Hogyan történhetett?
Több ezer weboldal üzemeltetése során tapasztaltak alapján az Ön weboldalának alkotóelemei olyan építőkockák lehetnek, melyek ingyenesen, vagy esetenként kisebb pénzösszegért bárki számára rendelkezésre állnak. Ilyenek például a népszerű tartalomkezelő rendszerek (Joomla, Worpdress, Drupal, stb), illetve a hozzájuk telepíthető sablonok és különféle kiegészítő bővítmények. Ezekből az összetevőkből világszerte nagyon sokan építenek weboldalakat. Emiatt a bennük rejlő biztonsági hibákat, kiskapukat előszeretettel kutatják fel és használják ki azok, akik valamiféle rosszindulatú tevékenységet végeznek az interneten. A sebezhetőségeket kihasználva ártalmas kódokat tartalmazó fájlokat helyeznek el, vagy meglévő fájlokba építik bele a kártékony kódrészleteiket.
Ezek a kódok aztán folyamatosan, vagy távvezérelve főként az alábbi tevékenységeket végzik:
– tömeges kéretlen (SPAM) levelet küldhetnek szerte a világba;
– indíthatnak különféle támadásokat más weboldalak ellen;
– okozhatják az Ön oldalának részleges, vagy teljes leállását;
– okozhatják az Ön oldalának részleges, vagy teljes tartalmi módosítását;
– az Ön tárhelyéről idegen kezekbe juttathatnak bizalmas adatokat;
– megfertőzhetnek más weboldalakat;
– okozhatnak szerver lassulásokat, leállásokat;
– idegenek számára végezhetnek adathalász (phishing) tevékenységet;
– stb…
Az esetek elenyésző számában tapasztaljuk, hogy a webtárhely FTP belépési adatainak birtokában juttatják fel a tárhelyre a kártékony kódot.
Mivel számtalan összetevőből építhető fel egy weboldal, az összetevőknek sebezhetősége nagyon sokrétű és változó, ezért az ilyen jellegű támadások pontos idejét, legfőképpen annak módját kimutatni nem áll módunkban.
Naplózni az FTP belépéseket, fájl létrehozásokat és módosításokat tudjuk.
Tudnia kell, hogy a munkaállomásokra készített víruskereső alkalmazások (Eset, Avast, Symantec, F-Secure, Panda, Kaspersky, stb.) a weboldalba épült fertőzéseket nem, vagy csekély mértékben képesek csak felismerni! Más jellegű kórokozók tudnak fertőzni egy munkaállomáson és mások egy weboldalon.
Egy weboldalon egy kártékony kódrészlet okozhat olyat, hogy egy idegen oldalt nagyon gyakran „látogat”, több ezer másik – szintén feltört – weboldallal együtt, így az eredmény a látogatott weboldal szemszögéből egy túlterheléses támadássorozatot jelent. Ezt a tevékenységet nem mutatják ki általános víruskeresők, mivel ezek nem vírusokra jellemző tevékenységek. Mint ahogyan azt sem, ha az Ön weboldala idegen kezekbe juttatja ki az Ön (vagy felhasználói) által begépelt jelszavait – vagy több tízezer e-mail címre küld ki potencianövelő reklámleveleket.
Szervereinken ütemezetten futtatunk le olyan kódok után kutató alkalmazásokat, melyek kimondottan a weboldalakba épült rosszindulatú kódokat, vírusokat keresnek.
Felhívjuk figyelmét, hogy ha az Ön tárhelyén több weboldal is működik, úgy akár egyetlen fertőzött weboldal is képes megfertőzni a többi, maga mellett lévőt. Fontos kiemelnünk, hogy ez csak egyazon tárhelyen belül lehetséges, mást tárhelyről nem érkezhet ilyen fertőzés!
A fertőzött állományok által végzett rosszindulatú tevékenységek elszenvedői látják, hogy az esetek többségében mely domain névről, illetve mely szerverről érkezik a támadás. Az Ön, vagy az Ön vállalkozásának weboldaláról látszódó támadás Önnek legalább annyira kellemetlen lehet, mint számunkra az, hogy a mi szerverünk működik ebben közre.
Fontos tudni, hogy a DiMa.hu Kft. mindent megtesz annak érdekében, hogy szerverei ne legyenek áldozatai, de forrásai sem az ilyen jellegű rosszindulatú tevékenységeknek.
Tennivalók
Mint ahogy korábban is írtuk, fertőzött állományokat tartalmazó webtárhelyet nem áll módunkban üzemeltetni! Kérjük, hogy szerverünkön a betömörített weboldalának kitömörítésével ne fáradozzon, töltse le azt saját webfejlesztői környezetébe. Végezze el ott a szükséges javításokat, frissítéseket, majd az új tartalmat betömörítve (tgz, tar.gz, rar vagy zip formátumban) töltse fel tárhelyének www könyvtárába.
A munka elkészüléséről minket erre a levélre válaszolva, írásban tájékoztatni szíveskedjen! Mi munkaidőben – amint kapacitásunk lehetővé teszi – kitömörítjük, fertőzéseket keresve rendszerünkkel átvizsgáljuk, negatív eredmény esetén az oldal tartalmát visszaállítjuk.
Javaslataink
Kérjük, tegye meg a szükséges lépéseket annak érdekében, hogy ez a fertőzés a jövőben ne ismétlődhessen meg újra!
Ezzel kapcsolatban tennénk néhány javaslatot:
– A weboldal korábbi, a fertőzést megelőző állapotára való visszaállítása önmagában egyáltalán nem jelent megoldást, hiszen azt már valahogy meg tudták fertőzni. A visszaállítás után ez újra elő fog fordulni – eddigi tapasztalataink szerint – néhány órán belül. Ennek egyszerű az oka: a biztonsági hibák feltérképezését, a kódok bejuttatását erre készített programok automatikusan végzik.
– A fertőzött fájlok puszta törlése szintén nem jelent megoldást, az előző ponthoz hasonlóan az újra fertőzés lehetősége továbbra is megmarad, a többi ajánlásunkat is végezze el! Legyen körültekintő, amennyiben a fertőzés egy olyan fájlban szerepel, mely része a honlapnak (tehát nem csak egy kártékony fájl), annak törlése a weboldal működését is megbéníthatja. Ilyenkor a fájl tartalmát alaposan átvizsgálva a fájlba épült kódrészletek szakszerű eltávolítására van szükség!
– A korábban használatos jelszavait változtassa meg! A jelszavak legyenek legalább nyolc karakter hosszúak, tartalmazzanak kis- és nagybetűket, valamint számokat. Ne legyenek könnyen kitalálhatóak, megfejthetőek. Az új jelszavakat böngészőjében, FTP kliens alkalmazásában ne jegyeztesse meg! Számos munkaállomásokon terjedő vírus, trójai alkalmazás képes idegen kezekbe juttatni az elmentett jelszavakat.
– A web oldalának összetevőit, tartalomkezelő rendszert, annak sablonjait és bővítményeit a lehető legújabb verzióra frissítse fel! Amennyiben valamely összetevőhöz néhány hónapja nem jelent meg újabb verzió, keressen helyére más készítőtől származó, funkcióazonos összetevőt.
A frissítések telepítésére azért van szükség, mert a biztonsági hibákat a készítők nagyon gyakran kijavítják, amit egy új verzió kiadásában tesznek elérhetővé. Ha egy összetevőből egy ideje már nem jelent meg újabb verzió, az gyakran azt jelenti, hogy a fejlesztők már nem fejlesztik tovább, vagy a hibák javításával nem foglalkoznak kellő mértékben. Kerülje az ilyen összetevők használatát!
– A nem használt, esetleg Ön által inaktívvá is tett összetevőket törölje le! A nem használatos összetevő – még inaktív állapotban is – felesleges kockázatot jelent.
– A weboldalon esetlegesen szereplő beviteli lehetőségek (cikk hozzászólás, üzenet küldés, stb) mellé telepítsen captcha modult. Ez az üzenet elküldése előtt egy mindig változó grafikus képen levő szöveg begépelésére is utasítja a felhasználót – a kéretlen programok egy része e nélkül ilyen felületen is bejuthat.
– Telepítsen és állítson be valamilyen biztonsági bővítményt! Nagyon sok támadástól, fertőzéstől, behatolási kísérlettől óvhatja meg weboldalát. WordPresshez jó választás lehet a Wordfence Security bővítmény.
Rendszerünk nem biztos, hogy minden fertőzött fájlt megtalál! Ezért nagyon fontos, hogy egy vírusfertőzés után a teljes weboldal tartalmát tüzetesen átvizsgálja az oldal készítője, az idegen fájlokat, könyvtárakat felismerje, eltávolítsa.
