Ataki i szukanie luk w stronach internetowych jest tak stare, jak Internet. Regularnie jesteśmy informowani o kolejnych włamaniach, czy kradzieżach danych z dużych, popularnych serwisów internetowych. Skoro największe portale padają ofiarą hackerów, jak ma sobie poradzić z tym problemem właściciel niewielkiej firmy, który próbuje dopiero zaistnieć w sieci? W tym artykule wytłumaczę, jak dowiedzieć się o zainfekowaniu strony w możliwie najkrótszym czasie, jakie kroki naprawcze należy podjąć oraz na jakie ryzyko są narażone strony internetowe, które zostały zainfekowane złośliwym oprogramowaniem (malware).
Profilaktyka
Łatwiej zapobiegać, niż leczyć. Ta zasada sprawdza się nie tylko w przypadku naszego zdrowia, ale również zdrowia naszej strony internetowej. Warto więc podjąć kilka kroków, żeby zminimalizować ryzyko nieautoryzowanych modyfikacji strony. Przede wszystkim warto dodać stronę internetową do Google Search Console (dawne Google Webmaster Tools). Google regularnie przegląda strony dodane do Search Console i w przypadku wykrycia złośliwego oprogramowania zostaniemy o tym poinformowani drogą mailową.
W przypadku wykorzystywania na stronie internetowej popularnych systemów CMS (takich jak WordPress, Joomla, czy Drupal) należy pamiętać o konieczności regularnej aktualizacji systemu CMS oraz wszystkich wykorzystywanych wtyczek. Bardzo często zdarza się bowiem, że po ujawnieniu luk bezpieczeństwa powstają exploity (skrypty pozwalające wykorzystać luki w celu zainfekowania strony), dzięki którym nawet mniej doświadczeni użytkownicy są w stanie wyszukać i zainfekować stronę internetową posiadającą nieaktualną wersję CMS lub wtyczki.
Strona została zainfekowana. Jakie są konsekwencje?
Konsekwencje niestety są dotkliwe. Jeżeli Google wykryje złośliwe oprogramowanie na naszej stronie umieści w wynikach wyszukiwania komunikat “Ta witryna może być zaatakowana przez hakerów” lub “Ta witryna może wyrządzić szkody na Twoim komputerze.”. Skutecznie zniechęcą one zdecydowaną większość użytkowników.
Jakby tego było mało, wyszukiwarka Google oraz przeglądarki Chrome i Firefox współpracują z serwisem StopBadware.org wykrywającym malware na stronach internetowych. Jeżeli wystąpi taka sytuacja, przy każdej próbie wejścia na zainfekowaną stronę (bez znaczenia, czy będzie to przejście z wyników wyszukiwania, czy wejście bezpośrednie) pojawi się kolejny komunikat informujący o złośliwym oprogramowaniu (“Strona zgłoszona jako dokonująca ataków”) i ograniczający do minimum dostęp do strony.
Jeszcze do niedawna na stronie z komunikatem nie było bezpośredniego odnośnika do strony docelowej, ostatnio taki link został wprowadzony. Oznacza to właściwie całkowitą utratę ruchu na stronie. Oprócz tego komunikaty o możliwości wyrządzenia szkód na komputerze użytkownika mogą również oznaczać spadek wiarygodności serwisu w dłuższym okresie czasu.
Jakie podjąć działania?
Przede wszystkim należy jak najszybciej usunąć złośliwe oprogramowanie ze strony. Zazwyczaj jest to zamaskowany kod php (warto przeszukać kod strony pod kątem wystąpienia funkcji eval, base64_decode), javascript lub kod html (np. iframe) umieszczany w plikach, które prawdopodobnie będą najczęściej wczytywane przez użytkowników (takie pliki jak index.html, index.php, header.php, footer.php, itp.). Jak najszybciej trzeba również zmienić dane dostępowe do serwera FTP, na którym umieszczona jest zainfekowana strona. Wykradzione hasła są częstym powodem zainfekowania stron.
Należy również przeskanować programem antywirusowym komputery, w których mamy zapisane hasła do serwera FTP, na którym znajduje się strona. Trzeba sprawdzić, czy mamy zapisane hasło w popularnych klientach FTP, takich jak Total Commander, czy Filezilla i jeżeli tak jest, usunąć je. Nie warto przechowywać zapisanych haseł w tego typu programach. Bardzo często zdarza się bowiem, że pliki zawierające zapisane hasła są wykradane przy zainfekowaniu komputera wirusami.
Jeżeli jesteśmy już pewni, że strona jest wyczyszczona z malware i nie grozi nam ponowne zainfekowanie, należy zgłosić stronę do ponownego rozpatrzenia w Google Search Console. Stosowny formularz znajdziemy w zakładce “Problemy dotyczące bezpieczeństwa”. Po pozytywnym zweryfikowaniu zgłoszenia zniknie z wyników wyszukiwania komunikat mówiący o wystąpieniu malware na stronie, a my zostaniemy poinformowani mailowo o anulowaniu ręcznych działań antyspamowych:
