Jak naprawić zaatakowaną witrynę? cz.7

Oceń post

człowiek haker atakuje bezbronne strony www :(

Oczyść i zabezpiecz witrynę

Czego potrzebujesz:

  • dostęp administratora do powłoki lub terminala serwerów witryny: internetowego, bazy danych i plików;
  • znajomość poleceń powłoki lub terminala;
  • umiejętność czytania kodu (np. PHP lub JavaScript);
  • miejsce na tworzenie kopii zapasowych witryny (w tym plików, bazy danych, obrazów itp.).

Kolejne działania:

Na tym etapie omawiamy kilka spraw:

  • Gdzie znaleźć dodatkowe materiały, gdy sądzisz, że haker zamierzał uzyskać dane osobowe użytkowników (np. korzystając ze stron wyłudzających informacje).
  • Możliwość użycia funkcji Usuń adresy URL w Search Console, by przyspieszyć usunięcie utworzonych przez hakera, zupełnie nowych, niepożądanych adresów URL widocznych dla użytkowników i zapobiec pojawianiu się ich w wynikach wyszukiwania Google.
  • Możliwość użycia funkcji Pobierz jako Google w Search Console, by przyspieszyć przetwarzanie przez Google nienaruszonych stron (nowych lub ostatnio zaktualizowanych), które chcesz umieścić w wynikach wyszukiwania Google.
  • Instalacja najnowszej i najbezpieczniejszej wersji oprogramowania.
  • Usunięcie niepotrzebnych lub nieużywanych aplikacji i wtyczek, które mogą narazić witrynę na ataki w przyszłości.
  • Przywrócenie właściwych treści i cofnięcie zmian wprowadzonych przez hakera.
  • Usunięcie głównej przyczyny luki w zabezpieczeniach, którą wykorzystał haker.
  • Zmiana wszystkich haseł.
  • Zaplanowanie sposobów zabezpieczenia witryny.

1. W razie wycieku poufnych danych (na przykład przez strony wyłudzające informacje) znajdź odpowiednie materiały pomocy

Jeśli haker uzyskał z Twojej witryny poufne dane o użytkownikach (np. gdy jego atak miał na celu wyłudzenie informacji), przed rozpoczęciem czyszczenia witryny i usuwania plików warto zastanowić się, jaka wynika z tego odpowiedzialność biznesowa, administracyjna i prawna. Przydatne materiały o wyłudzaniu informacji znajdziesz na antiphishing.org – m.in. dokument w języku angielskim What to do if you your site has been hacked by phishers (Co robić, gdy witrynę zaatakowali hakerzy wyłudzający informacje).

2. Rozważ przyspieszenie usuwania nowych URL-i utworzonych przez hakera

Jeśli haker utworzył zupełnie nowe adresy URL widoczne dla użytkowników, możesz przyspieszyć usuwanie ich z wyników wyszukiwania Google, używając funkcji Usuń adresy URL w Search Console. Ta czynność jest całkowicie opcjonalna. Gdy po prostu usuniesz strony, a potem skonfigurujesz serwer, by zwracał kod stanu 404, po jakimś czasie strony w naturalny sposób znikną z indeksu Google.

  • Decyzja o użyciu funkcji Usuń adresy URL zależy zwykle od liczby nowych, niepożądanych stron (podawanie zbyt wielu stron w prośbie o usunięcie może być kłopotliwe) oraz zakresu potencjalnych szkód, które te strony mogą spowodować u użytkowników. Aby mieć pewność, że strony zgłoszone w narzędziu do usuwania adresów URL nie pojawią się już w wynikach wyszukiwania, musisz też tak skonfigurować swój serwer, by zamiast nich zwracał odpowiedź 404 Nie znaleziono pliku.
  • Nie używaj tego narzędzia do usunięcia istniejących wcześniej stron, które zostały zmienione przez hakera – zapewne chcesz, by po oczyszczeniu można było je znaleźć w wynikach wyszukiwania. Narzędzie do usuwania URL-i stosuje się tylko w przypadku stron, które mają na stałe zniknąć z wyników wyszukiwania.

3. Rozważ przyspieszenie przetwarzania nienaruszonych stron przez Google

Jeśli masz nowe lub zaktualizowane strony, które nie zostały zaatakowane, możesz użyć funkcji Pobierz jako Google w Search Console, by przesłać je do indeksu Google. Ta czynność jest całkowicie opcjonalna. Gdy ją pominiesz, nowe lub zmienione strony po jakimś czasie zostaną zaindeksowane i przetworzone.

4. Zacznij oczyszczać serwery

Nadszedł czas, by rozpocząć oczyszczanie witryny na podstawie informacji zebranych podczas poprzednich części. Sposób działania na tym etapie zależy od rodzaju dostępnej kopii zapasowej.

  • Nienaruszona i aktualna kopia zapasowa
  • Nienaruszona, ale przestarzała kopia zapasowa
  • Brak dostępnej kopii zapasowej
    • Nienaruszona i aktualna kopia zapasowa
      1. Przywróć kopię zapasową.
      2. Zainstaluj wszystkie dostępne uaktualnienia do nowszej wersji, aktualizacje i poprawki oprogramowania. Dotyczy to oprogramowania systemu operacyjnego (jeśli masz odpowiednie uprawnienia do administrowania serwerem) oraz każdej aplikacji, w tym systemu zarządzania treścią, platformy handlu elektronicznego, wtyczek, szablonów itp.
      3. Zastanów się, czy możesz usunąć z serwera oprogramowanie (np. widżety, wtyczki i aplikacje), z którego witryna już nie korzysta.
      4. Usuń lukę w zabezpieczeniach.
      5. Upewnij się, że wszystkie problemy znalezione w trakcie poprzedniego etapu zostały rozwiązane.
      6. Ponownie zmień hasła do wszystkich kont związanych z witryną (dotyczy to m.in. loginów do serwera FTP, bazy danych, kont administratorów systemu oraz kont w systemie zarządzania treścią). W systemie typu Unix użyj polecenia:
        $passwd admin1
    • Nienaruszona, ale przestarzała kopia zapasowa

Najpierw sprawdź, czy kopia zapasowa została utworzona przed atakiem hakerów na witrynę.

    1. Utwórz aktualny obraz dysku witryny, bez względu na to, że wciąż jest ona zainfekowana. Ta kopia jest tylko dla bezpieczeństwa. Oznacz kopię jako zainfekowaną, by odróżnić ją od innych. W systemie typu Unix obraz dysku możesz utworzyć tak:
      $dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 
        > /kopia_lustrzana/pelna_kopia_zapasowa_20120125_zainfekowana.gz
    2. Zrób kopię zapasową systemu plików na serwerze, w tym plików graficznych i multimedialnych. Jeśli korzystasz z bazy danych, utwórz także jej kopię.
      $tar -pczf pelna_kopia_zapasowa_20120125_zainfekowana.tar.gz www/ $ mysqldump -u root 
        -p --all-databases | gzip -9 > pelna_kopia_zapasowa_bazy_danych_20120125_zainfekowana.sql
    3. Przywróć nienaruszoną, ale przestarzałą kopię zapasową na serwer.
    4. Zastanów się, czy możesz usunąć z serwera oprogramowanie (np. widżety, wtyczki i aplikacje), z którego witryna już nie korzysta.
    5. Uaktualnij całe oprogramowanie, w tym system operacyjny (jeśli masz odpowiednie uprawnienia do administrowania serwerem) oraz każdą aplikację, np. system zarządzania treścią, platformę handlu elektronicznego, wtyczki, szablony itp. Pamiętaj, by pobrać i zainstalować dostępne aktualizacje oraz poprawki zabezpieczeń.
    6. Usuń lukę w zabezpieczeniach.
    7. Ręcznie lub automatycznie porównaj z użyciem parametru diff nienaruszoną kopię zapasową z aktualna zainfekowaną kopią.
      $diff -qr www/ kopie-zapasowe/pelna-kopia-zapasowa-20120124/
    8. Na uaktualniony serwer prześlij wszystkie nowe, nienaruszone treści z zainfekowanej kopii zapasowej, które chcesz zachować.
      $rsync -avz /kopie-zapasowe/pelna-kopia-zapasowa-20120124/www/nienaruszony-plik.jpg /www/
    9. Upewnij się, że każdy adres URL wymieniony na liście został poprawiony.
    10. Ponownie zmień hasła do wszystkich kont związanych z witryną (dotyczy to m.in. loginów do serwera FTP, bazy danych, kont administratorów systemu oraz kont w systemie zarządzania treścią). W systemie typu Unix użyj polecenia:
      $passwd admin1
  • Brak dostępnej kopii zapasowej
    1. Zrób dwie kopie zapasowe witryny, bez względu na to, że wciąż jest ona zainfekowana. Dodatkowa kopia zapasowa pozwoli przywrócić przypadkowo usunięte treści lub zacząć od początku, gdy coś pójdzie nie tak. Każdą kopię oznacz etykietą „zainfekowana”, by nie pomylić ich z innymi.
      • Pierwsza kopia zapasowa to obraz dysku – „sklonowana wersja” witryny. Taki format ułatwia przywracanie treści. Obrazu dysku będzie można użyć w sytuacji awaryjnej. W systemie typu Unix obraz dysku możesz utworzyć tak:
        $dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 > 
          /kopia_lustrzana/pelna_kopia_zapasowa_20120125_zainfekowana.gz
      • Druga kopia zapasowa to kopia systemu plików na serwerze, w tym plików graficznych i multimedialnych. Jeśli korzystasz z bazy danych, utwórz także jej kopię.
        $tar -pczf pelna-kopia-zapasowa-20120125-zainfekowana.tar.gz www/
        $mysqldump -u root -p --all-databases | gzip -9 > pelna_kopia_zapasowa_bazy_danych_20120125_zainfekowana.sql
      • Jeśli nie masz obrazu dysku, zrób dwie kopie zapasowe bazy danych i dwie systemu plików.
    2. Oczyść zawartość witryny w nowej kopii zapasowej systemu plików (nie na samym serwerze).
      1. Jeśli podczas wcześniejszej kontroli okazało się, że uprawnienia do plików są zbyt szerokie, popraw je. Upewnij się, że robisz to w kopii zapasowej, a nie na samym serwerze.
      2. Także w kopii zapasowej oczyść wszystkie pliki powiązane z przejętymi adresami URL, wykrytymi w trakcie poprzednich etapów. Mogą to być pliki konfiguracyjne serwera oraz pliki JavaScript, HTML i PHP.
      3. Pamiętaj też, by usunąć (i ustawić zamiast nich odpowiedź 404) nowe pliki utworzone przez hakera (opcjonalnie zgłoszone w narzędziu do usuwania adresów URL w Search Console).
      4. Usuń lukę w zabezpieczeniach – w razie potrzeby popraw kod lub zmień złamane hasła. Mogą w tym pomóc biblioteki do weryfikacji wprowadzanych danych i audyty bezpieczeństwa.
      5. Jeśli witryna korzysta z bazy danych, zacznij czyścić zmienione przez hakera rekordy w kopii zapasowej. Gdy uznasz, że wszystkie zostały poprawione, jeszcze raz pobieżnie je przejrzyj rekordy, by upewnić się, że wyglądają w porządku.
      6. Ponownie zmień hasła do wszystkich kont związanych z witryną (dotyczy to m.in. loginów do serwera FTP, bazy danych, kont administratorów systemu oraz kont w systemie zarządzania treścią). W systemie typu Unix użyj polecenia:
        $passwd admin1
      7. W tym momencie kopia zapasowa, która wcześniej była zainfekowana, powinna już zawierać tylko nienaruszone dane. Zachowaj ją na później i przejdź do punktu 5.

5. Usuń niepotrzebne oprogramowanie

Zastanów się, czy możesz usunąć z serwera oprogramowanie (np. widżety, wtyczki i aplikacje), z którego witryna już nie korzysta. To może zwiększyć bezpieczeństwo i uprości zarządzanie w przyszłości.

6. Oczyść wszystkie serwery

  1. Zainstaluj wszystko od nowa zamiast uaktualniać. Uaktualnienia mogą pozostawić pliki z poprzedniej wersji. Jeśli na serwerze pozostanie zainfekowany plik, zwiększy to prawdopodobieństwo kolejnego ataku hakerów.
    • Nowa instalacja powinna obejmować system operacyjny (jeśli masz odpowiednie uprawnienia do administrowania serwerem) oraz każdą aplikację, np. system zarządzania treścią, platformę handlu elektronicznego, wtyczki, szablony itp. Pamiętaj, by pobrać i zainstalować dostępne aktualizacje oraz poprawki zabezpieczeń.
  2. Na serwery z nowo zainstalowanym oprogramowaniem przenieś odpowiednie treści z oczyszczonej kopii systemu plików.  Prześlij lub przywróć tylko te rekordy bazy danych i pliki, w których nie ma już niepożądanych zmian. Pamiętaj, by ustawić odpowiednie uprawnienia do plików i nie zastępować nowo zainstalowanych plików systemowych.
  3. Ostatni raz zmień hasła do wszystkich kont związanych z witryną (dotyczy to m.in. loginów do serwera FTP, bazy danych, kont administratorów systemu oraz kont w systemie zarządzania treścią). W systemie typu Unix użyj polecenia:
    $passwd admin1

7. Utwórz długoterminowy plan zarządzania

W internecie znajdziesz wiele przydatnych materiałów o tym, jak skutecznie zarządzać witryną, np. przygotowany przez StopBadware artykuł w języku angielskim Preventing badware: basics (Przeciwdziałanie szkodliwemu oprogramowaniu: podstawy). Zdecydowanie zalecamy też skorzystanie z tych wskazówek:

  • Rób regularne, automatyczne kopie zapasowe witryny.
  • Pamiętaj o aktualizowaniu oprogramowania.
  • Zanim zainstalujesz jakiekolwiek aplikacje, wtyczki, oprogramowanie firmy zewnętrznej itp. na swoim serwerze, zapoznaj się z ich zabezpieczeniami. Luka w zabezpieczeniach jednej aplikacji może negatywnie wpłynąć na bezpieczeństwo całej witryny.
  • Wymagaj tworzenia silnych haseł.
  • Dbaj o bezpieczeństwo wszystkich urządzeń używanych do logowania się na serwer (aktualizuj system operacyjny i przeglądarkę).

8. Dokładnie sprawdź, czy wszystkie elementy zostały oczyszczone

Sprawdź, czy możesz odpowiedzieć „tak” na te pytania:

  • Czy jeśli haker uzyskał dane osobowe użytkowników, zostały podjęte odpowiednie kroki?
  • Czy oprogramowanie witryny zostało zaktualizowane do najnowszej i najbezpieczniejszej wersji?
  • Czy niepotrzebne lub nieużywane aplikacje i wtyczki, które mogłyby narazić witrynę na ataki w przyszłości, zostały usunięte?
  • Czy pierwotne treści zostały przywrócone, a zmiany wprowadzone przez hakera – cofnięte?
  • Czy główna luka w zabezpieczeniach, która pozwoliła hakerom zaatakować witrynę, została usunięta?
  • Czy masz plan zabezpieczenia witryny na przyszłość?

9. Przełącz witrynę z powrotem w tryb online

Źródło: https://developers.google.com/webmasters/hacked/

Autor: Kamil Kanigowski

Pasjonat optymalizacji stron internetowych od 2010 roku. Obecnie zajmujący stanowisko specjalisty SEO w jednej z największych agencji interaktywnych w Warszawie. Aktywnie optymalizuje duże oraz mniejsze serwisy internetowe wykorzystując całą wiedzę oraz zdobyte doświadczenie. Entuzjasta Wordpressa oraz afiliacji.

Podziel się

Skomentuj

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Trackbacks/Pingbacks