Vírusírtási teendők

A több ezer weboldal üzemeltetése során szerzett tapasztaltaink alapján feltételezzük, hogy a weboldalad alkotóelemei olyan építőkockák lehetnek, melyek ingyenesen, vagy esetenként kisebb pénzösszegért bárki számára rendelkezésre állnak. Ilyenek például a népszerű tartalomkezelő rendszerek (Joomla, WordPress, Drupal stb.), illetve a hozzájuk telepíthető sablonok és különféle kiegészítő bővítmények. Ezekből az összetevőkből világszerte nagyon sokan építenek weboldalakat. Emiatt a bennük rejlő biztonsági hibákat, kiskapukat előszeretettel kutatják fel és használják ki azok, akik valamiféle rosszindulatú tevékenységet végeznek az interneten. A sebezhetőségeket kihasználva ártalmas kódokat tartalmazó fájlokat helyeznek el, vagy meglévő fájlokba építik bele a kártékony kódrészleteiket, azaz vírusossá teszik őket.

Ezek a kódok folyamatosan – vagy távvezérelve – főként az alábbi tevékenységeket végzik:

  • tömeges kéretlen (SPAM) levelet küldhetnek szerte a világba a Te oldalad nevében;
  • különféle támadásokat indíthatnak más weboldalak ellen;
  • az oldalad részleges, vagy teljes leállását okozhatják;
  • az oldalad részleges, vagy teljes tartalmi módosítását okozhatják;
  • tárhelyedről idegen kezekbe juttathatnak bizalmas adatokat;
  • megfertőzhetnek más weboldalakat;
  • okozhatnak szerverlassulásokat, leállásokat;
  • idegenek számára végezhetnek adathalász (phishing) tevékenységet;
  • stb…

Az esetek elenyésző számában tapasztaljuk, hogy a webtárhely FTP belépési adatainak birtokában juttatják fel a tárhelyre a kártékony kódot, ettől függetlenül javasoljuk a bonyolult, nem olvasható/értelmezhető jelszavak használatát és óva intünk a kétes forrásból származó FTP kliensek használatától.

Mivel számtalan összetevőből építhető fel egy weboldal, azok sebezhetősége nagyon sokrétű és változó, ezért az ilyen jellegű támadások pontos idejét, legfőképpen annak módját kimutatni nem áll módunkban.

Az FTP belépéseket és az azon végzett átviteleket (xferlog) limitált ideig naplózzuk.

Az otthoni/irodai számítógépekre készített víruskereső alkalmazások (Eset, Avast, Symantec, F-Secure, Panda, Kaspersky, stb.) a weboldalba épült fertőzéseket nem, vagy csekély mértékben képesek csak felismerni! Más jellegű kórokozók tudnak fertőzni egy munkaállomáson és mások egy weboldalon.

Egy weboldalon egy kártékony kódrészlet okozhat olyat, hogy egy idegen oldalt nagyon gyakran „látogat”, több ezer másik – szintén feltört – weboldallal együtt, így az eredmény a látogatott weboldal szemszögéből egy túlterheléses támadássorozatot jelent. Ezt a tevékenységet nem mutatják ki általános víruskeresők, mint ahogyan azt sem, ha a weboldalad idegen kezekbe juttatja ki saját (vagy felhasználóid) által begépelt jelszavaid – vagy több tízezer e-mail címre küld ki (pl. potencianövelőről) reklámlevelet.

Szervereinken ütemezetten futtatunk le olyan kódok után kutató alkalmazásokat, melyek kimondottan a weboldalakba épült rosszindulatú kódokat, vírusokat keresnek. Ezek a már ismert, kártékony tartalmakat találják meg, lehetséges biztonsági rések után a weboldaladban nem kutatnak.

Figyelem! Ha a tárhelyeden több weboldal is működik, úgy akár egyetlen fertőzött weboldal is képes megfertőzni a többi, maga mellett lévő weboldalt! Egy tárhelyen belül ugyanis azonos a felhasználói jogosultság. Egy fertőző, önmagát reprodukáló kód nagyon könnyen vált könyvtárat, ezáltal a tárhely más weboldalaiba is könnyen elterjed. Fontos kiemelnünk, hogy ez csak adott tárhelyen belül lehetséges, azonos kiszolgálón más tárhelyről nem érkezhet ilyen fertőzés!

A fertőzött állományok által végzett rosszindulatú tevékenységek elszenvedői látják, hogy az esetek többségében mely domain névről, illetve mely szerverről érkezik a támadás. A weboldaladról induló támadás legalább annyira kellemetlen lehet Neked, mint számunkra, mert a mi szerverünk működik ebben közre.

A DiMa.hu Kft. mindent megtesz annak érdekében, hogy szerverei ne legyenek áldozatai, de forrásai sem az ilyen jellegű rosszindulatú tevékenységeknek, ezért egyes esetekben a tárhely kimenő forgalomának teljes tiltására és a szolgáltatás ideiglenes felfüggesztésére is sor kerülhet.

Tennivalók

Fertőzött állományokat tartalmazó webtárhelyet nem áll módunkban üzemeltetni!
Kérünk, hogy szerverünkön a tiltott WWW Domain feloldásával és/vagy a betömörített weboldalad kitömörítésével ne fáradozz. Töltsd le azt saját webfejlesztői környezetedbe, végezd el ott a szükséges javításokat, frissítéseket, majd az új tartalmat betömörítve (tgz, tar.gz, rar vagy zip formátumban) töltsd fel tárhelyed www könyvtárába!

A munka elkészültéről szíveskedj tájékoztatni minket az eredeti értesítő levelünkre válaszolva! Mi munkaidőben – amint kapacitásunk lehetővé teszi – kitömörítjük, fertőzéseket keresve rendszerünkkel átvizsgáljuk, negatív eredmény esetén az oldal tartalmát visszaállítjuk.

Javaslataink

Kérünk, tedd meg a szükséges lépéseket annak érdekében, hogy ez a fertőzés a jövőben ne ismétlődhessen meg újra!

A weboldal korábbi, a fertőzést megelőző állapotára való visszaállítása önmagában egyáltalán nem jelent megoldást, hiszen azt már valahogy meg tudták fertőzni. A visszaállítás után ez újra elő fog fordulni – eddigi tapasztalataink szerint – néhány órán belül. Ennek egyszerű az oka: a biztonsági hibák feltérképezését, a kódok bejuttatását az erre készített rosszindulatú programok automatikusan végzik.

A fertőzött fájlok puszta törlése, valamint a fájlokból a fertőzött sorok eltávolítása szintén nem jelent megoldást, az előző ponthoz hasonlóan így az újrafertőzés lehetősége továbbra is megmarad, tehát a többi ajánlásunkat is végezd el! Légy körültekintő: amennyiben a fertőzés egy olyan fájlban szerepel, mely része a honlapnak (tehát nem csak egy kártékony fájl), annak törlése a weboldal működését is megbéníthatja. Ilyenkor a fájl tartalmát alaposan átvizsgálva a fájlba épült kódrészletek szakszerű eltávolítására van szükség!

A korábban használatos jelszavaid változtasd meg! A jelszavak legyenek legalább nyolc karakter hosszúak, tartalmazzanak kis- és nagybetűket, valamint számokat. Ne legyenek könnyen kitalálhatóak, megfejthetőek. Az új jelszavakat böngésződben, FTP kliens alkalmazásában ne jegyeztesd meg! Számos munkaállomásokon terjedő vírus, trójai alkalmazás képes idegen kezekbe juttatni az elmentett jelszavakat.

A weboldalad összetevőit, a tartalomkezelő-rendszert, annak sablonjait és bővítményeit a lehető legújabb verzióra frissítsd fel! Amennyiben valamely összetevőhöz néhány hónapja nem jelent meg újabb verzió, keress helyette más készítőtől származó, funkció azonos összetevőt.

A frissítések telepítésére azért van szükség, mert a biztonsági hibákat a készítők nagyon gyakran kijavítják, amit egy új verzió kiadásában tesznek elérhetővé. Ha egy összetevőből egy ideje már nem jelent meg újabb verzió, az gyakran azt jelenti, hogy a fejlesztők már nem fejlesztik tovább, vagy a hibák javításával nem foglalkoznak kellő mértékben. Kerüld az ilyen összetevők használatát!

A nem használt, esetleg inaktívvá tett összetevőket töröld! A nem használatos összetevő – még inaktív állapotban is – felesleges kockázatot jelent.

A weboldalon esetlegesen szereplő beviteli lehetőségek (cikk alatti hozzászólás, üzenetküldés stb.) mellé telepíts CAPTCHA modult! (https://hu.wikipedia.org/wiki/Captcha). Ez az üzenet elküldése előtt egy mindig változó grafikus képen levő szöveg begépelésére is utasítja a felhasználót – a kéretlen programok egy része e nélkül ilyen felületen is bejuthat.

Telepíts és állíts be valamilyen biztonsági bővítményt! Nagyon sok támadástól, fertőzéstől, behatolási kísérlettől óvhatod meg weboldalad. WordPress-hez jó választás lehet a Wordfence Security bővítmény.

Rendszerünk nem biztos, hogy minden fertőzött fájlt megtalál! Ezért nagyon fontos, hogy egy vírusfertőzés után a teljes weboldal tartalmát tüzetesen átvizsgálja az oldal készítője, az idegen fájlokat, könyvtárakat felismerje, eltávolítsa.