Zawirusowana strona - co dalej?




uwaga atak

Problem z zawirusowanymi lub przejętymi przez nieuprawnione osoby stronami internetowymi pojawia się coraz częściej. Szczególnie dotyczy to popularnych systemów zarządzania terścią jak Wordpress lub Joomla choć zdarzają się juz nawet udane ataki na sklepy internetowe. Jeżeli atak na stronę sie powiódł oznacza to, że strona ma bardzo niski stopień zabezpieczeń lub zlekceważone zostały podstawowe zasady dotyczące loginów i haseł, uzywanych rozszerzeń lub konfiguracji. Sytuacja taka powoduje bardzo duże obniżenie strony w rankingu przez co drastycznie spada ilośc wejść oraz strona traci zaufanie użytkowników.

Symptomy

Ponizej podaję kilka przykładów jak rozpoznać czy strona została zawirusowana lub przejęta:

  • site -  wpisując w wyszukiwarce komendę site:mojadomena.pl (gdzie mojadomena.pl jest faktycznym adresem Twojej domeny) otrzymamy aktualny zestaw zaindeksowanych przez wyszukiwarkę adresów, jezeli wśród nich widać dziwne, niepożądane adresy, czesto zawierające bardzo niepożądane treści lub linki można miec pewność, że kontola nad stroną została przejęta
  • powiadomienie z narzedzia Search Console
  • komunikat otrzymywany z wyszukiwarki lub przegladarki o tym że nasza strona jest niebezpieczna
  • komunikat z rozszerzeń przegladarki lub współpracującego z nią programu antywirusowego o niebezpiecznym adresie internetowym

Odzyskiwanie kontroli

Uwaga nadrzędna - jak nie wiesz jak to zrobić poproś o pomoc osobę, która system zna lub zleć te czynności fachowcowi.

Przede wszystkim chcę zwrócić uwagę, że "już się stało" więc wszelkie próby zachowania konfiguracji, która jest podatna na ataki może spowodować ponowne przejęcie strony i ponowne pojawienie się opisywanego problemu. Strona i domena i tak już jest w bardzo złej kondycji więc utrata danych lub treści to najmniejszy problem. 

Pierwszą czynnością jaką powinnismy zrobić to kompletny backup wszystkich plików oraz źródeł danych (np baza danych) w stanie jakim jest. Pozwoli to przede wszystkim zdiagnozować dziurę w oprogramowaniu strony, którą to atakujący dostał się do jej zasobów, ale pozwoli także przywrócić cześć zasobów.

Po tym przekierowujemy cały system na przygotowaną do tego celu subdomenę a na dotychczasowej domenie stawiamy stronę tymczasową.

Następną czynnością jest usunięcię wszelkich użytkowników poza administratorem głównym. Administratorowi głównemu zmieniamy zarówno login jak i hasło.

Po tej czynności usuwamy wszelkie (szczególnie darmowe) rozszerzeia i wtyczki gdyż bardzo często one właśnie są powodem nieszczelności systemu.

Teraz usuwamy wszelkie niepożądane strony i zasoby, czasami wiąże się to ze żmudnym wyszukiwaniem fraz lub ciągów znaków w plikach systemu lub bazie danych gdyż atakujący czesto zostawia sobie furtkę do nastepnych ataków. 

W następnej kolejności aktualizujmy nasz system do najnowszej wersji a jeżeli mamy już najnowszą wersję to porównujemy ją z oryginalną.

Jeżeli mamy już wszystko wyczyszcone można przywrócić używane wtyczki i inne roższerzenia, zasoby, użytkowniów (ostrożnie! zwracając uwagę na ich uprawnienia) oraz przywrócić strone na dotychczasowej domenie.

Tak po krótce postepujemy by odzyskać kontolę nad stroną ale chę zwócic uwagę, że podane powyżej czynności wcale nie muszą być docelowo skuteczne gdyż bardzo dużo zależy od tego jakiego typu atakowi uległa strona, jak głęboko został spenetrowany cały sytem i czy na pewno został kompletnie wyczyszczony oraz zabezpieczony.

Diagnostyka

W odzyskiwaniu kontroli na stroną pominąłem diagostykę specjalnie z dwóch powodów.

Po pierwsze najczęściej zdiagnozowanie żródla ataku wymaga bardzo szczególowego przegladu plików systemu i żródeł danych. Z symptomów zewnetrzych nie można jednoznacznie określić jaką drogą atakujący dostał się do naszych zasobów. Odpowiedż daje dopiero szczegółowa analiza.

Po drugie najczęstsze ataki są zdiagnozowane. Można ich opis i sposób przeciwdziałania znaleźć w internecie lub skorzystać ze specjanych narzedzi rozwiazujących problem.

Usuwanie zbędnych adresów stron oraz przywracanie wiarygodności domeny

Proces usuwania zbednych adresów stron oraz przywracania wiarygodnosci domeny nie jest procesem szybkim. Czasami może to potrwać kilka tygodni a czym wiecej domena zawierała złych adresów tym dłużej taki proces może trwać.

Dobrą praktyką jest wygenerowanie pliku sitemap.xml zawierającego wszystkie prawidłowe adresy i cykliczne (np raz na dobę) zgłaszanie tego pliku do wyszukiwarek.

Nastepnym dobrym krokiem jest by adresy nieprawidłowe wyświetlały się jako błąd 410 (oznaczający ze taki adres był w tej domenie ale go usunięto) a nie jako błąd 404 (oznaczający że adresu nie znaleziono). Przyspieszy to proces usuwania niechcianych adresów w wyników wyszukiwania oraz site.

Kontrola i zmiana zachowań administratora

Zawirusowania lub przejeta strona to duży kłopot, administracja strony wielokrotnie zdaje sobie sprawę z swoich zaniechań w momencie gdy juz ma wymerne straty. A w wiekszości przypadków problemu można było uniknąć przy zachowaniu pewnego stopnia bezpieczeństwa. Sama świadomość tego, że każde zabezpieczenie można obejść każe administracji odpowiednio monitorować zarówno ruch na stronie jak i zachowania jej użytkowników. Bezpieczeństwo sktyptów i rozszerzeń jest równie ważne jak siła haseł, odpowiednie uprawnienia itd. Wszystko wymaga kontoli.

Pozdrawiam Piotr Nowak



Wszystkie artykuły

Statystyki

Kategorii: 14
Podkategorii: 75
Wpisów razem: 148
Wpisów opublikowanych: 148
Wpisów oczekujacych: 0
Wpisów odrzuconych: 0
Wpisy wyświetlono: 45516 razy

Stronę odwiedzono: 156010 razy
Użytkowników online: 18

Cookies

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.

Pokaż wiecej