Prišlo je do vdora v mojo spletno stran. Kaj moram storiti?
Opazili ste, ali pa smo vas obvestili, da je prišlo do vdora v vašo spletno stran oziroma uporabniški račun. Tukaj je nekaj splošnih nasvetov ter navodil, kako poiskati izvor vdora ter preprečiti ponovnega.
V primeru, da z nami nimate sklenjenega letnega vzdrževanja spletne strani oziroma navodil ne razumete, predlagamo, da obvestite svojega programerja!
1) Zakaj so vdrli ravno v mojo spletno stran?
Verjetno niso ciljali ravno vas osebno. Če uporabljate razširjene skripte (CMSje) kot so WordPress, Joomla, razni phpBB forumi in podobno, gre najverjetneje za splošno znano ranljivost v kodi, ki jo napadalci izkoristijo tako, da iščejo naključne ranljive spletne strani. Verjetno ste se povsem slučajno znašli kot tarča.
2) Kako so vdrli v mojo spletno stran?
Najpogosteje se vdori zgodijo preko ranljivosti dela kode, ki jo imate na spletni strani. Ponavadi gre za kakšen modul ali plugin (vtičnik), slabo spisan template (temo ali obliko spletne strani) ali pa je ranljivost v samem jedru spletne strani.
Drugi najpogostejši vzrok je ukradeno geslo za dostop do FTPja ali spletne strani. Če ste imeli izredno enostavno geslo je lahko težava povezana tudi s tem. Vedno uporabljajte varna gesla, ki vključujejo male/velike črke ter posebne znake, sestavljeni pa naj bodo z vsaj 8 znakov. Nikoli ne uporabljajte besed ali zaporednih števil. Če je geslo bilo dovolj varno, je velika možnost, da imate na računalniku, od koder dostopate do FTP ter spletne strani virus ali črva. Ta vam lahko ukrade gesla, ter jih pošlje napadalcem, ki se nato preprosto prijavijo z vašimi podatki in naložijo svoje datoteke ali vam jih izbrišejo. Še posebej enostavno je ukrasti gesla s programov kot so Filezilla FTP client in podobni, ki jih shranjujejo tudi brez da vas opozorijo!
3) Zakaj je pomembno, da takoj rešimo težavo?
Ni težava le to, da vam ne deluje spletna stran. Pravzaprav je to še najmanjša težava. Napadalci lahko na vašo spletno stran naložijo zlonamerno kodo, ki okuži druge računalnike, tudi vašega. Lahko pa naložijo tudi datoteke, ki vašo spletno stran predstavljajo kot kakšno drugo, npr. banko (t.i. Phishing), ter preko nje kradejo občutljive bančne podatke ter posledično velike vsote denarja. To pomeni, da ste lahko krivi za vdore v računalnike ter krajo osebnih, bančnih podatkov ter denarja! Lahko pa ste preko svoje spletne strani celo sami žrtev virusov in trojanskih konjev, ki ukradejo vaše bančne podatke ter zaupne informacije.
Pogosto se tudi zgodi, da preko vaše spletne strani pričenjajo s pošiljanjem masovne neželjene pošte (spam) ki lahko onemogoči pošiljanje pošte nekaj tisoč uporabnikom, ki se z vami nahajajo na istem strežniku ter tako povzročajo veliko poslovno škodo. Resnično želite biti odgovorni?
4) Kaj storiti takoj ko zaznamo vdor na spletno stran?
Če ste reseller, morate takoj začasno suspendirati svojega uporabnika. Če ste uporabnik sami, smo vas verjetno že suspendirali mi. Nato sledimo splošnim korakom:
a) preverimo vse računalnike, s katerih smo dostopali do spletne strani ali FTP z večimi antivirusnimi programi ter pobrišemo vse viruse in črve, ki bi morda lahko ukradli gesla ter druge podatke
b) ko smo popolnoma prepričani da je računalnik „čist“, v primeru resellerja zamenjamo vse dostopne podatke (geslo nadzorne plošče, mysql geslo, geslo e-poštnih računov, ftp geslo). Če ste uporabnik, sedaj prosite za odstranitev suspenza ter opravite isti postopek spremembe vseh gesel ter dostopnih podatkov. Gesel nikoli ne shranjujte v FTP programe ali brskljalnike (Firefox, Opera, Chrome, IE)
c) v logih preverimo kako so napadalci vdrli v račun oziroma, ali so vdrli preko spletne strani (iščemo sumljive dostope ter POST). Logi so na voljo v home direktoriju (/home/uporabnik ali /home/uporabnik/domains/domena.si/.
d) odstranimo spletno stran s strežnika, prenesemo podatke na računalnik ter izbrišemo vsebino na strežniku. Hkrati preverimo katere verzije skript/pluginov/modulov smo imeli nameščene in ali so morda starejši od 6 mesecev. Če so starejši, je lahko to vzrok vdora, skoraj zagotovo so namreč ranljivi.
e) naložimo staro rezervno kopijo ali sveže datoteke. V primeru stare rezervne kopije TAKOJ posodobimo vse skripte/plugine/module ter template z novejšimi verzijami. Če novejših ni, je bolje da module/plugine odstranimo ter jih zamenjamo s primerljivimi ki imajo redne posodobitve. Poskusite uporabljati samo uradne nadgradnje/module/plugine, saj imajo ponavadi ti redne posodobitve, ostali pa zelo redko kdaj. Zamenjamo dostopna gesla za prijavo v spletno stran.
Rezervne kopije sicer hranimo na strežniku, a ponavadi le za zadnji dan, zato morate sporočiti takoj po vdoru, sicer se lahko čista kopija prepiše z okuženo.
V primeru, da starih rezervnih kopij nimate, spletne strani pa ne znate narediti s posodobljenimi aplikacijami vam lahko poskusimo „očistiti“ spletno stran proti plačilu. V tem primeru nam to javite takoj in ne spreminjajte vsebine ter ne premikajte datotek.
5) Zakaj ni dovolj, da samo pobrišemo datoteke, ki jih je naložil napadalec?
S tem zadevo rešite samo za kratek čas. Potrebno je namreč najti ter odpraviti vir okužbe, torej ranljivost, preko katere je do vdora prišlo. Drugače se težava ponovi, včasih že naslednji dan. Poleg tega je zelo težko vedeti, kam vse je napadalec naložil zlonamerne datoteke. Ponavadi so te dobro skrite v podmapah ter skritih mapah.
6) Zakaj nam ne uredite tega vi brezplačno oziroma kdo je kriv za vdor?
Vaša spletna stran je vaša skrb in odgovornost. Naša skrb so posodobitve strežnika in njegovih aplikacij ter čim boljša zaščita, vendar je ta nična v primeru ranljivosti vaše spletne strani – vsaj na nivoju vašega uporabnika. Skrb za varnost je deljena med varnostjo strežnika ter varnostjo kode (spletne strani) zato morate redno posodabljati spletno stran ter pripadajoče, še posebej v primeru splošno razširjenih skript (Joomla, WordPress, phpBB, Magento, Prestashop, Opencart …)
Popravljanje oz. „čiščenje“ vdorov v vašo spletno stran ni zajeto v ceno izdelave spletne strani in spletnega gostovanja in ni naša naloga, zato za izvajanje tega posebej zaračunamo delovne ure. V primeru da potrebujete dodatno pomoč, jo je žal potrebno posebej doplačati.
7) Kaj lahko storim, da se težava sploh ne pojavi ali ne ponovi?
– redno posodabljajte svojo spletno stran ter pripadajoče module, vtičnike, plugine in podobne dodatke
– uporabljajte le uradne nadgradnje, dodatke, oblike (template) in preverjene skripte, ki zagotavljajo posodobitve
– nikoli ne uporabljajte “nulled” ali “brezplačnih” skript, saj te ponavadi vsebujejo “backdoore” ali “zadnja vrata”, s čimer napadalci enostavno pridejo do vaše spletne strani
– vedno uporabljajte zahtevna gesla z malimi, velikimi črkami, številkami ter posebnimi znaki
– nikoli ne shranjujte gesel v noben program
– ne omogočajte dostope osebam za katere niste prepričani, da jih ne bodo zlorabili
– uporabljajte požarne zidove na računalniku ter redno preglejujte računalnike za viruse in črve (vsaj 1x dnevno)
Ker je boljša preventiva kot kurativa vas prosimo, da redno skrbite za posodobitve in onemogočite napadalcem, da sploh pride do vdora.