Jak naprawić zaatakowaną witrynę? cz.5

Jak naprawić zaatakowaną witrynę? cz.5
5 (100%) 1 vote

człowiek haker atakuje bezbronne strony www :(

Oceń szkody (złośliwe oprogramowanie)

Ten etap dotyczy witryn wykorzystywanych przez hakerów do rozpowszechniania złośliwego oprogramowania. Często informuje o tym ostrzeżenie „Ta witryna może wyrządzić szkody na Twoim komputerze” widoczne w wynikach wyszukiwania. To jeden z najdłuższych etapów procesu odzyskiwania. W jego trakcie utworzysz listę uszkodzonych plików w witrynie. Użyjesz jej w następnym kroku.

Jeśli witryna zamiast złośliwego oprogramowania zawiera spam, o czym informuje ostrzeżenie „Ta witryna może być zaatakowana przez hakerów” w wynikach wyszukiwania, przeczytaj poprzedni etap: Jak naprawić zaatakowaną witrynę? cz.4

Czego potrzebujesz:

  • dostęp administratora do powłoki lub terminala serwerów witryny: internetowego, bazy danych i plików;
  • znajomość poleceń powłoki lub terminala;
  • możliwość uruchamiania zapytań SQL w bazie danych.

Co musisz zrobić:

Etap dzieli się na trzy części:

  • Przygotowania
  • Badanie określonych typów infekcji złośliwym oprogramowaniem
  • Ogólna ocena szkód w systemie plików

Przygotowania

  1. Unikaj otwierania stron witryny w przeglądarce. Złośliwe oprogramowanie często się rozpowszechnia, wykorzystując luki w zabezpieczeniach przeglądarki, dlatego otwarcie zainfekowanej nim strony może spowodować szkody na Twoim komputerze.
  2. Utwórz dokument, w którym będziesz zapisywać informacje uzyskane na tym etapie. Te informacje to (przynajmniej) nazwa i lokalizacja każdego naruszonego pliku oraz opis, jak został on zainfekowany.
  3. W razie potrzeby zapoznaj się z materiałami dodatkowymi:
    • Obejrzyj film powyżej, by dowiedzieć się, jak działa złośliwe oprogramowanie i jak zabezpieczyć się podczas badania zaatakowanej witryny.
    • Na stronie diagnostycznej w Bezpiecznym przeglądaniu Google znajdziesz informacje o tym, czy witryna może być niebezpieczna dla użytkowników. Opis stanu witryny jest dostępny pod adresem URL podobnym do tego:
      http://www.google.pl/safebrowsing/diagnostic?site=<Twoja_witryna>

      Na przykład:

      http://www.google.pl/safebrowsing/diagnostic?site=webmastercentralblog.blogspot.com
  4. Użyj cURL lub Wget, by wysłać żądania HTTP (gdy zechcesz np. przejrzeć treść strony).Te bezpłatne narzędzia pozwalają dołączyć do żądań informacje o stronie odsyłającej i kliencie użytkownika, co ułatwia diagnostykę przekierowań. Podanie konkretnej strony odsyłającej lub klienta użytkownika pomaga zasymulować okoliczności oczekiwane przez hakerów, którzy mogą skonfigurować wyświetlanie złośliwych treści tylko użytkownikom z określonym klientem lub stroną odsyłającą, tak by skierować je do rzeczywistych osób oraz uniknąć wykrycia przez właścicieli witryn i skanery złośliwego oprogramowania.
    $curl -v --referer "http://www.google.pl" <Twój_URL>

Badanie określonych typów infekcji złośliwym oprogramowaniem w witrynie

  1. Wybierz zweryfikowaną witrynę w Search Console, a potem kliknij Problemy dotyczące bezpieczeństwa.
  2. Na stronie „Problemy dotyczące bezpieczeństwa” skontroluj wszystkie kategorie złośliwego oprogramowania w witrynie (np. Konfiguracja serwera czy Wstrzyknięty SQL). Aby uzyskać dodatkowe informacje o zainfekowanych adresach URL z wybranej kategorii, kliknij „Pokaż szczegóły”. (Szczegóły mogą zawierać przykładowe fragmenty kodu wstrzykniętego przez hakera). Z każdej kategorii skopiuj te dane do dokumentu z wynikami kontroli:
    • wszystkie przykładowe zainfekowane adresy URL, które znajdziesz na stronie „Problemy dotyczące bezpieczeństwa”, w sekcji poświęconej złośliwemu oprogramowaniu;
    • adresy wszystkich pozostałych stron, na których podczas kontroli wykryjesz szkody;
    • szczegółowe informacje o zainfekowanych stronach, np. rodzaj wyrządzonych szkód.
  3. Poniżej znajdziesz informacje, które ułatwią Ci kontrolę każdego typu złośliwego oprogramowania:

Ocena szkód w systemie plików

Teraz musisz zalogować się do systemu plików witryny, by przeprowadzić dokładniejszą kontrolę. Pamiętaj, że oprócz innych rzeczy haker mógł zmienić istniejące strony lub rekordy w bazie danych, utworzyć zupełnie nowe strony ze spamem, dopisać funkcje wyświetlania spamu na nienaruszonych stronach oraz zostawić sobie „furtki”, które (jeśli nie zostaną usunięte) pozwolą mu znowu dostać się do systemu witryny i dalej prowadzić złośliwe działania.

Jeśli witryna jest online, przed wykonaniem tego punktu możesz przełączyć ją w tryb offline.

  1. Jeśli masz nienaruszoną kopię zapasową witryny, ustal, które pliki zostały utworzone lub zmienione od czasu wykonania tej kopii. Dodaj je do swojej listy, bo warto je dokładnie zbadać. W systemie typu Unix możesz użyć tego polecenia:
    $ diff -qr <bieżący_katalog> <katalog_kopii_zapasowej>

    Na przykład:

    $ diff -qr www/ kopie-zapasowe/pelna-kopia-zapasowa-20120124/

    oraz

    $ md5sum <bieżąca_strona> <strona_w_kopii_zapasowej>

    Na przykład:

    $ md5sum www/strona.html kopie-zapasowe/pelna-kopia-zapasowa-20120124/strona.html
  2. W dziennikach serwera, dostępu i błędów poszukaj podejrzanej aktywności, np. nieudanych prób zalogowania się, nietypowych poleceń w historii (szczególnie na koncie root), tworzenia nieznanych kont użytkowników itd. Pamiętaj, że haker mógł zmienić te dzienniki, by zatrzeć po sobie ślady.
  3. Poszukaj przekierowań w plikach konfiguracyjnych, takich jak .htaccess i httpd.conf. Hakerzy często tworzą warunkowe przekierowania uzależnione od klienta użytkownika, pory dnia lub strony odsyłającej.
  4. Poszukaj zbyt szerokich uprawnień do folderów i plików. Hakerzy manipulują uprawnieniami, bo jeśli właściciel witryny nie wykryje zmienionych uprawnień, będą mogli znowu dostać się do systemu witryny. Pliki z uprawnieniami większymi niż 644 (rw-r–r–) i foldery z uprawnieniami większymi niż 755 (rwxr-xr-x) mogą powodować problemy z bezpieczeństwem. Upewnij się, że takie uprawnienia faktycznie są potrzebne. W systemie typu Unix użyj poleceń:
    $ find <wybrany_katalog> -type d -not -perm 755 -exec ls -ld {} \;
    $ find <wybrany_katalog> -type f -not -perm 644 -exec ls -la {} \;
  5. Jeśli korzystasz z bazy danych, skontroluj po kolei każdy rekord, używając takiego narzędzia jak phpMyAdmin.
Źródło: https://developers.google.com/webmasters/hacked/

Autor: Kamil Kanigowski

Pasjonat optymalizacji stron internetowych od 2010 roku. Obecnie zajmujący stanowisko specjalisty SEO w jednej z największych agencji interaktywnych w Warszawie. Aktywnie optymalizuje duże oraz mniejsze serwisy internetowe wykorzystując całą wiedzę oraz zdobyte doświadczenie. Entuzjasta Wordpressa oraz afiliacji.

Podziel się

Skomentuj

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Trackbacks/Pingbacks