Címke: ftp

Egy újfajta “ftp-vírus” ütötte fel fejét a neten

webhelytipp, , ,

Ahogy azt a korábbi bejelentett támadó webhelyes cikkben is írtam, egyre gyakoribb, hogy az FTP jelszót megszerezve az index, main fájlokba károkozó kódot helyeznek el a távolról érkező rosszakaróink. Ezt a fajta károkozást igen könnyen fel lehet fedezni, ha az ember kicsit is ismeri a HTML, JavaScript kódok világát, ráadásul a Google és Firefox szolgáltatása is igen hamar megbélyegzi az adott oldalt.

A fejlődés nem állt meg, azóta a Total Commander FTP is tud mesterjelszót tárolni, amellyel már nagyobb biztonságban érezhetjük magunkat, a korábbi verziókban alkalmazott egyszerű jelszómentési módhoz képest. Ha már használjuk a Total Commandert, használjunk mesterjelszót is kapcsolataink védelme érdekében!

Sajnos a rosszakaróink is fejlődtek, így az újfajta fertőzés esetében ma már a webhely tulajdonosa csak annyit vesz észre, hogy az oldalával látszólag minden rendben van, az URL-t közvetlenül meghívva a valós weboldal töltődik be. A Googleből, vagy bármely más ismertebb keresőből  érkezve azonban a weboldala helyett egy fertőzött, idegen weboldalt kap a látogató.

Mi okozza ezt a hibát? Az, hogy az index, vagy a tárhelyen lévő egyéb rendszerfájlba olyan kód kerül, amely a Google, vagy más keresőkről érkező forgalmat egyszerűen a fertőzött oldalra irányítja, míg a közvetlen, böngészőből történő meghívás esetén a saját honlapunkat láthatjuk. Egyértelműen azt próbálják kihasználni, hogy ma már egyes weboldalakra sokkal nagyobb a keresőkből érkező forgalom, a webhely tulajdonosok pedig ehhez képest ritkábban érkeznek saját honlapjukra a keresőből – így észre sem veszik a hibát, a gyanútlan látogató viszont belefut a fertőzött weboldalba és többnyire esélyes sincs értesíteni az eredetileg meglátogatni szándékozott weboldal gazdáját. Nem utolsó szempont lehet az sem, hogy ezáltal a “Bejelentett támadó webhely” szolgáltatás is később kerülhet az így megfertőzött weboldalra, így rengeteg gyanútlan látogatót tud a fertőzöttre irányítani.

Mit lehet tenni? Egyrészt folyamatosan ellenőrizzük, hogy támadó webhely-e az oldalunk, másrészt nem árt néha ránézni a tárhelyünkre, hogy a fájlok utolsó módosítási dátuma megegyezik-e az általunk valósnak vélt dátummal. A hajnal 3 órási módosítások -kivéve kockáknál!- eleve gyanús kell, hogy legyen. Keressünk rá néha weboldalunkra és nézzük meg, a találati listáról nem-e egy másik weboldalra érkezünk-e. Ha a fenti hibát tapasztaljuk, keressünk “referer”, vagy “google” szavakat a forrásban, a fájlok között. (Figyelem! Csak akkor vágjunk neki a saját kezű probléma megoldásnak, ha tisztában vagyunk webhelyünk felépítésével és kódjaival! Más esetben forduljunk szakértőkhöz.)  Léteznek egyébként fertőzésbiztos tárhelyek is, de egy kis odafigyeléssel mi is sokat tehetünk a fertőzés megelőzése érdekében.

Általános tapasztalat? A legtöbb webmester a Google-t, vagy a Firefoxot, esetleg a Chrome böngészőt becsmérli a piros béklyó miatt, azonban a fenti írás is rávilágít arra, hogy aki rengeteg oldal FTP adatait tárolja egy helyen, fokozott figyelemmel kell lennie és nem másokat okolnia az esetlegesen bekövetkezett fertőzésért. Egyik nap fertőzés, másik nap adatvesztés, harmadik nap a személyes adatok kerülhetnek ki a nem kellőképp biztonságos jelszavak és egyéb megoldások miatt.

Bejelentett támadó webhely! Mit tegyek?

webhelytipp, ,

Egyre gyakoribb jelenség az interneten, amikor a “Bejelentett támadó webhely” feliratba ütközünk. Ezen bejegyzéseben a megelőzésről és a már kialakult probléma elhárításáról lesz szó.

Vírusvédett tárhely

UPDATE: A cikk bármilyen (FTP-ről) fertőzött weboldalhoz segítséget nyújt, ne tévesszen meg senkit a cím. Nem feltétlen szerepel egy oldalon a “Bejelentett támadó webhely” címke, lehet, hogy mi vesszük észre a fertőzést, vagy a víruskereső/tűzfal jelez számunkra. Ebben az esetben is az alábbi megoldások javasoltak.

Miről is van szó?

Az ilyen jellegű támadások esetén nem a honlapot futtató szerver fertőződik meg, hanem a weboldalhoz hozzáféréssel rendelkező felhasználó számítógépe.

tamado-webhely

Mivel az FTP kódolatlan csatornán kommunikál, ezért bejelentkezés közben az ügyfélgépen lévő vírus naplózza a bejelentkezési azonosítót és jelszót, majd ezt elküldi egy ismeretlen helyre, vagy már eleve ellopja a merevlemezre lementett kódolatlan formában tárolt jelszót. Pár nappal ezután általában megtörténik a tárhely feltörése (a már említett módon megszerzett jelszó birtokában), külföldi (többnyire orosz, brazil, japán) szerverekről módosítják a weboldal (általában) index.php/.html, main.*, default.*, auth.*  és további fájljait 2-3 könyvtár mélységig (általában a kód <body> után közvetlenül, vagy a </body> része elé kerül be a káros kód, dekódolt JavaScript, vagy egyéb HTML kódok, pl. 0px-es iframe, stb. képében). Érdemes mégegyszer tisztázni, hogy a weblap módosítását nem a fertőzött ügyfél-számítógép végzi, hanem mindig egy harmadik (általában külföldi) szerver.

Mivel a jelszavunk kikerül és egy idő után tőlünk függetlenül történik a saját tárhelyünk (vissza)fertőzése, ezért az alább javasolt pontok mindegyikét érdemes betartani.

 

Megelőzés:

  • Először is válasszunk megbízható tárhelyszolgáltatót, olyat, amely kellő védelmet nyújt honlapjaink számára
  • Az FTP jelszavainkat lehetőleg ne tároljuk le az FTP programban, a Total Commanderben pedig különösképp óvakodjunk ettől a lehetőségtől (az egyik legismertebb FTP program, ezért a legtöbb vírus erre “szakosodik”)
  • Ha lehetőségünk van rá, használjunk SSH, vagy SFTP protokollt az FTP bejelentkezéshez. (FTP és Telnet pedig kerülendő.)
  • Jelszavunk kellően bonyolult és máshol ne használt legyen
  • Használjunk jogtiszta és naprakész víruskereső és tűzfalvédelmi megoldást
  • Az FTP gyökerébe helyezzünk el egy .ftpaccess fájlt (Figyelem! Előtte kérdezzük meg tárhelyszolgáltatónkat, hogy engedélyezi-e, nem-e magunkat is kizárjuk ezzel!), a következő tartalommal (természetesen csak akkor, ha Magyarországról csatlakozunk):
    <Limit ALL>
    Allow From .hu
    DenyAll
    </Limit>
    Ez annyit tesz, hogy az FTP kapcsolatra csak magyarországi IP címmel rendelkező szerverről enged hozzáférést. A legtöbb fertőzést ez a fájl megoldja (mivel a feltörés külföldi gépekről érkezik), de ez csak tüneti kezelés!
  • Mindig végezzünk biztonsági mentéseket a fájljainkról!
  • Hozzuk létre legalább az abuse@sajatdomain.hu és  a webmaster@sajatdomain.hu e-mail címeket, hiszen ide a Google értesítést fog küldeni a problémáról.

Ha már megtörtént a baj:

  • A megelőzésnél írt lépéseket is olvassuk át és végezzük el, hiszen hiába szüntetjük meg a saját gépünkön a fertőzést, attól még a távoli gépről ugyanúgy fennáll a visszafertőzés esélye
  • Lehetőleg ne látogassuk böngészőből a saját weboldalunk, mert a benne lévő kártékony kód újra és újra fertőzi saját számítógépünket
  • Végezzünk gépünkön szakemberrel vírusirtást
  • Változtassuk meg az FTP hozzáférési azonosítóinkat
  • Helyezzük fel a már említett .ftpaccess fájlt a szerverre (ha ilyet nem enged létrehozni a szolgáltató szervere, akkor eleve érdemes feltenni a kérdést: “biztos, hogy jó szolgáltató választottam?”)
  • Töröljük a tárhely tartalmát, majd másoljuk fel a fertőzés mentes fájlokat a tárhelyre
  • Érdemes egy szöveges szerkesztőben, forráskód szinten ellenőrizni, hogy a számítógépen tárolt állományok nem-e szintén megfertőződtek (keressünk 0px-es iframe-ket, img tegeket, kódolt szövegrészeket, idegen URL-eket, általunk nem használt változókat, stb)
  • Ha bizonytalanok vagyunk, javasolt lehet szakemberrel a html, php, … stb fájlainkat is átnézetni, hogy tartalmaznak-e nem odaillő, ártalmas kódokat

Ha már a Google és Firefox szolgáltatása is jelzi az oldalunkra érkezők számára a bajt:

  • Miután 100%-osan meggyőződtél arról, hogy az oldalaid fertőződés mentesek, és elolvastad a Google Súgó és a StopBadware(angol) vonatkozó részeit, valamint a korábban írtakat,
  • Olvasd el honlapodról a Google Diagnosztikát, amelyet így érhetsz el (végén a behelyettesítendő URL):
    http://www.google.com/safebrowsing/diagnostic?site=http://sajatdomain.hu
  • Jelentkezz be a Google Webmester Eszközökbe és ott a kérj egy felülvizsgálati kérelmet
  • Keress rá oldaladra a Badware Website Clearinghouse keresőjével (angol), majd a Report oszlopban szereplő linkekre kattintva kérd az oldalak felülvizsgálatát, bal oldalon felül a “Click to Request Review” linkre kattintva.
  • (Ha pishing oldalként lettél lejentve, úgy kérj itt is egy felülvizsgálatot)
  • Várj néhány napig, esetleg hétig, hogy a rendszereken átfusson a fertőzésmentesség híre, a sikerről a Webmester Eszközökben is tájékoztatást kapsz majd

Ha mindezek után sem sikerült megoldani a problémát, szívesen állok rendelkezésedre! Webpozitív – a bejelentett támadó webhely specialista!

Vírusvédett tárhely