Egyre gyakoribb jelenség az interneten, amikor a “Bejelentett támadó webhely” feliratba ütközünk. Ezen bejegyzéseben a megelőzésről és a már kialakult probléma elhárításáról lesz szó.
UPDATE: A cikk bármilyen (FTP-ről) fertőzött weboldalhoz segítséget nyújt, ne tévesszen meg senkit a cím. Nem feltétlen szerepel egy oldalon a “Bejelentett támadó webhely” címke, lehet, hogy mi vesszük észre a fertőzést, vagy a víruskereső/tűzfal jelez számunkra. Ebben az esetben is az alábbi megoldások javasoltak.
Miről is van szó?
Az ilyen jellegű támadások esetén nem a honlapot futtató szerver fertőződik meg, hanem a weboldalhoz hozzáféréssel rendelkező felhasználó számítógépe.
Mivel az FTP kódolatlan csatornán kommunikál, ezért bejelentkezés közben az ügyfélgépen lévő vírus naplózza a bejelentkezési azonosítót és jelszót, majd ezt elküldi egy ismeretlen helyre, vagy már eleve ellopja a merevlemezre lementett kódolatlan formában tárolt jelszót. Pár nappal ezután általában megtörténik a tárhely feltörése (a már említett módon megszerzett jelszó birtokában), külföldi (többnyire orosz, brazil, japán) szerverekről módosítják a weboldal (általában) index.php/.html, main.*, default.*, auth.* és további fájljait 2-3 könyvtár mélységig (általában a kód <body> után közvetlenül, vagy a </body> része elé kerül be a káros kód, dekódolt JavaScript, vagy egyéb HTML kódok, pl. 0px-es iframe, stb. képében). Érdemes mégegyszer tisztázni, hogy a weblap módosítását nem a fertőzött ügyfél-számítógép végzi, hanem mindig egy harmadik (általában külföldi) szerver.
Mivel a jelszavunk kikerül és egy idő után tőlünk függetlenül történik a saját tárhelyünk (vissza)fertőzése, ezért az alább javasolt pontok mindegyikét érdemes betartani.
Megelőzés:
- Először is válasszunk megbízható tárhelyszolgáltatót, olyat, amely kellő védelmet nyújt honlapjaink számára
- Az FTP jelszavainkat lehetőleg ne tároljuk le az FTP programban, a Total Commanderben pedig különösképp óvakodjunk ettől a lehetőségtől (az egyik legismertebb FTP program, ezért a legtöbb vírus erre “szakosodik”)
- Ha lehetőségünk van rá, használjunk SSH, vagy SFTP protokollt az FTP bejelentkezéshez. (FTP és Telnet pedig kerülendő.)
- Jelszavunk kellően bonyolult és máshol ne használt legyen
- Használjunk jogtiszta és naprakész víruskereső és tűzfalvédelmi megoldást
- Az FTP gyökerébe helyezzünk el egy .ftpaccess fájlt (Figyelem! Előtte kérdezzük meg tárhelyszolgáltatónkat, hogy engedélyezi-e, nem-e magunkat is kizárjuk ezzel!), a következő tartalommal (természetesen csak akkor, ha Magyarországról csatlakozunk):
<Limit ALL>
Allow From .hu
DenyAll
</Limit>
Ez annyit tesz, hogy az FTP kapcsolatra csak magyarországi IP címmel rendelkező szerverről enged hozzáférést. A legtöbb fertőzést ez a fájl megoldja (mivel a feltörés külföldi gépekről érkezik), de ez csak tüneti kezelés! - Mindig végezzünk biztonsági mentéseket a fájljainkról!
- Hozzuk létre legalább az abuse@sajatdomain.hu és a webmaster@sajatdomain.hu e-mail címeket, hiszen ide a Google értesítést fog küldeni a problémáról.
Ha már megtörtént a baj:
- A megelőzésnél írt lépéseket is olvassuk át és végezzük el, hiszen hiába szüntetjük meg a saját gépünkön a fertőzést, attól még a távoli gépről ugyanúgy fennáll a visszafertőzés esélye
- Lehetőleg ne látogassuk böngészőből a saját weboldalunk, mert a benne lévő kártékony kód újra és újra fertőzi saját számítógépünket
- Végezzünk gépünkön szakemberrel vírusirtást
- Változtassuk meg az FTP hozzáférési azonosítóinkat
- Helyezzük fel a már említett .ftpaccess fájlt a szerverre (ha ilyet nem enged létrehozni a szolgáltató szervere, akkor eleve érdemes feltenni a kérdést: “biztos, hogy jó szolgáltató választottam?”)
- Töröljük a tárhely tartalmát, majd másoljuk fel a fertőzés mentes fájlokat a tárhelyre
- Érdemes egy szöveges szerkesztőben, forráskód szinten ellenőrizni, hogy a számítógépen tárolt állományok nem-e szintén megfertőződtek (keressünk 0px-es iframe-ket, img tegeket, kódolt szövegrészeket, idegen URL-eket, általunk nem használt változókat, stb)
- Ha bizonytalanok vagyunk, javasolt lehet szakemberrel a html, php, … stb fájlainkat is átnézetni, hogy tartalmaznak-e nem odaillő, ártalmas kódokat
Ha már a Google és Firefox szolgáltatása is jelzi az oldalunkra érkezők számára a bajt:
- Miután 100%-osan meggyőződtél arról, hogy az oldalaid fertőződés mentesek, és elolvastad a Google Súgó és a StopBadware(angol) vonatkozó részeit, valamint a korábban írtakat,
- Olvasd el honlapodról a Google Diagnosztikát, amelyet így érhetsz el (végén a behelyettesítendő URL):
http://www.google.com/safebrowsing/diagnostic?site=http://sajatdomain.hu - Jelentkezz be a Google Webmester Eszközökbe és ott a kérj egy felülvizsgálati kérelmet
- Keress rá oldaladra a Badware Website Clearinghouse keresőjével (angol), majd a Report oszlopban szereplő linkekre kattintva kérd az oldalak felülvizsgálatát, bal oldalon felül a “Click to Request Review” linkre kattintva.
- (Ha pishing oldalként lettél lejentve, úgy kérj itt is egy felülvizsgálatot)
- Várj néhány napig, esetleg hétig, hogy a rendszereken átfusson a fertőzésmentesség híre, a sikerről a Webmester Eszközökben is tájékoztatást kapsz majd
Ha mindezek után sem sikerült megoldani a problémát, szívesen állok rendelkezésedre! Webpozitív – a bejelentett támadó webhely specialista!
Sziasztok!
Szívesen segítünk a felmerülő problémák megoldásában, ha a fenti leírás alapján nem sikerül fertőzés-mentessé tenni a weboldalt.
Elérhetőségek: http://webpozitiv.hu/kapcsolat.php
Írjatok és megbeszéljük a részleteket, hogyanokat.
Azt szeretnem kerdezni mikkor a tulajdnjog ellenorzeset elvegzem ,metatag hozzadasaval,es Html fajl feltoltesevel a servere miert irlya ki
“Nem tudtuk megerősíteni az Ön webhelyét: http://www.djblaze.fw.hu/”
Eredmény: Az ellenőrzés sikertelen. Időtúllépés a szerverhez történő csatlakozás során.
Ez miert van en csinalok valamit roszul?
Kosz a valaszt elore
Jó cikk!
Nekem is volt már ilyen, remélem többé nem fordul elő :S