Vírus, Malware, BackDoor, egyéb káros kódok elleni védelem.

Sajnos időnként előfordul, hogy egy szerveren található weboldalt sikerül feltörni, vagy az is gyakran előfordul, hogy egy másik tárhely szolgáltatótól átköltöztetett oldalt törtek fel korábban.
A Feltört weboldalakba kivétel nélkül el szoktak helyezni, valamilyen idegen kódot. Ezek a kódok a hackerek céljait szolgálják, leggyakrabban SPAM küldésre használják, de használhatják más weboldalak feltörésére, adathalászathoz, felhasználók eltérítésére, reklámok megjelenítésére, kémkedésre (pl: webáruházban), Hátsó kaput (backdoor)
Az ilyen kódokat összefoglaló néven Malware programoknak (káros programoknak hívjuk) Mi most az egyszerűség kedvéért vírusok ként fogunk hivatkozni rájuk.

Hogyan törik fel a weboldalakat?

Ezt már nagyon sok cikkben leírtuk, ezért most csak röviden.
Egy feltöréshez általában három dologra van szükség.

1:
 Hacker (ezek rendszerint robotokat futtatnak, amik percenként több száz oldalt vizsgálnak meg és ismert hibákat keresnek a weboldalba)

2:
 Hibás program: (Egy komoly programot, ami több százezer sornyi kódot tartalmaz, szinte lehetetlen úgy megírni, hogy ne legyenek benne biztonsági hibák, ezeket a programozók idővel megpróbálják kijavítani, ezért rendszeresen adnak ki biztonsági frissítéseket)

3:
 “Hanyag” weboldal tulajdonos: Sajnos sok weboldal tulajdonos, vagy hanyagság, vagy hozzá nem értés miatt, soha nem frissíti a weboldalát, ahogy az egyszer elkészült ahhoz többet nem nyúlnak, maximum újabb és újabb cikkeket pakolnak fel rá. Ezzel csak a hackereknek tesznek szívességet, mivel minél régebbi egy kód, annál több hibát fedeznek fel benne. Ezek ismeretében pedig egy hackernek gyerekjáték olyan programot írni, ami ha rátalál az ön oldalára akkor a másodperc tört része alatt behatol a tárhelyére és amit csak tud megfertőz. Pedig ma már egy modernebb CMS rendszer frissítése 1db gomb megnyomásából áll! 
Miért káros ez az ön számára?
SPAM küldés: Amennyiben a tárhelyéről SPAM et tudnak küldeni, ezt viszonylag gyorsan érzékeli sok másik szerver, és levelező alkalmazás. Ebben az esetben a SPAM küldött fekete listára helyezik, ami azt jelenti, hogy más szerverekkel, vagy levelező alkalmazásokkal való kommunikáció, nem fog megfelelően működni, jobb esetben a levelei a SPAM mappába kerülnek, rosszabb esetben egyáltalán nem fogadja a címzett szerverre. Ezzel nem csak magának okoz kellemetlen perceket, hanem a szerveren található többi ügyfélnek is, mivel ők is ugyan erről az IP címről küldik a leveleiket.
Vírus terjesztés és egyéb káros kódok: A legtöbb böngésző gyártó (google, firefox, bing, opera, stb..) keresőrobotjai, rendszeressen feltérképezik a weboldalakat, ha vírus jelenlétét érzékelte egy weboldalon, akkor a weboldal helyett egy figyelmeztető ablak fog megjelenni, hogy a weboldal káros programokat terjeszt. Egy ilyen üzenettel gyakorlatilag közel nullára lehet csökkenteni a weboldalunk látogatóinak a számát. Amennyiben ez egy kereskedelmi oldal, akkor ennek pénzben mérhető eredménye lesz.

Sajnos Hátsó kapu, vagy rosszindulatú kód nem csak program feltöréssel kerülhet a tárhelyre, sok esetben a felhasználók saját maguk telepítik azt, egy ingyenes bővítmény vagy modul segítségével.
A torrent oldalakról letöltött “ingyenes” programok nagyon nagy része tartalmaz ilyen kódokat. Ezért bármennyire is csábító hogy egy 30-40 dolláros kiegészítőt ingyen beszerezzen, mi ezt nem javasoljuk!
Akik kevésbé értenek hozzá, azok felteszik a kérdést, oké, de a hacker honnan fogja tudni, hogy az én oldalamra fel van telepítve ez az alkalmazás?
Nos erre két egyszerű módszer is van.
Az egyik, az, hogy a program futás közben, információt küld egy címre, amiből már is kiderül, hogy az adott programot hol telepítették.
A másik megoldás, hogy robot programot írnak, ami a lehető legtöbb domain nevet megpróbálja átvizsgálni, és ha valahol ráakad a titkos kódra, akkor a programon keresztül képes behatolni a tárhelyre.

Ha a támadó valahol elrejtett egy hátsó kaput, akkor azon keresztül bármikor vissza tud jönni, és újra el tudja helyezni a saját kódjait.
Épp ezért nem elég csak víruskeresést folytatni a tárhelyen, mert az rendszerint csak egy időre (néha csak napokra, órákra) oldja meg a problémát.

Miért is nehéz ezeket megtalálni a webes vírusokat és hátsó kapukat.?
Ez több okra vezethető vissza.
1: PHP ban viszonylag sokan tudnak programozni, ezért rettentő sokan nagyon sokféle kódot tudnak írni.2: A káros kódokat viszonylag könnyen el lehet rejteni, hozzá lehet fűzni őket egy meglévő fájlhoz, vagy több mappa mélységben egy új fájlba is el lehet rejteni.
3: A külső víruskereső /malware kereső alkalmazások gyakorlatilag használhatatlanok, hiszen csak azokba a fájlokba látnak bele, amelyek a weboldal futása közben elérnek.

Milyen lehetőségeket nyújtunk a káros programok megtalálására?

A Múlt: 
A cPanel felületbe eddig is be volt építve egy víruskereső alkalmazás, de sajnos nagyon gyenge eredményeket lehetett vele elérni, ráadásul magától nem is futott, minden alkalommal kézzel kellett elindítani a keresést.

És a Jelen:
Cégünk az új védelmi program kiválasztásánál, többféle piacvezető megoldást tesztelt. A legtöbb megoldás, sajnos a káros programok felderítésében egyáltalán nem jeleskedett.
Rákérdeztünk az okokra, és a válasz, az volt, hogy az ő rendszerük a megelőzésre épít. Igen ez mind szép és jó, de mi van azokkal a weboldalakkal amik már régebben megfertőződtek?
Vagy eddig más tárhely szolgáltató cégnél voltak elhelyezve ahol már megfertőződtek, és most helyezik át őket a mi szerverünkre?
Vagy egy torrentről letöltött fájlal a tulajdonos helyezi el a tárhelyen a káros kódokat.
Mi tudjuk hogy a fertőzést többféle módon is felkerülhet a szerverre, és ezért nem elégséges csak a robotforgalmat figyelni, hogy megakadályozzuk a weboldal feltöréseket.

Épp ezért egy olyan alkalmazás mellett döntöttünk, amelyik a fertőzött fájlok felkutatásában is jeleskedik.
Az új víruskereső alkalmazás, eddig nagyon jól vizsgázott, több ezer fertőzött fájlt talált meg nagyon rövid idő alatt.
Az alkalmazás nagy előnye, hogy AUTOMATIKUS! folyamatosan vizsgálja a szerveren található összes fájlt, ha fertőzött fájlt talál, akkor azt vagy törli, vagy megtisztítja (törli a fertőzött részeket), attól függően, hogy a fájl tartalmazott e hasznos kódokat.

További előnye a programnak, hogy az ügyfél számára is betekintést enged a folyamatokba.

Lehetősége van átnézni, hogy a tárhelyen milyen fájlokat talált fertőzöttnek, ha szeretné akkor 120 napon belül egy kattintással vissza tudja állítani az eredeti (fertőzött) fájlt.
Lehetősége van, bizonyos fájlokat a kivétel listához hozzáadni. Erre akkor lehet szükség, ha mondjuk egy PHP alapú fájlkezelő alkalmazást helyezünk el. Mivel sok támadó is ilyeneket szokott hátsó kapu ként használni, ezért a rendszer ezt is káros alkalmazásnak fogja ítélni. De kérhetjük a programot, hogy ezt a fájlt hagyja figyelmen kívül.
Lehetőség van a beállítások módosítására, hogy a megtalált fájlokat ne módosítsa, csak naplózza a talált fájlokat. Az alábbi képen a felhasználói felület látható, az adott felhasználónak 3051 db fertőzött fájl volt a tárhelyén!
Megnézhetjük az összes fertőzött fájlt amit a rendszer talált, lehetőségünk van a fájlokba betekinteni, megtisztítani, vagy beállíthatjuk, hogy a rendszer az adott fájlt hagyja figyelmen kívül.

https://webdigital.hu/images/shield/malware5-user.png



Az alábbi képen az látható, hogy bármilyen fájl lehet fertőzött itt két kép (.gif, .jpg) formátumba is elhelyeztek kártékony kódot.
Az is leolvasható, hogy a talált kód milyen típusú káros kódot tartalmaz.
1: SPAM küldésre használható kód.
2: Hátsó kaput (Backdoor)
3: Pising site (adathalász megtévesztő oldal)


Proactive Defense
Egyedülálló Imunify360 szolgáltatás, valós időben figyeli a PHP kódok futását, és ismert minták segítségével elemzi a szkriptek tevékenységét, például obfuscated parancsinjekció, rosszindulatú kódok telepítése, spam küldés, SQL injekció, stb.
Ezzel a szolgáltatással megakadályozható, hogy egy fertőzött fájl, káros tevékenységet tudjon végezni.

A következő Proactive Defense módok állnak rendelkezésre:

  • Disabled – azt jelenti, hogy Proactive Defense funkció nem működik, és a rendszer nincs megfelelően védve
  • Log Only – azt jelenti, hogy az esetleges rosszindulatú tevékenységeket csak naplózza, semmilyen műveletet nem hajt végre.
  • Kill Mode – a legmagasabb szintű védelem – a parancsfájl futását leállítja, amint rosszindulatú tevékenységet észlel