W dzisiejszych czasach, gdy większość biznesów i firm działa online, jednym z najpoważniejszych zagrożeń dla ich funkcjonowania jest atak wirusa na stronę internetową. Takie zdarzenie może spowodować szereg problemów, w tym utratę wizerunku, reputacji i zaufania klientów oraz spadek ruchu na stronie. Dlatego też, szybka i skuteczna reakcja na taki atak jest kluczowa.
Jeśli Twoja witryna została zaatakowana przez hakerów, proces jej odzyskiwania zacznij od obejrzenia filmu z wprowadzeniem. Wszystkim właścicielom witryn, którzy nie mają doświadczenia w ich zabezpieczaniu, zalecamy wykonanie poniżej przedstawionych czynności.
W filmie zostało wyjaśnione:
- Jak i dlaczego witryny padają ofiarą hakerów.
- Na czym polega proces, który pozwala odzyskać zaatakowaną witrynę i usunąć ostrzeżenie Google.
- Ile trwa odzyskiwanie w zależności od rozmiaru szkód i umiejętności technicznych administratora.
- Jakie masz możliwości:
- Zrobić wszystko samodzielnie.
- Skorzystać z pomocy specjalistów.
Na tym etapie dowiesz się, jak i dlaczego hakerzy atakują witryny oraz jakie są dostępne opcje odzyskiwania.
Skontaktuj się z firmą hostingową i uzyskaj pomoc innych osób
Czego potrzebujesz:
- Możliwość skontaktowania się z firmą hostingową
Kolejne działania:
- Poinformuj firmę hostingową, że Twoja witryna została przejęta.Firma hostingowa może sprawdzić, czy jej inni klienci nie padli ofiarą takiego samego ataku, oraz pomóc w odzyskaniu witryny. Według ankiety przeprowadzonej w 2012 roku przez StopBadware 60% osób, które poprosiły swoją firmę hostingową o pomoc, otrzymały ją.
- Znajdź wiarygodne zasoby i pomocne społeczności online. Zastanów się, do kogo możesz zwrócić się o pomoc w razie problemów podczas odzyskiwania witryny. Zapoznaj się z informacjami dostępnymi w witrynie Pomoc dla webmasterów stron zaatakowanych przez hakerów oraz w systemie pomocy firmy hostingowej, wyszukaj i przeczytaj przydatne odpowiedzi na forach dyskusyjnych. Możesz też opublikować tam swoje pytania.
- Zastanów się, czy nie poprosić o pomoc zaufanego specjalisty od zabezpieczeń. Jeśli nie czujesz się na siłach, by samodzielnie odzyskać witrynę, skorzystaj z tych możliwości:
- Zdobądź wskazówki od cenionych osób z uznanych społeczności online.
- Przenieś swoją witrynę do firmy hostingowej specjalizującej się w odzyskiwaniu witryn, która może odzyskać ją podczas przenoszenia.
Poddania witryny kwarantannie
Czego potrzebujesz:
- Możliwość zablokowania wyświetlania Twoich stron na serwerze internetowym (możesz też omówić dostępne opcje z firmą hostingową). Pamiętaj, że na późniejszych etapach trzeba będzie na krótki czas ponownie udostępnić witrynę online.
- Uprawnienia do zarządzania kontem (które pozwalają przeglądać informacje o wszystkich użytkownikach, usuwać ich oraz zmieniać hasła powiązane z Twoim kontem).
Kolejne działania:
- Przełącz witrynę w tryb offline, by jej treść nie była już dostępna dla użytkowników. Na przykład zatrzymaj serwer internetowy lub zmień wpisy DNS witryny, tak by wskazywały statyczną stronę na innym serwerze, który zwraca kod odpowiedzi HTTP 503.Całkowite przełączenie przejętej witryny w tryb offline pozwala wykonać zadania administracyjne przy mniejszym ryzyku, że haker je utrudni. Poza tym użytkownicy przestaną być narażeni na złośliwy kod i pliki ze spamem nie będą wysyłane do użytkowników. Chwilowe czy sporadyczne wyłączanie witryny podczas procesu odzyskiwania nie powinno mieć wpływu na jej pozycję w wynikach wyszukiwania.
- Jeśli nie masz pewności, jak przełączyć witrynę w tryb offline, skontaktuj się ze swoją firmą hostingową. Może ona np. ustawić na potrzeby witryny odpowiedź 503 spoza zainfekowanych katalogów (co jest dobrym rozwiązaniem). Poinformuj firmę hostingową, że wkrótce, podczas testowania witryny, trzeba będzie na bieżąco przełączać ją między trybem online i offline. Być może wówczas firma udostępni Ci najbardziej samoobsługową metodę przełączania witryny.
- Zwracanie kodu stanu HTTP 4xx czy 5xx nie wystarcza, by ochronić użytkowników witryny. Wraz z kodem 404, 503 itp. nadal mogą do nich trafiać szkodliwe treści. Kod stanu 503 to przydatna informacja, że witryna jest tymczasowo wyłączona, ale powinien on pochodzić spoza przejętego serwera i witryny.
- Użycie instrukcji odmowy dostępu w pliku robots.txt też nie wystarcza, bo blokuje ona tylko roboty wyszukiwarek. Zwykli użytkownicy wciąż mają dostęp do szkodliwych treści.
- Jeśli firma hostingowa nic jeszcze nie wie o sytuacji, skontaktuj się z nią i powiadom o wszystkim. Jeśli systemy firmy też zostały przejęte, ułatwisz jej webmasterom zorientowanie się w zakresie problemu.
- Przeprowadź dokładną kontrolę kont użytkowników.
- Przejrzyj listę kont użytkowników witryny i sprawdź, czy haker nie utworzył nowych. Jeśli lista zawiera podejrzane konta, zapisz ich nazwy, by później je przeanalizować. Następnie usuń konta, by haker nie mógł zalogować się na nie w przyszłości.
- Zmień hasła do wszystkich kont użytkowników i innych związanych z witryną. To dotyczy loginów do serwera FTP, bazy danych, kont administratorów systemu oraz kont w systemie zarządzania treścią.
Określ charakter ataku
Informacje z Centrum wiadomości i strony „Problemy dotyczące bezpieczeństwa” w Search Console mogą pomóc ustalić, czy celem hakera, który przejął witrynę, było:
- rozsyłanie spamerskich treści, które mogą obniżyć jakość i trafność wyników wyszukiwania;
- wyłudzanie informacji;
- rozpowszechnianie złośliwego oprogramowania.
Aby w Search Console zbadać sposób ataku lub złośliwe oprogramowanie, wykonaj te czynności:
- Kliknij logo Search Console w górnym rogu, by wejść na stronę główną tej usługi.
- Kliknij Wiadomości.
- Poszukaj otrzymanych od Google wiadomości o krytycznym znaczeniu, które informują o tym, że Twoja witryna jest używana do 1) wyświetlania spamerskich stron, tekstów lub linków, 2) wyłudzania informacji, 3) rozpowszechniania złośliwego oprogramowania. Jeśli znajdziesz tam powiadomienie o wyłudzaniu informacji, nie usuwaj tej wiadomości przed zakończeniem całego procesu odzyskiwania.
- Otwórz Problemy dotyczące bezpieczeństwa w Search Console.
- Gdy witryna zawiera złośliwe oprogramowanie, nagłówek najwyższego poziomu to „Złośliwe oprogramowanie”, pod którym widać kategorie odpowiadające typom złośliwego oprogramowania, np. „Zmodyfikowana konfiguracja serwera” czy „Wstrzyknięty szablon błędu”. W tych przypadkach haker może wykorzystywać witrynę, by infekować komputery użytkowników oprogramowaniem, które odczytuje poufne informacje lub powoduje szkody.
- Jeśli haker przejął witrynę z zamiarem wyświetlania spamu, nagłówek najwyższego poziomu to „Atak hakera”, pod którym są kategorie odpowiadające typom ataków, np. „Wstrzyknięta zawartość”. Haker prawdopodobnie umieścił w witrynie spamerskie strony, teksty lub linki.
- Gdy w Centrum wiadomości w Search Console otrzymasz powiadomienie o wyłudzaniu informacji w witrynie, strona „Problemy dotyczące bezpieczeństwa” może nie zawierać żadnych danych. Haker umieścił w witrynie strony, które pozwalają mu wyłudzać informacje w postaci loginów, haseł i danych finansowych użytkowników. Często wyglądem i działaniem naśladują one wiarygodne witryny. Takie strony usuwa się podobnie jak spam, dlatego koniecznie przeczytaj kolejną część.
Oceń szkody (spam)
Ten etap wykorzystywanych przez hakerów do przechowywania spamu. Często informuje o tym ostrzeżenie „Ta witryna może być zaatakowana przez hakerów” widoczne w wynikach wyszukiwania. To jeden z najdłuższych etapów procesu odzyskiwania. W jego trakcie utworzysz listę uszkodzonych plików w witrynie.
Jeśli Twoja witryna zawiera złośliwe oprogramowanie, poinformuje ostrzeżenie „Ta witryna może wyrządzić szkody na Twoim komputerze” w wynikach wyszukiwania.
Co musisz wiedzieć:
- dostęp administratora do powłoki lub terminala serwerów witryny: internetowego, bazy danych i plików;
- znajomość poleceń powłoki lub terminala.
- zweryfikowana własność witryny w Google Search Console
Co musisz zrobić:
Etap dzieli się na pięć części:
- Przygotowania;
- Wstępne badanie treści spamu (ten punkt wykonasz przed zalogowaniem się na swój serwer);
- Szerzej zakrojone badania w internecie;
- Ogólna ocena szkód w systemie plików;
- Ustalenie zamiarów hakera;
które przedstawimy w następnej części tego poradnika.
Po tym jak już udało Ci się określić charakter ataku należy przejść do kolejnego etapu:
Oceń szkody (spam)
Etap ten dzieli się na pięć części:
- Przygotowania
- Wstępne badanie treści spamu (ten punkt wykonasz przed zalogowaniem się na swój serwer)
- Szerzej zakrojone badania w internecie
- Ogólna ocena szkód w systemie plików
- Ustalenie zamiarów hakera
Przygotowania
- Utwórz dokument, w którym będziesz zapisywać informacje uzyskane na tym etapie. Te informacje to (przynajmniej) nazwa i lokalizacja każdego naruszonego pliku oraz opis, jak został on zainfekowany. Dokument ten będzie potrzebny w następnej części.
- Zapoznaj się z jedną z trzech metod, które nie wymagają logowania się na serwer internetowy.
- Wyszukiwanie z operatorem cache: w Google
- Użycie Pobierz jako Google
- Użycie cURL lub Wget
Te metody, które opisujemy poniżej, pomagają bezpiecznie zbadać strony zaatakowane przez hakerów. Nie otwieraj takich stron w przeglądarce, bo haker mógł umieścić na nich złośliwe oprogramowanie (otwarcie takiej strony w przeglądarce może spowodować szkody na Twoim komputerze).
Wyszukiwanie z operatorem cache: w Google
Pierwsza metoda polega na przeprowadzeniu wyszukiwania z operatorem cache: w Google. Pozwala ona zobaczyć treść strony zaindeksowaną wcześniej w Google. Aby przeprowadzić takie wyszukiwanie, wykonaj te czynności:
- W polu wyszukiwania Google wpisz „cache:” i URL: [cache:http://www.example.com/strona.html].
- Niepożądane zmiany wprowadzone przez hakera mogą być wyraźnie widoczne w kopii strony z pamięci podręcznej. W przeciwnym razie kliknij Wersja tekstowa.
- Zrób szczegółowy opis wszystkich szkód, które zauważysz.
Ta metoda nie zawsze sprawdza się przy witrynach, w których haker umieścił spamerskie treści (tzn. nie pomaga w badaniu spamu). Wynika to z tego, że w przypadku niektórych zaatakowanych stron wyszukiwarka Google może przywrócić ostatnią wersję, która została zapisana przed wprowadzeniem szkodliwych zmian przez hakera. W takich sytuacjach wyszukiwanie z operatorem cache: nie dostarcza przydatnych informacji o ataku.
Użycie Pobierz jako Google
Kolejna metoda to użycie funkcji Pobierz jako Google w Search Console, która pozwala zobaczyć w czasie rzeczywistym treści przesyłane do Google. Aby użyć Pobierz jako Google, wykonaj te czynności:
- Upewnij się, że witryna jest z powrotem online.
- Zaloguj się do Google Search Console.
- Wybierz witrynę zweryfikowaną w kroku 4.
- Kliknij Indeksowanie, a potem Pobierz jako Google.
- Wpisz URL strony, którą chcesz pobrać (np. strona.html). W menu możesz na ogół zostawić opcję Sieć. Następnie kliknij Pobierz.
- Jeśli pojawi się link Sukces, kliknij go, by zobaczyć treść strony w takiej postaci, jaką pobiera robot Google – Googlebot.
Podczas przeglądania treści poszukaj tych elementów:
- Spamerskie teksty i linki. Być może od razu je zauważysz. W przeciwnym razie wyszukaj typowe spamerskie słowa kluczowe, takie jak nazwy produktów farmaceutycznych czy słowa „tanie”, „darmowe”, „kasyno” i „amatorskie”.
- Zamaskowane spamerskie teksty, linki i polecenia metaodświeżania (które trudniej wykryć). Wyszukaj w kodzie strony takie słowa, jak base_64. Na przykład tekst
eval(base_64_decode("aisiYSlbYlaws..."))
może być używany do maskowania.
Jeśli metodą Pobierz jako Google nie wykryjesz szkód, haker mógł tak skonfigurować witrynę, by spamerska strona wyświetlała się o określonych porach dnia lub tylko tym użytkownikom, którzy przechodzą z konkretnej strony odsyłającej (np. strony wyników wyszukiwania) bądź korzystają z wybranej przeglądarki. Aby zasymulować taką sytuację, możesz użyć cURL lub Wget.
Użycie cURL lub Wget
Te bezpłatne narzędzia pozwalają wysyłać żądania HTTP z informacjami o stronie odsyłającej i przeglądarce. Na przykład:
$ curl -v --referer “http://www.google.com” --user-agent "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, na przykład Gecko) Chrome/12.0.742.112 Safari/534.30" http://www.example.com/strona.html
Wstępne badanie treści spamu
Skontroluj wymienione w Search Console przykładowe adresy URL zaatakowane przez hakerów. Ten punkt trzeba wykonać przed zalogowaniem się na serwer.
Wyłudzanie informacji
Jeśli witryna wyłudza informacje
- Otwórz Centrum wiadomości w Search Console.
- Skopiuj przykładowe adresy URL podane w wiadomości z powiadomieniem o wyłudzaniu informacji do swojego dokumentu z wynikami kontroli (utworzonego wcześniej).
- Użyj dowolnej z metod opisanych w sekcji Przygotowania powyżej (tzn. wyszukiwania z operatorem cache: w Google, Pobierz jako Google, cURL lub Wget), by przekonać się, jakie zmiany wprowadził haker na tych stronach. Wszystkie wykryte szkody opisz w dokumencie z wynikami kontroli.
Spamerskie treści
Jeśli witryna zawiera spamerskie treści (bez stron wyłudzających informacje)
- Otwórz Problemy z bezpieczeństwem w Search Console.
- Na stronie Problemy z bezpieczeństwem, w sekcji poświęconej atakom hakerów skontroluj wszystkie kategorie ataków na witrynę (np. Wstrzyknięta zawartość czy Wstrzyknięty kod). Aby uzyskać dodatkowe informacje o zaatakowanych adresach URL z wybranej kategorii, kliknij Pokaż szczegóły. (Szczegóły mogą zawierać przykładowe fragmenty treści wstrzykniętej przez hakera).
- Z każdej kategorii skopiuj te dane do dokumentu z wynikami kontroli:
- wszystkie przykładowe zaatakowane adresy URL, które znajdziesz na stronie Problemy z bezpieczeństwem, w sekcji poświęconej atakom hakerów;
- adresy wszystkich pozostałych stron, na których podczas kontroli wykryjesz szkody;
- szczegółowe informacje o adresach URL zaatakowanych przez hakera, np. rodzaj wyrządzonych szkód.
Poniżej znajdziesz informacje, które ułatwią Ci kontrolę każdej kategorii ataków:
Szerzej zakrojone badania w internecie
Przeprowadź wyszukiwanie z operatorem site: w Google, by znaleźć pozostałe strony, na których haker wyrządził szkody. Wyszukiwanie z operatorem site:
, na przykład [site:example.com], zwraca wyniki ograniczone do stron ze wskazanej witryny.
- Sprawdź, czy na znalezionych stronach są spamerskie treści. Jeśli strony w wynikach wyglądają na nienaruszone, uzupełnij zapytanie z operatorem site: o dodatkowe terminy, np. [site:example.com (tanie|darmowe|viagra|cialis|kasyno|amatorskie)].
- Zapisz informacje o wszystkich zaatakowanych stronach, które znajdziesz w wynikach zapytania z operatorem site:.
Ocena szkód w systemie plików
Teraz musisz zalogować się do systemu plików witryny, by przeprowadzić dokładniejszą kontrolę. Pamiętaj, że oprócz innych rzeczy haker mógł zmienić istniejące strony lub rekordy w bazie danych, utworzyć zupełnie nowe strony ze spamem, dopisać funkcje wyświetlania spamu na nienaruszonych stronach oraz zostawić sobie „furtki”, które (jeśli nie zostaną usunięte) pozwolą mu znowu dostać się do systemu witryny i dalej prowadzić złośliwe działania.
Jeśli witryna jest online, przed wykonaniem tego punktu możesz przełączyć ją w tryb offline.
- Jeśli uważasz, że masz nienaruszoną kopię zapasową witryny, ustal, które pliki zostały utworzone lub zmienione od czasu wykonania tej kopii:
$ diff -qr
Na przykład:
$ diff -qr www/ kopie-zapasowe/pelna-kopia-zapasowa-20120124/
Możesz też użyć polecenia
$md5sum
Na przykład:
$ md5sum www/strona.html kopie-zapasowe/pelna-kopia-zapasowa-20120124/strona.html
- Wszystkie znalezione pozycje dodaj do listy zaatakowanych plików.
- Zaloguj się do systemu plików i skontroluj adresy URL wymienione w wynikach zapytania z operatorem site: oraz w wiadomości w Search Console.
- Szkody mogą wykraczać poza zaatakowaną stronę HTML, plik konfiguracyjny czy rekord w bazie danych. Może powodować je funkcja JavaScript lub PHP zapisana w osobnym skrypcie lub pliku systemowym. Także w tym przypadku zanotuj adres strony i opisz zmiany wprowadzone przez hakera.
- Przeprowadź szerszą kontrolę systemu plików, by wykryć i opisać wszystkie szkody powstałe w witrynie.
- W dziennikach serwera, dostępu i błędów poszukaj podejrzanej aktywności, np. nieudanych prób zalogowania się, nietypowych poleceń w historii (szczególnie na koncie root), tworzenia nieznanych kont użytkowników itd. Pamiętaj, że haker mógł zmienić te dzienniki, by zatrzeć po sobie ślady.
- Poszukaj przekierowań w plikach konfiguracyjnych, takich jak .htaccess i httpd.conf. Hakerzy często tworzą warunkowe przekierowania uzależnione od klienta użytkownika, pory dnia lub strony odsyłającej.
- Poszukaj zbyt szerokich uprawnień do zapisu folderów i plików, np. 777 (co oznacza zapis dozwolony dla wszystkich użytkowników). Hakerzy często manipulują uprawnieniami, mając nadzieję, że jeśli zmiany pozostaną niewykryte, będą mogli znowu dostać się do systemu witryny.
- Sprawdź foldery z uprawnieniami wyższymi niż 755 (rwxr-xr-x). Upewnij się, że takie uprawnienia faktycznie są potrzebne. W systemie typu Unix użyj polecenia:
find
-type d -not -perm 755 -exec ls -ld {} \; - Sprawdź pliki z uprawnieniami wyższymi niż 644 (rw-r–r–). Także w tym przypadku upewnij się, że takie uprawnienia faktycznie są potrzebne.
find
-type f -not -perm 644 -exec ls -la {} \;
- Sprawdź foldery z uprawnieniami wyższymi niż 755 (rwxr-xr-x). Upewnij się, że takie uprawnienia faktycznie są potrzebne. W systemie typu Unix użyj polecenia:
- Jeśli korzystasz z bazy danych, jak najdokładniej skontroluj jej rekordy. Aby mieć lepszy wgląd w ich zawartość, użyj takich narzędzi jak phpMyAdmin.
Ustalenie zamiarów hakera
- Haker mógł chcieć wykraść informacje poufne lub wrażliwe o Tobie bądź użytkownikach witryny – np. korzystając ze stron wyłudzających informacje. W takim przypadku przeczytaj dostępne materiały na stronie antiphishing.org.
- Być może haker próbował wykorzystać wiarygodną witrynę, by poprawić pozycję swojej mało rzetelnej firmy online w rankingach bądź zwiększyć ruch na jej stronach, dodając spamerskie teksty lub prowadzące do niej linki. W takiej sytuacji wykonanie pozostałych kroków może rozwiązać problem.
Oceń szkody (złośliwe oprogramowanie)
Ten etap dotyczy witryn wykorzystywanych przez hakerów do rozpowszechniania złośliwego oprogramowania. Często informuje o tym ostrzeżenie „Ta witryna może wyrządzić szkody na Twoim komputerze” widoczne w wynikach wyszukiwania. To jeden z najdłuższych etapów procesu odzyskiwania. W jego trakcie utworzysz listę uszkodzonych plików w witrynie. Użyjesz jej w następnym kroku.
Jeśli witryna zamiast złośliwego oprogramowania zawiera spam, o czym informuje ostrzeżenie „Ta witryna może być zaatakowana przez hakerów” w wynikach wyszukiwania, przeczytaj poprzedni etap: Jak naprawić zaatakowaną witrynę? cz.4
Czego potrzebujesz:
- dostęp administratora do powłoki lub terminala serwerów witryny: internetowego, bazy danych i plików;
- znajomość poleceń powłoki lub terminala;
- możliwość uruchamiania zapytań SQL w bazie danych.
Co musisz zrobić:
Etap dzieli się na trzy części:
- Przygotowania
- Badanie określonych typów infekcji złośliwym oprogramowaniem
- Ogólna ocena szkód w systemie plików
Przygotowania
- Unikaj otwierania stron witryny w przeglądarce. Złośliwe oprogramowanie często się rozpowszechnia, wykorzystując luki w zabezpieczeniach przeglądarki, dlatego otwarcie zainfekowanej nim strony może spowodować szkody na Twoim komputerze.
- Utwórz dokument, w którym będziesz zapisywać informacje uzyskane na tym etapie. Te informacje to (przynajmniej) nazwa i lokalizacja każdego naruszonego pliku oraz opis, jak został on zainfekowany.
- W razie potrzeby zapoznaj się z materiałami dodatkowymi:
- Obejrzyj film powyżej, by dowiedzieć się, jak działa złośliwe oprogramowanie i jak zabezpieczyć się podczas badania zaatakowanej witryny.
- Na stronie diagnostycznej w Bezpiecznym przeglądaniu Google znajdziesz informacje o tym, czy witryna może być niebezpieczna dla użytkowników. Opis stanu witryny jest dostępny pod adresem URL podobnym do tego:
http://www.google.pl/safebrowsing/diagnostic?site=
Na przykład:
http://www.google.pl/safebrowsing/diagnostic?site=webmastercentralblog.blogspot.com
- Użyj cURL lub Wget, by wysłać żądania HTTP (gdy zechcesz np. przejrzeć treść strony).Te bezpłatne narzędzia pozwalają dołączyć do żądań informacje o stronie odsyłającej i kliencie użytkownika, co ułatwia diagnostykę przekierowań. Podanie konkretnej strony odsyłającej lub klienta użytkownika pomaga zasymulować okoliczności oczekiwane przez hakerów, którzy mogą skonfigurować wyświetlanie złośliwych treści tylko użytkownikom z określonym klientem lub stroną odsyłającą, tak by skierować je do rzeczywistych osób oraz uniknąć wykrycia przez właścicieli witryn i skanery złośliwego oprogramowania.
$curl -v --referer "http://www.google.pl"
Badanie określonych typów infekcji złośliwym oprogramowaniem w witrynie
- Wybierz zweryfikowaną witrynę w Search Console, a potem kliknij Problemy dotyczące bezpieczeństwa.
- Na stronie „Problemy dotyczące bezpieczeństwa” skontroluj wszystkie kategorie złośliwego oprogramowania w witrynie (np. Konfiguracja serwera czy Wstrzyknięty SQL). Aby uzyskać dodatkowe informacje o zainfekowanych adresach URL z wybranej kategorii, kliknij „Pokaż szczegóły”. (Szczegóły mogą zawierać przykładowe fragmenty kodu wstrzykniętego przez hakera). Z każdej kategorii skopiuj te dane do dokumentu z wynikami kontroli:
- wszystkie przykładowe zainfekowane adresy URL, które znajdziesz na stronie „Problemy dotyczące bezpieczeństwa”, w sekcji poświęconej złośliwemu oprogramowaniu;
- adresy wszystkich pozostałych stron, na których podczas kontroli wykryjesz szkody;
- szczegółowe informacje o zainfekowanych stronach, np. rodzaj wyrządzonych szkód.
- Poniżej znajdziesz informacje, które ułatwią Ci kontrolę każdego typu złośliwego oprogramowania:
Ocena szkód w systemie plików
Teraz musisz zalogować się do systemu plików witryny, by przeprowadzić dokładniejszą kontrolę. Pamiętaj, że oprócz innych rzeczy haker mógł zmienić istniejące strony lub rekordy w bazie danych, utworzyć zupełnie nowe strony ze spamem, dopisać funkcje wyświetlania spamu na nienaruszonych stronach oraz zostawić sobie „furtki”, które (jeśli nie zostaną usunięte) pozwolą mu znowu dostać się do systemu witryny i dalej prowadzić złośliwe działania.
Jeśli witryna jest online, przed wykonaniem tego punktu możesz przełączyć ją w tryb offline.
- Jeśli masz nienaruszoną kopię zapasową witryny, ustal, które pliki zostały utworzone lub zmienione od czasu wykonania tej kopii. Dodaj je do swojej listy, bo warto je dokładnie zbadać. W systemie typu Unix możesz użyć tego polecenia:
$ diff -qr
Na przykład:
$ diff -qr www/ kopie-zapasowe/pelna-kopia-zapasowa-20120124/
oraz
$ md5sum
Na przykład:
$ md5sum www/strona.html kopie-zapasowe/pelna-kopia-zapasowa-20120124/strona.html
- W dziennikach serwera, dostępu i błędów poszukaj podejrzanej aktywności, np. nieudanych prób zalogowania się, nietypowych poleceń w historii (szczególnie na koncie root), tworzenia nieznanych kont użytkowników itd. Pamiętaj, że haker mógł zmienić te dzienniki, by zatrzeć po sobie ślady.
- Poszukaj przekierowań w plikach konfiguracyjnych, takich jak .htaccess i httpd.conf. Hakerzy często tworzą warunkowe przekierowania uzależnione od klienta użytkownika, pory dnia lub strony odsyłającej.
- Poszukaj zbyt szerokich uprawnień do folderów i plików. Hakerzy manipulują uprawnieniami, bo jeśli właściciel witryny nie wykryje zmienionych uprawnień, będą mogli znowu dostać się do systemu witryny. Pliki z uprawnieniami większymi niż 644 (rw-r–r–) i foldery z uprawnieniami większymi niż 755 (rwxr-xr-x) mogą powodować problemy z bezpieczeństwem. Upewnij się, że takie uprawnienia faktycznie są potrzebne. W systemie typu Unix użyj poleceń:
$ find
-type d -not -perm 755 -exec ls -ld {} \; $ find
-type f -not -perm 644 -exec ls -la {} \; - Jeśli korzystasz z bazy danych, skontroluj po kolei każdy rekord, używając takiego narzędzia jak phpMyAdmin.
Znajdź lukę w zabezpieczeniach
Hakerzy mogli wprowadzić wiele niezależnych zmian w zabezpieczeniach, dlatego nawet jeśli znajdziesz i usuniesz jedną lukę, zalecamy szukanie następnych.
Czego potrzebujesz:
- dostęp administratora do powłoki lub terminala serwerów witryny: internetowego, bazy danych i plików;
- znajomość poleceń powłoki lub terminala;
- umiejętność czytania kodu (np. PHP lub JavaScript);
- możliwość uruchomienia dwóch skanerów antywirusowych.
Kolejne działania:
Omówimy kilka typowych sposobów przejęcia witryny. Być może wykorzystywane w nich luki w zabezpieczeniach występują w Twojej witrynie lub naprowadzą Cię na właściwy trop.
Pamiętaj, że skanery luk w zabezpieczeniach różnią się od skanerów antywirusowych. Te pierwsze są znacznie bardziej inwazyjne i łatwiej mogą spowodować nieoczekiwane szkody w witrynie. Przed uruchomieniem skanera postępuj zgodnie ze wszystkimi wskazówkami, np. związanymi z utworzeniem kopii zapasowej witryny.
Możliwe luki w zabezpieczeniach, które trzeba zbadać:
1. Komputer administratora zainfekowany wirusem
Na zainfekowanym przez wirusa komputerze administratora haker mógł zainstalować program szpiegowski, by rejestrować klawisze, które naciska administrator witryny.
- Poszukaj wirusów na komputerach administratora. Zalecamy użycie kilku uznanych skanerów antywirusowych na każdym komputerze, z którego administrator loguje się do witryny. Stale powstają nowe wersje złośliwego oprogramowania, które mają jak najlepiej ukrywać się przed skanerami, więc skanowanie nie daje stuprocentowej pewności, że komputer nie jest zainfekowany. Oprócz tego skanery antywirusowe mogą zgłaszać fałszywe alarmy, dlatego warto wykorzystać kilka z nich, by uzyskać więcej danych, które potwierdzą lub wykluczą istnienie luki w zabezpieczeniach. Na wszelki wypadek przeskanuj też serwer internetowy i wszystkie urządzenia używane do aktualizowania witryny lub publikowania w niej treści.
- Jeśli skaner antywirusowy wykryje program szpiegowski, wirusa, konia trojańskiego lub inne podejrzane oprogramowanie, przejrzyj dzienniki serwera witryny w poszukiwaniu informacji o aktywności administratora, do którego należy zainfekowany komputer. Podobna kontrola była wykonywana w etapie podczas oceny szkód oraz tutaj.
- Haker mógł zmienić pliki dzienników. Jeśli tego nie zrobił, zestawienie nazwy administratora z podejrzanymi poleceniami w pliku dziennika to dodatkowy dowód, że wirus na komputerze administratora pozwolił zaatakować witrynę.
2. Słabe lub wielokrotnie używane hasła
Hakerzy zwykle bez trudu łamią słabe hasła, uzyskując w ten sposób bezpośredni dostęp do serwera. Silne hasła są kombinacją liter, cyfr i znaków interpunkcyjnych oraz nie zawierają słów ze słownika ani mowy potocznej. Określone hasło należy stosować tylko w jednej aplikacji zamiast wielokrotnie wykorzystywać w internecie. Jeśli tego samego hasła używasz w wielu miejscach, haker musi pokonać zabezpieczenia zaledwie jednej aplikacji, by poznać Twój login i hasło. Wówczas od razu uzyska też dostęp do Twoich innych kont.
- W dzienniku serwera poszukaj niepożądanej aktywności, np. wielokrotnych prób zalogowania się jako administrator czy nietypowych poleceń uruchamianych przez administratora. Zanotuj datę i godzinę podejrzanej aktywności – jeśli ustalisz, kiedy haker rozpoczął atak, będziesz wiedzieć, które kopie zapasowe witryny są nienaruszone.
3. Nieaktualne oprogramowanie
Sprawdź, czy na serwerach działają najnowsze wersje systemu operacyjnego, systemu zarządzania treścią, platformy blogowej, aplikacji, wtyczek itp.
- Poszukaj informacji (możesz to zrobić w wyszukiwarce Google) o tym, czy w zainstalowanych wersjach oprogramowania występują jakieś problemy z bezpieczeństwem. Jeśli tak, haker prawdopodobnie wykorzystał lukę w nieaktualnym oprogramowaniu.
- Niezależnie od tego, czy nieaktualne oprogramowanie serwerów przyczyniło się do ataku, zawsze najlepiej na bieżąco je aktualizować.
4. Słabo zabezpieczone rozwiązania programistyczne, np. otwarte przekierowania i wstrzykiwanie SQL
-
- Otwarte przekierowania
Otwarte przekierowania w strukturze adresów URL pozwalają dodać kolejny adres, dzięki czemu użytkownicy mogą dotrzeć do przydatnego pliku lub strony internetowej w witrynie. Na przykład:
http://example.com/strona.php?url=http://example.com/ciekawy-plik.pdf
Hakerzy mogą nadużywać tej funkcji, dodając strony ze spamem lub złośliwym oprogramowaniem do otwartego przekierowania w witrynie, podobnie jak tutaj:
http://example.com/strona.php?url=
-
-
- Jeśli ktoś nadużywa otwartych przekierowań w witrynie, w Search Console powinna pojawić się wiadomość z przykładowymi adresami URL, które zawierają otwarte przekierowanie do niepożądanej strony docelowej.
- Aby zapobiec takim sytuacjom w przyszłości, sprawdź, czy opcja „zezwalaj na otwarte przekierowania” jest domyślnie włączona w oprogramowaniu, czy stosowany kod może blokować przekierowania poza domenę oraz czy możesz dodać podpis do przekierowania, tak by wykonywać tylko te z poprawnym skrótem adresu URL i podpisem kryptograficznym.
- Wstrzykiwanie SQL
-
Wstrzykiwanie SQL polega na tym, że haker dodaje szkodliwe polecenia do pól, w których użytkownicy wpisują dane przetwarzane w bazie danych. W ten sposób może on umieścić spam czy złośliwe oprogramowanie w rekordach bazy danych lub pobrać z niej cenne dane. Jeśli witryna korzysta z bazy danych, możliwe, że została przejęta dzięki wstrzykiwaniu SQL – zwłaszcza wtedy, gdy zainfekowano ją złośliwym oprogramowaniem typu wstrzyknięty SQL.
-
- Zaloguj się na serwer bazy danych i poszukaj w niej podejrzanych treści, np. elementów iframe i skryptów w zwykłych polach tekstowych.
- Po wykryciu podejrzanych wartości upewnij się, że dane wpisywane przez użytkowników są weryfikowane i mają prawidłowo zmieniane znaczenie lub obowiązuje w nich typowanie silne, tak by nie mogły być wykonywane jako kod. Jeśli nie są one sprawdzane przed przetworzeniem w bazie danych, główną luką w zabezpieczeniach witryny może być wstrzykiwanie SQL.
Oczyść i zabezpiecz witrynę
Czego potrzebujesz:
- dostęp administratora do powłoki lub terminala serwerów witryny: internetowego, bazy danych i plików;
- znajomość poleceń powłoki lub terminala;
- umiejętność czytania kodu (np. PHP lub JavaScript);
- miejsce na tworzenie kopii zapasowych witryny (w tym plików, bazy danych, obrazów itp.).
Kolejne działania:
Na tym etapie omawiamy kilka spraw:
- Gdzie znaleźć dodatkowe materiały, gdy sądzisz, że haker zamierzał uzyskać dane osobowe użytkowników (np. korzystając ze stron wyłudzających informacje).
- Możliwość użycia funkcji Usuń adresy URL w Search Console, by przyspieszyć usunięcie utworzonych przez hakera, zupełnie nowych, niepożądanych adresów URL widocznych dla użytkowników i zapobiec pojawianiu się ich w wynikach wyszukiwania Google.
- Możliwość użycia funkcji Pobierz jako Google w Search Console, by przyspieszyć przetwarzanie przez Google nienaruszonych stron (nowych lub ostatnio zaktualizowanych), które chcesz umieścić w wynikach wyszukiwania Google.
- Instalacja najnowszej i najbezpieczniejszej wersji oprogramowania.
- Usunięcie niepotrzebnych lub nieużywanych aplikacji i wtyczek, które mogą narazić witrynę na ataki w przyszłości.
- Przywrócenie właściwych treści i cofnięcie zmian wprowadzonych przez hakera.
- Usunięcie głównej przyczyny luki w zabezpieczeniach, którą wykorzystał haker.
- Zmiana wszystkich haseł.
- Zaplanowanie sposobów zabezpieczenia witryny.
1. W razie wycieku poufnych danych (na przykład przez strony wyłudzające informacje) znajdź odpowiednie materiały pomocy
Jeśli haker uzyskał z Twojej witryny poufne dane o użytkownikach (np. gdy jego atak miał na celu wyłudzenie informacji), przed rozpoczęciem czyszczenia witryny i usuwania plików warto zastanowić się, jaka wynika z tego odpowiedzialność biznesowa, administracyjna i prawna. Przydatne materiały o wyłudzaniu informacji znajdziesz na antiphishing.org – m.in. dokument w języku angielskim What to do if you your site has been hacked by phishers (Co robić, gdy witrynę zaatakowali hakerzy wyłudzający informacje).
2. Rozważ przyspieszenie usuwania nowych URL-i utworzonych przez hakera
Jeśli haker utworzył zupełnie nowe adresy URL widoczne dla użytkowników, możesz przyspieszyć usuwanie ich z wyników wyszukiwania Google, używając funkcji Usuń adresy URL w Search Console. Ta czynność jest całkowicie opcjonalna. Gdy po prostu usuniesz strony, a potem skonfigurujesz serwer, by zwracał kod stanu 404, po jakimś czasie strony w naturalny sposób znikną z indeksu Google.
- Decyzja o użyciu funkcji Usuń adresy URL zależy zwykle od liczby nowych, niepożądanych stron (podawanie zbyt wielu stron w prośbie o usunięcie może być kłopotliwe) oraz zakresu potencjalnych szkód, które te strony mogą spowodować u użytkowników. Aby mieć pewność, że strony zgłoszone w narzędziu do usuwania adresów URL nie pojawią się już w wynikach wyszukiwania, musisz też tak skonfigurować swój serwer, by zamiast nich zwracał odpowiedź 404 Nie znaleziono pliku.
- Nie używaj tego narzędzia do usunięcia istniejących wcześniej stron, które zostały zmienione przez hakera – zapewne chcesz, by po oczyszczeniu można było je znaleźć w wynikach wyszukiwania. Narzędzie do usuwania URL-i stosuje się tylko w przypadku stron, które mają na stałe zniknąć z wyników wyszukiwania.
3. Rozważ przyspieszenie przetwarzania nienaruszonych stron przez Google
Jeśli masz nowe lub zaktualizowane strony, które nie zostały zaatakowane, możesz użyć funkcji Pobierz jako Google w Search Console, by przesłać je do indeksu Google. Ta czynność jest całkowicie opcjonalna. Gdy ją pominiesz, nowe lub zmienione strony po jakimś czasie zostaną zaindeksowane i przetworzone.
4. Zacznij oczyszczać serwery
Nadszedł czas, by rozpocząć oczyszczanie witryny na podstawie informacji zebranych podczas poprzednich części. Sposób działania na tym etapie zależy od rodzaju dostępnej kopii zapasowej.
- Nienaruszona i aktualna kopia zapasowa
- Nienaruszona, ale przestarzała kopia zapasowa
- Brak dostępnej kopii zapasowej
-
- Nienaruszona i aktualna kopia zapasowa
- Przywróć kopię zapasową.
- Zainstaluj wszystkie dostępne uaktualnienia do nowszej wersji, aktualizacje i poprawki oprogramowania. Dotyczy to oprogramowania systemu operacyjnego (jeśli masz odpowiednie uprawnienia do administrowania serwerem) oraz każdej aplikacji, w tym systemu zarządzania treścią, platformy handlu elektronicznego, wtyczek, szablonów itp.
- Zastanów się, czy możesz usunąć z serwera oprogramowanie (np. widżety, wtyczki i aplikacje), z którego witryna już nie korzysta.
- Usuń lukę w zabezpieczeniach.
- Upewnij się, że wszystkie problemy znalezione w trakcie poprzedniego etapu zostały rozwiązane.
- Ponownie zmień hasła do wszystkich kont związanych z witryną (dotyczy to m.in. loginów do serwera FTP, bazy danych, kont administratorów systemu oraz kont w systemie zarządzania treścią). W systemie typu Unix użyj polecenia:
$passwd admin1
- Nienaruszona, ale przestarzała kopia zapasowa
- Nienaruszona i aktualna kopia zapasowa
Najpierw sprawdź, czy kopia zapasowa została utworzona przed atakiem hakerów na witrynę.
-
- Utwórz aktualny obraz dysku witryny, bez względu na to, że wciąż jest ona zainfekowana. Ta kopia jest tylko dla bezpieczeństwa. Oznacz kopię jako zainfekowaną, by odróżnić ją od innych. W systemie typu Unix obraz dysku możesz utworzyć tak:
$dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 > /kopia_lustrzana/pelna_kopia_zapasowa_20120125_zainfekowana.gz
- Zrób kopię zapasową systemu plików na serwerze, w tym plików graficznych i multimedialnych. Jeśli korzystasz z bazy danych, utwórz także jej kopię.
$tar -pczf pelna_kopia_zapasowa_20120125_zainfekowana.tar.gz www/ $ mysqldump -u root -p --all-databases | gzip -9 > pelna_kopia_zapasowa_bazy_danych_20120125_zainfekowana.sql
- Przywróć nienaruszoną, ale przestarzałą kopię zapasową na serwer.
- Zastanów się, czy możesz usunąć z serwera oprogramowanie (np. widżety, wtyczki i aplikacje), z którego witryna już nie korzysta.
- Uaktualnij całe oprogramowanie, w tym system operacyjny (jeśli masz odpowiednie uprawnienia do administrowania serwerem) oraz każdą aplikację, np. system zarządzania treścią, platformę handlu elektronicznego, wtyczki, szablony itp. Pamiętaj, by pobrać i zainstalować dostępne aktualizacje oraz poprawki zabezpieczeń.
- Usuń lukę w zabezpieczeniach.
- Ręcznie lub automatycznie porównaj z użyciem parametru
diff
nienaruszoną kopię zapasową z aktualna zainfekowaną kopią.$diff -qr www/ kopie-zapasowe/pelna-kopia-zapasowa-20120124/
- Na uaktualniony serwer prześlij wszystkie nowe, nienaruszone treści z zainfekowanej kopii zapasowej, które chcesz zachować.
$rsync -avz /kopie-zapasowe/pelna-kopia-zapasowa-20120124/www/nienaruszony-plik.jpg /www/
- Upewnij się, że każdy adres URL wymieniony na liście został poprawiony.
- Ponownie zmień hasła do wszystkich kont związanych z witryną (dotyczy to m.in. loginów do serwera FTP, bazy danych, kont administratorów systemu oraz kont w systemie zarządzania treścią). W systemie typu Unix użyj polecenia:
$passwd admin1
- Utwórz aktualny obraz dysku witryny, bez względu na to, że wciąż jest ona zainfekowana. Ta kopia jest tylko dla bezpieczeństwa. Oznacz kopię jako zainfekowaną, by odróżnić ją od innych. W systemie typu Unix obraz dysku możesz utworzyć tak:
- Brak dostępnej kopii zapasowej
- Zrób dwie kopie zapasowe witryny, bez względu na to, że wciąż jest ona zainfekowana. Dodatkowa kopia zapasowa pozwoli przywrócić przypadkowo usunięte treści lub zacząć od początku, gdy coś pójdzie nie tak. Każdą kopię oznacz etykietą „zainfekowana”, by nie pomylić ich z innymi.
- Pierwsza kopia zapasowa to obraz dysku – „sklonowana wersja” witryny. Taki format ułatwia przywracanie treści. Obrazu dysku będzie można użyć w sytuacji awaryjnej. W systemie typu Unix obraz dysku możesz utworzyć tak:
$dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 > /kopia_lustrzana/pelna_kopia_zapasowa_20120125_zainfekowana.gz
- Druga kopia zapasowa to kopia systemu plików na serwerze, w tym plików graficznych i multimedialnych. Jeśli korzystasz z bazy danych, utwórz także jej kopię.
$tar -pczf pelna-kopia-zapasowa-20120125-zainfekowana.tar.gz www/
$mysqldump -u root -p --all-databases | gzip -9 > pelna_kopia_zapasowa_bazy_danych_20120125_zainfekowana.sql
- Jeśli nie masz obrazu dysku, zrób dwie kopie zapasowe bazy danych i dwie systemu plików.
- Pierwsza kopia zapasowa to obraz dysku – „sklonowana wersja” witryny. Taki format ułatwia przywracanie treści. Obrazu dysku będzie można użyć w sytuacji awaryjnej. W systemie typu Unix obraz dysku możesz utworzyć tak:
- Oczyść zawartość witryny w nowej kopii zapasowej systemu plików (nie na samym serwerze).
- Jeśli podczas wcześniejszej kontroli okazało się, że uprawnienia do plików są zbyt szerokie, popraw je. Upewnij się, że robisz to w kopii zapasowej, a nie na samym serwerze.
- Także w kopii zapasowej oczyść wszystkie pliki powiązane z przejętymi adresami URL, wykrytymi w trakcie poprzednich etapów. Mogą to być pliki konfiguracyjne serwera oraz pliki JavaScript, HTML i PHP.
- Pamiętaj też, by usunąć (i ustawić zamiast nich odpowiedź 404) nowe pliki utworzone przez hakera (opcjonalnie zgłoszone w narzędziu do usuwania adresów URL w Search Console).
- Usuń lukę w zabezpieczeniach – w razie potrzeby popraw kod lub zmień złamane hasła. Mogą w tym pomóc biblioteki do weryfikacji wprowadzanych danych i audyty bezpieczeństwa.
- Jeśli witryna korzysta z bazy danych, zacznij czyścić zmienione przez hakera rekordy w kopii zapasowej. Gdy uznasz, że wszystkie zostały poprawione, jeszcze raz pobieżnie je przejrzyj rekordy, by upewnić się, że wyglądają w porządku.
- Ponownie zmień hasła do wszystkich kont związanych z witryną (dotyczy to m.in. loginów do serwera FTP, bazy danych, kont administratorów systemu oraz kont w systemie zarządzania treścią). W systemie typu Unix użyj polecenia:
$passwd admin1
- W tym momencie kopia zapasowa, która wcześniej była zainfekowana, powinna już zawierać tylko nienaruszone dane. Zachowaj ją na później i przejdź do punktu 5.
- Zrób dwie kopie zapasowe witryny, bez względu na to, że wciąż jest ona zainfekowana. Dodatkowa kopia zapasowa pozwoli przywrócić przypadkowo usunięte treści lub zacząć od początku, gdy coś pójdzie nie tak. Każdą kopię oznacz etykietą „zainfekowana”, by nie pomylić ich z innymi.
5. Usuń niepotrzebne oprogramowanie
Zastanów się, czy możesz usunąć z serwera oprogramowanie (np. widżety, wtyczki i aplikacje), z którego witryna już nie korzysta. To może zwiększyć bezpieczeństwo i uprości zarządzanie w przyszłości.
6. Oczyść wszystkie serwery
- Zainstaluj wszystko od nowa zamiast uaktualniać. Uaktualnienia mogą pozostawić pliki z poprzedniej wersji. Jeśli na serwerze pozostanie zainfekowany plik, zwiększy to prawdopodobieństwo kolejnego ataku hakerów.
- Nowa instalacja powinna obejmować system operacyjny (jeśli masz odpowiednie uprawnienia do administrowania serwerem) oraz każdą aplikację, np. system zarządzania treścią, platformę handlu elektronicznego, wtyczki, szablony itp. Pamiętaj, by pobrać i zainstalować dostępne aktualizacje oraz poprawki zabezpieczeń.
- Na serwery z nowo zainstalowanym oprogramowaniem przenieś odpowiednie treści z oczyszczonej kopii systemu plików. Prześlij lub przywróć tylko te rekordy bazy danych i pliki, w których nie ma już niepożądanych zmian. Pamiętaj, by ustawić odpowiednie uprawnienia do plików i nie zastępować nowo zainstalowanych plików systemowych.
- Ostatni raz zmień hasła do wszystkich kont związanych z witryną (dotyczy to m.in. loginów do serwera FTP, bazy danych, kont administratorów systemu oraz kont w systemie zarządzania treścią). W systemie typu Unix użyj polecenia:
$passwd admin1
7. Utwórz długoterminowy plan zarządzania
W internecie znajdziesz wiele przydatnych materiałów o tym, jak skutecznie zarządzać witryną, np. przygotowany przez StopBadware artykuł w języku angielskim Preventing badware: basics (Przeciwdziałanie szkodliwemu oprogramowaniu: podstawy). Zdecydowanie zalecamy też skorzystanie z tych wskazówek:
- Rób regularne, automatyczne kopie zapasowe witryny.
- Pamiętaj o aktualizowaniu oprogramowania.
- Zanim zainstalujesz jakiekolwiek aplikacje, wtyczki, oprogramowanie firmy zewnętrznej itp. na swoim serwerze, zapoznaj się z ich zabezpieczeniami. Luka w zabezpieczeniach jednej aplikacji może negatywnie wpłynąć na bezpieczeństwo całej witryny.
- Wymagaj tworzenia silnych haseł.
- Dbaj o bezpieczeństwo wszystkich urządzeń używanych do logowania się na serwer (aktualizuj system operacyjny i przeglądarkę).
8. Dokładnie sprawdź, czy wszystkie elementy zostały oczyszczone
Sprawdź, czy możesz odpowiedzieć „tak” na te pytania:
- Czy jeśli haker uzyskał dane osobowe użytkowników, zostały podjęte odpowiednie kroki?
- Czy oprogramowanie witryny zostało zaktualizowane do najnowszej i najbezpieczniejszej wersji?
- Czy niepotrzebne lub nieużywane aplikacje i wtyczki, które mogłyby narazić witrynę na ataki w przyszłości, zostały usunięte?
- Czy pierwotne treści zostały przywrócone, a zmiany wprowadzone przez hakera – cofnięte?
- Czy główna luka w zabezpieczeniach, która pozwoliła hakerom zaatakować witrynę, została usunięta?
- Czy masz plan zabezpieczenia witryny na przyszłość?
9. Przełącz witrynę z powrotem w tryb online
Poproś o sprawdzenie witryny
Jeśli podczas kontroli nie zostaną wykryte żadne elementy, które mogłyby zagrażać użytkownikom Google lub wprowadzać ich w błąd, witryna zostanie zatwierdzona.
Czego potrzebujesz:
- znajomość poleceń powłoki lub terminala.
Co musisz zrobić:
-
Potwierdź wykonanie tych wymaganych czynności:
- zweryfikowana własność witryny w Google Search Console
- oczyszczenie witryny ze zmian wprowadzonych przez hakera,
- usunięcie luki w zabezpieczeniach,
- przełączenie oczyszczonej witryny w tryb online.
-
Dokładnie sprawdź, czy strony są dostępne i oczyszczone
Na wszelki wypadek użyj Wget lub cURL, by bezpiecznie przejrzeć strony witryny, w tym stronę główną oraz dowolną zmienioną przez hakera, która teraz powinna być już oczyszczona. Jeśli nie znajdziesz na nich zmian, które wprowadził haker (i masz pewność, że szkodliwych treści nie ma też na pozostałych stronach w witrynie), możesz poprosić o sprawdzenie witryny.
-
Wykonaj odpowiednie czynności w zależności od typu ataku hakera: wyłudzanie informacji, złośliwe oprogramowanie lub spam
- Wyłudzanie informacji
- Prześlij prośbę o sprawdzenie, korzystając z formularza na https://www.google.com/safebrowsing/report_error/. To pozwoli usunąć z oczyszczonych stron ostrzeżenia o wyłudzaniu informacji. Właściciele witryn, którzy uważają, że ich strona została nieprawidłowo oznaczona jako wyłudzająca informacje, mogą również użyć tego formularza, by to zgłosić.
- Sprawdzenie witryny wyłudzającej informacje trwa około jednego dnia. Jeśli wynik będzie pozytywny, wyświetlane użytkownikom ostrzeżenie o wyłudzaniu informacji zostanie usunięte i strona znowu będzie mogła osiągnąć lepszą pozycję w wynikach wyszukiwania.
- Złośliwe oprogramowanie lub spam
- Zaloguj się do Search Console i wybierz zweryfikowaną witrynę.
- Otwórz Problemy z bezpieczeństwem. Strona Problemy z bezpieczeństwem prawdopodobnie wciąż zawiera znaną Ci listę typów ataków hakerów i przykładowych zainfekowanych adresów URL.
- Jeśli uważasz, że wymienione przykładowe strony (i wszystkie pozostałe w witrynie) są już oczyszczone, wybierzZgłoś prośbę o sprawdzenie. Aby sprawdzić witrynę, potrzebujemy dokładniejszych informacji o tym, jak udało się usunąć szkody wyrządzone przez hakera. Przy każdej kategorii ze strony Problemy z bezpieczeństwem możesz opisać jednym zdaniem, jak witryna została oczyszczona (np. „W przypadku stron zaatakowanych metodą wstrzykiwania zawartości usunąłem spamerskie treści i zaktualizowałem przestarzałą wtyczkę, by załatać lukę w zabezpieczeniach”.).
- Czas sprawdzania witryny ze złośliwym oprogramowaniem
Sprawdzenie witryny zainfekowanej złośliwym oprogramowaniem trwa około dnia. Po jego zakończeniu naszą odpowiedź znajdziesz w sekcji Wiadomości w Search Console. - Czas sprawdzania witryny zaatakowanej przez hakerów
Sprawdzenie witryny, w której hakerzy umieścili spam, może zająć nawet kilka tygodni. Przyczyną jest to, że może być konieczna ręczna kontrola lub całkowite przetworzenie zaatakowanych stron. Jeśli witryna zostanie zatwierdzona, kategorie ataków i przykładowe zaatakowane adresy URL znikną ze strony Problemy z bezpieczeństwem.
- Czas sprawdzania witryny ze złośliwym oprogramowaniem
- Gdy zespół Google stwierdzi, że witryna jest oczyszczona, ostrzeżenia w przeglądarkach i wynikach wyszukiwania zostaną usunięte w ciągu 72 godzin.
- Jeśli wynik sprawdzenia będzie negatywny, na stronie Problemy z bezpieczeństwem w Search Console pojawi się więcej przykładowych zainfekowanych adresach URL, co powinno pomóc w czyszczeniu witryny. Ostrzeżenia o złośliwym oprogramowaniu lub ataku hakerów pozostaną w wynikach wyszukiwania i/lub przeglądarkach, by chronić użytkowników.
- Wyłudzanie informacji
-
Określ kolejny krok
- Po zatwierdzeniu witryny upewnij się, że działa ona zgodnie z oczekiwaniami – strony wczytują się poprawnie, a linki można kliknąć.
Jeżeli tak jest: Gratulacje! Na tym kończy się proces odzyskiwania.
Fajnie i prosto omówione podstawy włamu. Swoją drogą Azjatka opowiadająca o hakerach, przypadek? :D
Dzień dobry, dziękuję za tak bardzo obszerny poradnik. Pomógł mi w naprawie mojej strony. W kodzie kilku plików znalazłem wspomniany w artykule zakodowany skrypt w base_64, który ręcznie usunąłem, a następnie skorzystałem z skanera wirusów do WordPressa.