Elsőre talán mitologikus a fenti megfogalmazás, lássuk mire is gondolok konkrétan.

Korábbi bejegyzésekben többször is volt már szó a bejelentett támadó webhelyekről, ezért most ezekre külön nem térnék ki. Röviden annyi a lényeg, hogy egy, vagy több fájlba elhelyezik a károkozó kódot, ami aztán a böngészőből futtatva láttatja magát és megfertőzi a honlapot megtekintő személy gépét is. Általában ezek a kódok gyorsan kiderülnek, a Google támadó webhelyként próbálja megakadályozni elérésüket.

A gonosz oldal emberei azonban nem pihennek és újabb ötletekkel állnak elő. Most bemutatok kettőt ezek közül.

Robots.txt

Látszólag ártatlan szöveges fájl, a legtöbb webmester nem is használja, létezéséről sem tud. Ha megnyitja, akkor sem vesz benne észre különösebb problémát. Pedig egyre gyakoribb, hogy ide helyezik el az ártó szándékú sort. Gyakorlottabb webmesterek már valószínűleg sejtik, hogy mire is gondolok: egy szimpla Disallow: / sor kerül elhelyezésre ebbe a fájlba, ami lényegében egyet jelent a keresőkből való kizárással. Innentől fogva ugyanis a keresők messziről elkerülik honlapunkat és idővel az indexükből is eltüntetik azt, mivel ez a sor nem jelent más, mint azt, hogy saját magunk kérjük a keresők távolmaradását honlapunktól.

.htaccess

Ez a fájl még inkább rejtve marad az avatlan szemek elől, hiszen a Linux terminológia szerint a ponttal kezdődő fájlnevek rejtett fájlok. A legtöbb FTP program ezt tiszteletben is tartja és csak akkor mutatja meg ezt a fájlt, ha külön kérjük a rejtett fájlok mutatását. A .htaccess fájlba általában pár olyan sor kerül bele, ami azt éri el, hogy a keresőkből érkezve egy idegen, fertőzőtt weboldalra érkezzen a látogató, míg közvetlenül a saját URL-ünket beírva a saját honlapunkat látjuk. A módszer elég aljas és csak akkor észrevehető, ha saját honlapunkra a keresőből érkezünk – ami valljuk be, nem túl gyakori. Látogatóinkat viszont gyorsan elveszthetjük, ráadásul ők honlapunk helyett egy fertőzött weboldalon találják magukat.

Érdemes tehát résen lenni és figyelni! Ugyanakkor csak akkor kezdjünk bele a munkálatokba, felderítésbe, ha tudjuk mit csinálunk. A .htaccess fájl avatatlan módosítása az egész honlapunk leállását is eredményezheti! Ha csak lehet, bízzuk a munkát hozzáértőkre!

Mit is jelent a Labs? “A Webmestereszközök Labs kísérleti funkciók tesztterepe, melyek még nem állnak készen az éles használatra. Bármikor módosulhatnak, elromolhatnak vagy eltűnhetnek.” Szóval így érdemes kezelni a dolgot.

Nézzük, mely két funkció próbálható ki jelenleg ily’ módon:

• Megtekintés Googlebotként: megadhatjuk, hogy melyik oldalunkat szeretnénk megtekinteni a robot szemével. Egy kis idő múlva elkészül a kép és máris láthatjuk, hogy a weboldalunk hogyan is néz ki a Google robot szemével. Fejlécek, html kódok és minden más elénk tárul.
• Ártalmas szoftver részletei: Egyre gyakoribb probléma a bejelentett támadó webhely címkével megbéklyózott oldalak problémája. Erről már itt a blogon is írtunk, ill. manuálisan eddig is rendelkezésre állt a webhely vírus ellenőrzése, de mostantól a Google is egy kicsit részletesebb információval szolgál a problémával kapcsolatban. Már ha ugye fertőzött az oldalunk. Szerencsére én minden oldalamnál a “A Google nem észlelt kártékony programokat ezen a webhelyen.” üzenetet kaptam

Remélem, hogy a közeljövőben egyre több hasznos funkció kerül majd ki a webmesterek kezébe.

Ezen szolgáltatással kívánunk hozzájárulni a weboldalon található fertőzés még gyorsabb felderítésében. Az oldal funkcióit igyekszünk folyamatosan bővíteni.

Figyelmetekbe ajánljuk még korábbi blogbejegyzésünket, amely a bejelentett támadó webhelyekről szól.

UPDATE: A cikk bármilyen (FTP-ről) fertőzött weboldalhoz segítséget nyújt, ne tévesszen meg senkit a cím. Nem feltétlen szerepel egy oldalon a “Bejelentett támadó webhely” címke, lehet, hogy mi vesszük észre a fertőzést, vagy a víruskereső/tűzfal jelez számunkra. Ebben az esetben is az alábbi megoldások javasoltak.

Miről is van szó?

Az ilyen jellegű támadások esetén nem a honlapot futtató szerver fertőződik meg, hanem a weboldalhoz hozzáféréssel rendelkező felhasználó számítógépe.

Mivel az FTP kódolatlan csatornán kommunikál, ezért bejelentkezés közben az ügyfélgépen lévő vírus naplózza a bejelentkezési azonosítót és jelszót, majd ezt elküldi egy ismeretlen helyre, vagy már eleve ellopja a merevlemezre lementett kódolatlan formában tárolt jelszót. Pár nappal ezután általában megtörténik a tárhely feltörése (a már említett módon megszerzett jelszó birtokában), külföldi (többnyire orosz, brazil, japán) szerverekről módosítják a weboldal (általában) index.php/.html, main.*, default.*, auth.*  és további fájljait 2-3 könyvtár mélységig (általában a kód <body> után közvetlenül, vagy a </body> része elé kerül be a káros kód, dekódolt JavaScript, vagy egyéb HTML kódok, pl. 0px-es iframe, stb. képében). Érdemes mégegyszer tisztázni, hogy a weblap módosítását nem a fertőzött ügyfél-számítógép végzi, hanem mindig egy harmadik (általában külföldi) szerver.

Mivel a jelszavunk kikerül és egy idő után tőlünk függetlenül történik a saját tárhelyünk (vissza)fertőzése, ezért az alább javasolt pontok mindegyikét érdemes betartani.

Megelőzés:

• Először is válasszunk megbízható tárhelyszolgáltatót, olyat, amely kellő védelmet nyújt honlapjaink számára
• Az FTP jelszavainkat lehetőleg ne tároljuk le az FTP programban, a Total Commanderben pedig különösképp óvakodjunk ettől a lehetőségtől (az egyik legismertebb FTP program, ezért a legtöbb vírus erre “szakosodik”)
• Ha lehetőségünk van rá, használjunk SSH, vagy SFTP protokollt az FTP bejelentkezéshez. (FTP és Telnet pedig kerülendő.)
• Jelszavunk kellően bonyolult és máshol ne használt legyen
• Használjunk jogtiszta és naprakész víruskereső és tűzfalvédelmi megoldást
• Az FTP gyökerébe helyezzünk el egy .ftpaccess fájlt (Figyelem! Előtte kérdezzük meg tárhelyszolgáltatónkat, hogy engedélyezi-e, nem-e magunkat is kizárjuk ezzel!), a következő tartalommal (természetesen csak akkor, ha Magyarországról csatlakozunk):
  <Limit ALL>
  Allow From .hu
  DenyAll
  </Limit>
  Ez annyit tesz, hogy az FTP kapcsolatra csak magyarországi IP címmel rendelkező szerverről enged hozzáférést. A legtöbb fertőzést ez a fájl megoldja (mivel a feltörés külföldi gépekről érkezik), de ez csak tüneti kezelés!
• Mindig végezzünk biztonsági mentéseket a fájljainkról!
• Hozzuk létre legalább az abuse@sajatdomain.hu és  a webmaster@sajatdomain.hu e-mail címeket, hiszen ide a Google értesítést fog küldeni a problémáról.

Ha már megtörtént a baj:

• A megelőzésnél írt lépéseket is olvassuk át és végezzük el, hiszen hiába szüntetjük meg a saját gépünkön a fertőzést, attól még a távoli gépről ugyanúgy fennáll a visszafertőzés esélye
• Lehetőleg ne látogassuk böngészőből a saját weboldalunk, mert a benne lévő kártékony kód újra és újra fertőzi saját számítógépünket
• Végezzünk gépünkön szakemberrel vírusirtást
• Változtassuk meg az FTP hozzáférési azonosítóinkat
• Helyezzük fel a már említett .ftpaccess fájlt a szerverre (ha ilyet nem enged létrehozni a szolgáltató szervere, akkor eleve érdemes feltenni a kérdést: “biztos, hogy jó szolgáltató választottam?”)
• Töröljük a tárhely tartalmát, majd másoljuk fel a fertőzés mentes fájlokat a tárhelyre
• Érdemes egy szöveges szerkesztőben, forráskód szinten ellenőrizni, hogy a számítógépen tárolt állományok nem-e szintén megfertőződtek (keressünk 0px-es iframe-ket, img tegeket, kódolt szövegrészeket, idegen URL-eket, általunk nem használt változókat, stb)
• Ha bizonytalanok vagyunk, javasolt lehet szakemberrel a html, php, … stb fájlainkat is átnézetni, hogy tartalmaznak-e nem odaillő, ártalmas kódokat

Ha már a Google és Firefox szolgáltatása is jelzi az oldalunkra érkezők számára a bajt:

• Miután 100%-osan meggyőződtél arról, hogy az oldalaid fertőződés mentesek, és elolvastad a Google Súgó és a StopBadware(angol) vonatkozó részeit, valamint a korábban írtakat,
• Olvasd el honlapodról a Google Diagnosztikát, amelyet így érhetsz el (végén a behelyettesítendő URL):

  http://www.google.com/safebrowsing/diagnostic?site=http://sajatdomain.hu

• Jelentkezz be a Google Webmester Eszközökbe és ott a kérj egy felülvizsgálati kérelmet
• Keress rá oldaladra a Badware Website Clearinghouse keresőjével (angol), majd a Report oszlopban szereplő linkekre kattintva kérd az oldalak felülvizsgálatát, bal oldalon felül a “Click to Request Review” linkre kattintva.
• (Ha pishing oldalként lettél lejentve, úgy kérj itt is egy felülvizsgálatot)
• Várj néhány napig, esetleg hétig, hogy a rendszereken átfusson a fertőzésmentesség híre, a sikerről a Webmester Eszközökben is tájékoztatást kapsz majd

Ha mindezek után sem sikerült megoldani a problémát, szívesen állok rendelkezésedre! Webpozitív – a bejelentett támadó webhely specialista!