش کرده بودید، مشکلی نیست. همه این‌ها در فایل wp-config.php در مسیر public_html حاضر و آماده موجود است.

مرحله دوم

2) حالا بعد از ورود، دیتابیس خود را از ستون سمت چپ پیدا و روی آن کلیک می‌کنیم تا فهرستی از جدوال نمایش داده شود. در اینجا سروکار ما با جداول wp_usermeta و wp_users است که از دومی شروع می‌کنیم.

با کلیک روی جدول wp_users فهرست تمام کاربران سایت (از مدیرکل و ویرایشگر گرفته تا مدیر فروشگاه و مشتری و غیره) همراه با نام کاربری، رمز ورود و آی‌دی و ایمیل‌هایشان نمایش داده می‌شود.

مرحله سوم

3) منتها در این فهرست طولانی، ما مشخصا به دنبال رده مدیران (Administrators) هستیم. پس از بالای صفحه روی دکمه SQL کلیک می‌کنیم، دستور زیر را به آن می‌دهیم و دکمه Go را می‌زنیم:

select * from wp_usermeta where meta_value LIKE '%administrator%';

مرحله چهارم

4) خب، الان فهرست کامل ادمین‌ها نمایش داده شده و به سادگی می‌شود فهمید که کدام‌یک نفوذی است!

در این مثال یک ادمین با آی‌دی 1 وجود دارد که مربوط به افزونه یوست است و کنار می‌گذاریم. می‌ماند آی‌های 4 و 5. با توجه به اینکه در این مثال فرضی ما فقط یک مدیر داریم، پس منطقا یکی از این دو آی‌دی، اضافی و متعلق به هکر است که باید شرّش را کم کنیم.

قاعدتا اگر ما آی‌دی مدیر واقعی را بدانیم، آی‌دی هکر لو می‌رود. برای پیدا کردن آی‌دی مدیر، راهکارهای مختلفی وجود دارد. ساده‌ترینش این است که مجددا وارد جدول wp_users بشویم و با توجه به اینکه نام و نام کاربری و ایمیل ادمین را می‌دانیم، آن را از قسمت Filter Rows جستجو کنیم (دقت کنید که هر صفحه فقط 25 ردیف از اسامی را نشان می‌دهد، پس اگر نیافتید باید صفحات بعدی را هم چک کنید).

راه دیگر هم اینست که وارد پیشخوان، قسمت کاربران و نمایش مدیران بشویم. اگر ماوس را روی گزینه «ویرایش» نام مدیر نگه داریم، از لینکی که در زیر صفحه نمایش داده می‌شود می‌توان آی‌دی مدیر را دید.

در این مثال، آی‌دی ادمین واقعی 5 است، پس مشخص می‌شود که آی‌دی شماره 4 متعلق به هکری به نام Userbot1 است (?).

الآن دیگر خیلی راحت می‌توانیم این آی‌دی را Delete ‌کنیم و خلاص!

وندا نوژن