Bejegyzés

Meghackelték a weboldalam! Mit tegyek?

/in /by

Hogyan távolítsunk el vírust weboldalunkról – tippek, ha már megtörtént a baj.

A weboldal kártékony programot tartalmaz.

– látja váratlanul weboldalának főoldala helyett. A nagyobb böngészők észlelik az ismert károkozókat, és nem engedik, hogy a felhasználók meglátogassák a webhelyet.

googlechromewarning

Szerencsés, hisz a látogató nem lesz áldozat, az üzletünknek viszont nem tesz jót, ha a weblap nem elérhető, hátmég ha fertőzött.

A szolgáltatónk is szankciókat vethet be, felfüggesztheti csomagunkat ha nem távolítjuk el időben a rosszindulatú programot, vagy gyakran előfordul ugyanez az eset.

Mit tegyünk, ha weboldalunk megfertőződött?

Első lépés – A weboldal lezárása

Miért kell lezárnom a weboldalamat?

A weboldal lezárása azért fontos, hogy a felhasználók (és a keresőmotorok!) ne találkozhassanak a kártékony programkóddal. Látogatóinkat védi attól, hogy esetlegesen adatlopás áldozatai legyenek, a keresőmotor pedig annál kisebb valószínőséggel büntet meg minket visszasorolással az eset miatt.

Nem utolsó sorban megakadályozhatjuk a fertőzött kód továbbfutását, amely azokban az esetekben lehet hasznos, ha a program a háttérben fut, spameket továbbít, vagy számolási műveleteket végez.

Hogyan zárhatom le a weboldalamat?

Amennyiben valamilyen tárhelykezelő szoftver (cPanel, Plesk, stb.) áll rendelkezésére, nagy valószínűséggel talál egy Felfüggesztés (Suspend) menüpontot. Ez keresőbarát 503 kóddal tér vissza a látogatóknak, jelezve, hogy az oldal átmenetileg nem elérhető.

Ha nincs ilyen lehetősége, lezárhatja a weboldal mappáját, hogy az csak jelszóval legyen elérhető.

Az alábbi weboldal segít a szükséges fájloknak a létrehozásában:

htaccess-htpasswd-generate

http://www.htaccesstools.com/htaccess-authentication/

Az itt visszakapott kódrészletet kell bemásolnunk weboldalának .htaccess fájljába, vagy ha az nem létezik, létrehozni azt.

AuthType Basic
AuthName "Az én weboldalam"
AuthUserFile /var/www/vhosts/az-en-weboldalam/.htaccess
Require valid-user

Ezen felül meg kell határoznunk a felhasználókat és azok jelszavait, melyek hozzáférhetnek a laphoz az autentikáció elvégeztével:

screen-shot-2016-10-09-at-23-28-01

http://www.htaccesstools.com/htpasswd-generator/

A create .htpasswd file gombra kattintva a generátor elkészíti nekünk a .htpasswd fájlba beszúrandó tartalmat, jelen esetben a ‘felhasznalo’ felhasználói nevet és a kódolt, ‘jelszó’ jelszavat (sose használjunk ilyen egyszerű jelszavat!):

felhasznalo:$apr1$5Jstld9s$KTCLRjvNY7Q/rHKmuQ.yn1

A fájl elkészítése és mentése után meggyőződhetünk róla, hogy lapunk megnyitásakor előugrik egy jelszóbekérő mező. A generátorban megadott adatokkal beléphetünk a (még mindig fertőzőtt) oldalunkra.

Ha nem tudjuk ezeket a lépéseket elvégezni, szinte az összes CMS-nél (Content Management System – Tartalomkezelő Rendszer) működik a megoldás, ha az index.php fájlt átnevezzük, például index-backup.php -ra. Mivel ez a fájl hívja meg a rendszer betöltéséhez szükséges komponenseket, ezzel is megakadályozzuk, hogy látogatóink sérült állományokat töltsenek be.

Második lépés – hibaoldal készítése

Ha úgy látjuk, hogy a fertőzés elhárítása sok időt (pár óra, akár pár nap) vesz igénybe, lehetőség szerint tájékoztassuk a lapunkra látogatókat a leállásról. Próbáljuk kerülni a vírusfertőzés megnevezését, hogy lapunk reputációját ne rontsuk le. Használjuk a Weboldalunk karbantartás miatt átmenetileg nem elérhető, szíves türelmét kérjük mondatot, vagy ehhez hasonlót.

Természetesen, ha lezártuk az éles weblapunkat, ez a szöveg sem fog megjelenni.

Használjunk teszt-tárhelyet, kérjünk egy karanténozott hosztingot szolgáltatónkról (vagy a PrestaWeb.Space-től), vagy telepítsünk lokális web szervert a számítógépünkre, és másoljuk át ide teljes weboldalunkat (minden fájlt és a teljes adatbázist), az eredeti helyről töröljük, és helyezzük el a hibaoldalt.

Megoldás lehet a teljes weboldal egy mappába helyezése és azon mappának lezárása is. Így tárhelyünk gyökér mappájában elhelyezhetjük a hibaoldalunkat és a fertőzött kód sem jut el látogatóinkhoz.

Harmadik lépés – a károkozók törlése

A tüzet körbekerítettük, de korántsem oltottuk el. Most következik munkánk legfontosabb része: ki kell derítenünk, hogy melyik fájl, mappa lehet fertőzött.

Nyissuk meg a weblap fájljait tartalmazó mappát és vessük össze azokat egy még vírusmentes mentés verziójáéval, vagy emlékezetünkkel. Állítsuk át a megjelenítést a fájl módosításának dátuma szerint, így láthatjuk, hogy milyen fájlok lettek módosítva vagy hozzáadva.

Kereshetünk további nyomokat a tárhely ACCESS és ERROR logfájljai között is.

Ha bármi olyat találunk, ami nem oda való, töröljük! Természetesen készítsünk mentést a beavatkozás előtt!

Győződjünk meg róla, hogy teljesen eltávolítottuk-e a károkozót. Ha nem vagyunk biztosak a munkánkban, vagy nem találtunk semmit, mindenképpen keressünk meg egy szakembert. Mi is szívesen segítünk, írjon nekünk bátran.

Negyedik lépés – a hiba okának felderítése

Miután eltávolítottuk a fertőzést, ki kell derítenünk, hogy hogyan jutottak be weboldalunkra.

Végezzünk el pár keresést fórumokon, kis “szerencsével” más is járt már így, esetlegesen tudja is a hiba okát.

Ha nem találunk semmit, kezdjük a saját számítógépünkkel. Győződjünk meg róla, hogy az nem vírusfertőzött. Ingyenesen segít nekünk ebben az ECO Verband szoftvere: https://www.botfrei.de/de/eucleaner/index.html

Ha vírusos a számítógépünk és jelszavainkat kódolás nélkül tároló programot használunk, elképzelhető, hogy ennyi a megoldás és egyszerűen csak ellopták az FTP azonosítónkat.

Kerüljük a Total Commander használatát főként nyitott számítógépen vagy vírusos környezetben!

Ellenőrizzük a moduljaink és rendszerünk állapotát. Ha elérhetők frissítések, alkalmazzuk őket.

A legtöbb esetben egy ellenőrizetlen, hibás, vagy elavult modulon (pluginen, kiegészítőn) keresztül veszik át hackerek a weblapunk feletti irányítást.

Különösen veszélyesek a sokéve a neten keringő ingyenes, régóta nem frissített modulok és témák.

Változtassuk meg az összes, a weblaphoz köthető jelszavunkat:

  • Admin bejelentkezés
  • FTP felhasználó
  • Adatbázis felhasználó
  • E-mail jelszavak
  • stb.

Mindig válasszunk megfelelő erősségű jelszót: https://strongpasswordgenerator.com

screen-shot-2016-10-10-at-00-27-03

Ha meggyőződtünk róla, hogy elhárítottuk a problémát, másoljuk vissza weboldalunkat, és engedélyezzük annak elérését.

screen-shot-2016-10-10-at-00-18-58

Futtassunk le egy (online) malware checket, hogy meggyőződjük webhelyünk vírusmentességéről.

Sokszor lehetetlennek és elhanyagolhatónak tartjuk az összes komponens frissítését, pedig ez elengedhetetlen ahhoz, hogy minimalizáljuk a hasonló támadások bekövetkeztét.

Ha már megtörtént a baj, próbáljuk meg minél hamarabb, minél kevesebb károkozással helyrehozni azt. Amennyiben ügyfeleink adatai támadók kezébe kerültek, keressük fel jogi képviselőnket az ügy tisztázása érdekében.