Feltörték – Vírusos lett a tárhelyem, mit tegyek?

Hogy történhetett ilyen ?

Lehet hihetetlennek hangzik, de sok esetben ennek a megállapítása fontosabb, mint maga a vírus eltávolítása. Ha a hiba nem lesz kijavítva, a fertőzés már akár másnap megismétlődhet.

Sok ember úgy gondolja, hogy a biztonság megteremtése a szolgáltató feladata, és ha a szolgáltató ezt a feladatát jól látja el, akkor nem történhet ilyen. Sajnos azt kell hogy mondjuk, hogy akik ezt gondolják a legtöbb esetben nagyot tévednek. A szolgáltatónak a lehetőségei eléggé behatároltak, és többnyire csak arra terjedhet ki, hogy az Ön tárhelyét egy másik tárhely feltörése esetén se tudják elérni. Sok szolgáltatónál sajnos ezek a kritériumok sem feltétlen teljesülnek ahol mod_php val futtatják a fájlokat. Valamint a szolgáltatónak a felelőssége eldönteni, milyen függvények használatát engedélyezi a szerveren. Természetesen mindent nem lehet letiltani, hiszen akkor a tárhely használhatatlan lesz, ugyanakkor engedélyezni sem lehet mindent, mert akkor meg a szerver egy átjáróház lesz. Ma már a szolgáltatók nagy része hasonlóan biztonságos szervert üzemeltet, nagy különbségek ezen a téren nincsenek.

A szolgáltatónak legtöbbször arra van lehetősége, hogy a szerver forgalmát elemezze, és programokkal kiértékelje azt, és ennek megfelelően, a támadást megakadályozza.Ez a gyakorlatban úgy néz ki, hogy a szerver minden hálózati forgalmat eltárol (logol), a biztonsági programok pedig ezt elemzik, ha például egy adminisztrációs felületre túl sokszor próbálnak bejelentkezni hibás jelszóval akkor ez feltehetőleg támadó, ezért az IP címe bizonyos időre kitiltásra kerül. Természetesen az elemzés nem csak a hibás jelszavakra terjed ki.Viszont ez a védelem sem mindenható, ha az admin felületünk jelszava:12345 volt és ezt elsőre kitalálja a robot akkor a program nem tud különbséget tenni jogos és jogtalan belépés között.Persze a támadások nagy része nem az admin felület feltörésére irányulnak, ennél jóval egyszerűbb módszerek is vannak, ha ismert biztonsági rés van egy népszerű programban akkor a támadók olyan programokat írnak amik ezeket keresik.
A biztonsági programok ezeket is viszonylag gyorsan kiszűrik és tiltják.Viszont a hackerek sem hülyék, a profibbak nem egy IP címről hanem sokszor 10-20 IP címről intéznek “támadást” úgy időzítve a próbálkozásokat, hogy az mimnél átlagosabb internetező viselkedésére hasonlítson.Sajnos ezeket már tényleg nagyon nehéz kiszűrni.

Nagyon gyakori hiba, hogy egy régi weboldal, amit már nem használnak aktív marad., vagy használjuk még, de a gyártó nem ad már ki hozzá biztonsági javításokat.Ezek az oldalak egy idő múlva időzített bombának minősülnek, mivel senki nem foglalkozik vele, egyre több és több biztonsági hiba kerül napvilágra, az adott program verzióhoz.
Szinte csak idő kérdése mikor talál rá, egy kártékony robot program.
Az ilyen weboldalaktól, meg KELL szabadulni! Ha lehet frissíteni, újabb verzióra akkor meg kell próbálni a frissítést, ha nem lehet, akkor érzékeny búcsút kell venni tőle.
Tudjuk, jól, hogy ezt sok esetben nehéz megtenni, sőt sokszor körülményes dolog. De nem szabad a szőnyeg alá söpörni a problémát!

Ha valami ok miatt nem tudjuk azonnal lekapcsolni, vagy nem tudjuk frissíteni az oldalt, akkor inkább béreljünk neki külön egy BASIC csomagot.
Ez még mindig sokkal olcsóbb mint a vírusokat letakarítani az összes többi weboldalunkról.

Sajnos még most 2018 ban is találkozunk olyan CMS rendszerekkel (pl: joomla 1.5) amit 2008 ban telepítettek, ennek a programverziónak a támogatása kb: 2010 ben megszűnt!
Azóta egyetlen frissítést sem adtak ki hozzá!
Persze sok esetben találkozunk olyan weboldalakkal ahol még támogatott programverzió van telepítve, de valami oknál fogva mégsem frissítették a telepítés óta
Pedig a fejlesztők ez idő alatt több mint 20 biztonsági frissítést adtak ki. A fejlesztők pedig akár hisszük akár nem, nem unaloműzés gyanánt töltenek hosszú órákat a biztonsági rések foltozására.

Természetesen nem csak az alaprendszer tartalmazhat hibákat, sokszor a letöltött kiegészítők a hibásak. Sajnos sok ingyenes kiegészítőt olyan programozok készítenek, akik épp hogy tudnak programozni. Épp ezért próbáljunk megbízható forrásból kiegészítőket keresni.
A nem használt kiegészítőket távolítsuk el, és csak azt rakjuk az oldalunkra amire szükségünk van. Sok oldalon található időjárásjelentés, pontos idő, chat ablak, stb.. de bármennyire is nehéz elhinni, ezek többsége nem kell, főleg ha oldalunk gyerekruha webáruház. Minden egyes plusz bővítmény csökkenti az oldal biztonságát.

A warez (lopott) kiegészítők igaz, hogy ingyen vannak, de az esetek 99% ban, már eleve tartalmaznak úgynevezett hátsó kaput (backdoor) amit szinte lehetetlen megtalálni.
Elég egyetlen egy ilyet telepíteni, bármelyik weboldalunkra, és máris hozzáférést adtunk, minden egyes fájlhoz a tárhelyen.
Szóval az ilyen kiegészítőket felejtsük el!

Sok esetben, a támadás a saját otthoni gépünkön keresztül érkezik, ilyenkor a saját gépünk fertőződik meg első lépésben, majd általában egy jelszólopó vírus, az FTP jelszavakat továbbítja egy távoli gépnek, ami így már könnyedén hozzáfér a weboldalhoz. Ezek elhárításához, használjunk jó vírusirtó programot Pl avast (ingyenes és magyar nyelven is tud). És lehetőleg ne használjuk FTP kapcsolódásra a Total Commander nevű népszerű programot. Ez ugyanis a jelszavakat titkosítatlanul tárolja. Használjuk például a FileZillát (ingyenes és magyar nyelven is tud).

Miért olyan nagy probléma ha feltörik a nem használt oldalt? Hiszen úgy sem használom!

Sajnos, ha bármelyik weboldalt fel tudják törni a tárhelyen, azon keresztül, a tárhelyen található összes többi weboldalt is el tudják érni, és le tudják fertőzni!
Ezt kb.: úgy kell elképzelni, mintha a tárhelyünk egy több szobás ház lenne, (minden weboldal egy külön szoba), ha a kisszobába nyitva felejtjük az ablakot, és azon bemászik egy betörő, akkor onnantól ő már bármelyik szobába be tud menni, és ott bármit tud csinálni.
Viszont még akkor is káros a feltörés, ha a többi weboldalunkat érintetlenül hagyják. Hiszen a feltört oldalakat 95% ban, valamilyen illegális tevékenységre használják. Pl.: SPAM leveleket küldenek ki róla, vagy más weboldalak támadnak.

Ezt úgy tudjuk elkerülni, ha 1 nagy tárhely helyett amire bezsúfolunk 30-40 weboldalt, inkább több kisebb tárhelyet veszünk, és megpróbáljuk elosztani az oldalakat a tárhelyeken.
Az árban terméseztessen drágább lesz, viszont mérlegelni kell azt is, hogy ha 30-40 weboldalt egyszerre törnek fel a tárhelyen, és ezek a weboldalak pénzkereső weboldalak voltak, akkor gyakorlatilag akár több napra teljesen meg tud szűnni az oldalakból származó bevétel.
Mérlegelni kell, hogy egy ilyen káresemény mekkora bevételkiesést okoz, egyenes arányban van a a több kisebb tárhely éves pár ezer forintos többletköltségével.
Továbbá javasoljuk, hogy a biztonsági mentéseket időnként a saját gépünkre is mentsük le, hogy ha a fertőzést nem vesszük észre időben akkor is biztos legyen, olyan mentés, ami még vírusmentes.

Miért épp az én oldalam ?

Gyakran halljuk azt, hogy miért törné fel bárki az én oldalamat, hiszen alig van rajta látogató, és miért találná meg a hacker pont az én oldalamat, ami a kutyatenyésztéssel foglalkozik.
A hackereket minden oldal érdekli ami feltörhető, és előbb utóbb az ön oldalát is megtalálják, hiszen senki ne úgy képzelje el ezeket mint a filmekben, hogy egy ember ott ül a gép előtt egyszerre 22 monitoron dolgozva és különböző kódfejtő programokkal épp az ön oldalát próbálja feltörni. A dolog ennél jóval egyszerübben történik. Írnak egy egyszerű automata programot, ami csak bizonyos hibákat keres egy egy domain névben.
A domain neveket tartalmazó adatbázist nem nehéz találni, gondoljunk csak a startlapra, vagy hasonló link adatbázisokra. Ha ezekre ráengedik a programot, pillanatok alatt találhatnak több száz, vagy ezer hibákat tartalmazó oldalt.

Miért csinálják?

Több oka van, vannak a hülye gyerekek akik csak vagánykodásból, unaloműzésből csinálják, ezeket a töréseket általában rögtön észre lehet venni, mert legtöbb esetben lecserélik a kezdőlapot, valami saját magukat hirdető szövegre. és vannak a profik, ők inkább bevételszerzés miatt törnek fel oldalakat, az általuk elhelyezett kódok próbálnak titokban futni, és küldenek a szerverről több ezer SPAm tartalmú levelet vagy fertőzik meg a látogató gépét, ami aztán reklám oldalakat kezd megnyitni, vagy esetleg így tagja lesz egy botnettnek, amiket támadásra tudnak felhasználni. Az ilyen zombigépekből álló hálózattal szoktak DDOS támadásokat végrehajtani. A világ legnagyobb botnet hálózatai Pl: STORM, RUSTOCK több százezer fertőzött gépből áll, és gyakorlatilag képes akár egész országok internetes hálózatának a megbénítására.
De ezek a hálózatok felelősek gyakorlatilag a SPAM küldések 70%

Biztos fertőzött az oldalam ?

Sok esetben, ha a böngésző figyelmeztető ablakot jelenít meg, az emberek nem olvassák végig a teljes szövet.
Pedig érdemes, mert sok bosszúságtól kímélhetjük meg magunkat. Sok esetben csak arról tájékoztatnak bennünket, hogy az oldalunkon olyan linkek találhatók, amik egy fertőzött oldalra mutatnak.
Általában a link is szerepel a figyelmeztetésben. Ha ilyennel találkozunk, érdemes rákeresni a forráskódban és az adatbázisban a linkre, és egyből megtudjuk, hogy fertőzésről van e szó, vagy csak egy képet linkeltünk az adott oldalról.


Mit csináljak most?

  • Amennyiben CMS rendszert használsz, nézd meg van e elérhető frissítés, ha van frissítsd ez legtöbb esetben egyszerű másolásból áll, de előtte azért olvasd el az útmutatót és csinálj biztonsági mentést!
  • Érdemes feliratkozni a CMS hivatalos oldalán található hírlevélre, így mindig értesülhetsz ha egy új frissítés érhető el.
  • Majd mentsd le a tárhelyen található file-ok at és ellenőrizd a tartalmát és távolítsd el belőlük a kártékony részleteket (pl. külföldi webcímet tartalmazó iframe sorok)
    Ezeket először az index.html és index.php fájlokban keresd. ha megtaláltad másold ki, és a Total Commander keresőjével keres rá a többi fájlban is.
  • Változtasd meg minden FTP felhasználód jelszavát.
  • Futtass le a számítógépeden egy alapos víruskeresés, hogy ne ismétlődhessen meg a jelszólopás
  • Amennyiben Total Commander-t használsz FTP elérésre, akkor frissítsd azt a 7.5-ös verzióra, mert abban már a tárolt jelszavakat kódolni lehet egy úgynevezett mester jelszóval és így a kódlopás lehetősége megszűnik, mert csak a mester jelszó ismeretében lehet az FTPjelszavakat kinyerni a Total Commander-ből. A Total Commander új verzióját itt töltheted le: http://www.totalcommander.hu/letoltes/total-commander


A Google “letiltotta” a honlapom

  • Előfordulhat, hogy a Google szerverei észrevették az oldal fertőzöttségét és figyelmeztetést adtak ki a böngészőknek, így azok csak egy figyelmeztető oldal nyugtázása után engedik tovább a látogatókat az oldalra
  • A figyelmeztetés megszüntetéséhez a tárhelyen mindenképpen helyre kell hozni, vagy el kell távolítani a fertőzött file-okat
  • A következő Google ellenőrzés automatikusan megtörténik pár napon belül, de lehetőség van a Google Webmaster Tools-on létező Google hozzáféréssel belépve kérni a mielőbbi vizsgálatot, további információkat a Google Súgóban találsz


Hogy ismerem fel a fertőzött kódokat?
Sajnos erre nehéz válaszolni, mert ugye több ezer ilyen vírus van, ami mind máshogy nézz ki.
Az egyszerűbbek, csak egy iframet tartalmaznak amiben egy másik weboldal fut.
A bonyolultabbak kódolva vannak, ezek több soros értelmetlen betű és szám kombinációkból állnak. mielőtt nekiállnánk ész nélkül törölni, csináljunk másolatot róla, nehogy oldalunk egy kódolt részletét töröljük.