Ponieważ może dojść do wielu niezależnych ataków hakerskich, nawet jeśli uda Ci się znaleźć i naprawić jedną lukę w zabezpieczeniach, zalecamy szukanie kolejnych. Najpierw poczytaj o najczęstszych sposobach ataku spamerów.
Potrzebujesz tych elementów:
- dostęp administratora powłoki lub terminala do serwerów witryny: internetowego, bazy danych i plików;
- znajomość poleceń powłoki lub terminala;
- umiejętności czytania kodu (np. PHP lub JavaScript);
- możliwość uruchomienia dwóch skanerów antywirusowych.
Kolejne działania
Omówimy kilka typowych sposobów przejęcia witryny. Być może któraś z nich będzie się pojawiać w Twojej witrynie lub przynajmniej nakreślić dodatkowe możliwości.
Pamiętaj, że skanery luk w zabezpieczeniach to nie to samo co skanery antywirusowe. Skanery luk w zabezpieczeniach są znacznie bardziej inwazyjne i w większym prawdopodobieństwem mogą spowodować nieoczekiwane szkody w witrynie. Przed uruchomieniem skanera postępuj zgodnie ze wszystkimi wskazówkami, np. związanymi z tworzeniem kopii zapasowej witryny.
Potencjalne luki w zabezpieczeniach: {potential-vulnerabilities}
Możliwe luki w zabezpieczeniach, które należy zbadać:
Komputer administratora zainfekowany wirusem
Na zainfekowanym przez wirusa komputerze administratora haker mógł zainstalować program szpiegowski, by rejestrować naciśnięcia klawiszy administratora.
- Sprawdzaj systemy administratorów pod kątem obecności wirusów. Zalecamy użycie kilku uznanych skanerów antywirusowych na każdym komputerze, na którym administrator logował się w witrynie. Stale powstają nowe wersje złośliwego oprogramowania, które mają jak najlepiej unikać skanerów, dlatego nie jest to skuteczna metoda wykrywania wirusów. Użycie kilku skanerów pomaga unikać fałszywych trafień i dostarczać więcej danych pozwalających ustalić, czy nie ma luki w zabezpieczeniach. Na wszelki wypadek przeskanuj też serwer WWW i wszystkie urządzenia używane do aktualizowania witryny lub publikowania w niej treści.
- Jeśli skaner antywirusowy wykryje program szpiegowski, wirusa, konia trojańskiego lub inne podejrzane programy, przejrzyj dzienniki serwera witryny pod kątem aktywności administratora, do którego należy zainfekowany komputer.
- Haker mógł zmienić pliki dziennika. Jeśli tak nie było, skorelowanie nazwy administratora z podejrzanymi poleceniami w pliku dziennika to dodatkowy dowód na to, że wirus na komputerze administratora nałożył na witrynę podatność.
Słabe lub wielokrotnie używane hasła
Słabe hasła są łatwe do znalezienia przez hakerów, ponieważ dają im bezpośredni dostęp do serwera. Silne hasła to kombinacja liter, cyfr i znaków interpunkcyjnych oraz nie zawierają słów ze słownika ani słów potocznych. Każdego hasła można używać tylko w jednej aplikacji zamiast wielokrotnie w internecie. Gdy hasła są używane w kilku miejscach, haker nie musi nawet po jednym włamaniu zabezpieczeń w jednej aplikacji znaleźć login i hasło, których będzie mógł użyć w innej aplikacji.
W dzienniku serwera poszukaj niepożądanej aktywności, np. wielokrotnych prób logowania się przez administratora czy wysyłania nieoczekiwanych poleceń przez administratora. Zanotuj datę i godzinę podejrzanej aktywności, bo dzięki informacjom o tym, kiedy doszło do ataku, można ustalić, które kopie zapasowe wciąż są nienaruszone.
Nieaktualne oprogramowanie
Sprawdź, czy na serwerach działają najnowsze wersje systemu operacyjnego, systemu zarządzania treścią, platformy blogowej, aplikacji, wtyczek i innego oprogramowania, którego używa witryna.
- Poszukaj informacji o zainstalowanym oprogramowaniu (na przykład wyszukując go w internecie), aby ustalić, czy Twoja wersja zawiera porady dotyczące bezpieczeństwa. Jeśli tak, możliwe, że nieaktualne oprogramowanie naraża witrynę na ataki.
- Sprawdzoną metodą jest dbanie o aktualność oprogramowania serwerów, niezależnie od tego, czy nieaktualne oprogramowanie serwerów spowodowało problemy z lukami w zabezpieczeniach.
4. Słabo zabezpieczone rozwiązania programistyczne, np. otwarte przekierowania i wstrzykiwanie SQL
Otwarte przekierowania
Otwarte przekierowania w strukturze adresów URL pozwalają dodać kolejny adres, dzięki czemu użytkownicy mogą dotrzeć do przydatnego pliku lub strony w witrynie. Na przykład:
http://example.com/page.php?url=http://example.com/good-file.pdf
lub
http://example.com/page.php?url=malware-attack-site>
- Jeśli ktoś nadużywa otwartych przekierowań w witrynie, w wiadomości w Search Console znajdziesz przykładowe adresy URL, które zawierają otwarte przekierowania do niewłaściwej strony docelowej.
- Aby w przyszłości uniknąć otwartych przekierowań, wykonaj te czynności:
- Określa, czy w oprogramowaniu jest domyślnie włączona opcja „Zezwalaj na otwarte przekierowania”.
- Określa, czy kod może blokować przekierowania poza domenę.
- Czy możesz podpisać przekierowanie, tak aby można było kontynuować wyłącznie przekierowania z odpowiednio zahaszowanymi adresami URL i prawidłowym podpisem kryptograficznym.
Wstrzykiwanie SQL
Wstrzykiwanie SQL polega na tym, że haker dodaje nieuczciwe polecenia do pól, które użytkownik wykonuje w bazie danych. Wstrzykiwanie kodu SQL powoduje zaktualizowanie rekordów w bazie danych o niechciany spam lub złośliwe oprogramowanie albo pobieranie cennych danych dla hakera. Jeśli witryna korzysta z bazy danych, możliwe, że została przejęta dzięki wstrzykiwaniu SQL – zwłaszcza wtedy, gdy zainfekowano ją złośliwym oprogramowaniem.
- Zaloguj się na serwer bazy danych i poszukaj w niej podejrzanych treści, np. zwykłych pól tekstowych, w których obecnie pojawiają się elementy iframe lub skrypty.
- W przypadku podejrzanych wartości sprawdź, czy dane wejściowe użytkownika są weryfikowane i ma odpowiednie znaczenie zmiany znaczenia, lub czy nie powinny być wykonywane jako kod. Jeśli dane wejściowe użytkownika nie zostaną sprawdzone przed przetworzeniem bazy danych, główną luką w zabezpieczeniach witryny może być wstrzykiwanie SQL.