Webidea Blog

Szakmai bejegyzések, webtárhely, weboldal készítés és online marketing témában.

Feltörték a weboldalad? Piros képernyő fogad, meg külföldi Török oldal? A megoldás.

May 032017

Az utóbbi pár évben eléggé elterjedtek és gyakran előfordulnak a tömeges weboldal feltörések, weboldal vírusok. Nálunk eddig minden esetben a felhasználói oldalról történt a hiányosság, mindez persze akaratlanul, de ez a cikk segít abban, hogy a jövőben megelőzhetőek legyenek a feltörések és segítséget nyújt akkor, ha most éppen ilyen problémával küzd az oldala.

Mit is jelent a feltörés/vírus pontosan?
Az esetek nagy részében FTP-n keresztül kerül fel a „vírus”, azaz valójában egy általában külföldi IP-ről csatlakozó ún. robotról van szó, amely kártékony kódokat helyez el a webtárhelyen, sok es etben kicseréli az index.html vagy index.php fájlokat, teleszemeteli a .htacces fájlt vagy csak az adott forráskódba helyezi el sajátját, más esetben az egész weboldal feltörése a robot célja és annak ellehetetlenítése (deface), vagy adathalászattal (phising) kisérletezés, amelynek komoly következményei is lehetnek.

TÉNY: A weboldalak feltörése 99.9%-ban NEM az ügyfél vagy weboldala ellen irányul, teljesen véletlenszerű, célja az ellehetetlenítés vagy a reklám/spamelés, adathalászat, stb.

undefined

Sokszor kérdezik ügyfeleink, hogy ők viszont nem adták ki soha az FTP kódot másnak, ill. Total Commanderen használják már évek óta a feltöltést, így nem lehet FTP-s feltörésről beszélni. Ez sajnos az egyik leggyakoribb hiba, a Total Commander egyszerűségben verhetetlen, de titkosítatlan kapcsolata miatt nagyon sebezhető, ezért könnyen ki tudják lopni belőle a jelszót. De hogyan kerül ki a jelszó valójában? A válasz igen egyszerű, minden esetben egy vírusfertőzött gépről van szó (és ez 99.9%-ban Windows operációs rendszerrel rendelkezik), amin trójai (backdoor) program fut a háttérben, gyűjti ki a jelszavakat és küldi el egy szerverre, amely időszakonként végigpásztázza az ott kinyert címeket, és belépve azokra felteszi a „vírust”. Így történik meg maga az oldal megfertőződése, és ha ez ellen nem tesz semmit, akkor a robot a felhasználói név/jelszó páros ismeretében, folyamatosan megferőzi az oldalát, ami látható gyönyörűen a naplófájlokban is.

A esetek másik részében a weboldal kódjában levő (általában elavult és nem frissített portálrendszer) hibás PHP kódját kihasználva töltenek fel saját futtatható fájlokat, amelyekkel tömeges hírlevelet küldenek ki, kihasználva a mail() fügvényt, vagy .htaccess fájlal URL átirányítást állítanak be az oldalon, ellehetetlenítve az oldalt vagy saját reklámoldalaikra irányítják. Ezek az esetek 99.9%-ban külföldi oldalak, sok esetben maguk az oldalak is vírusosak.

undefined

Mit lehet olyankor tenni, ha már megvan a baj?

FTP-s feltörés esetén (amely könnyen bizonyítható és ellenőrizhető naplófájlból) az alábbi azonnali utasításokat kell véghez vinni.

1. Elsők között a www.vezerlopult.hu-n belépve azonnal módosítani kell az FTP jelszót a „Létező FTP user módosítása” menüpont alatt. Ha neked nem nálunk van a webtárhely szolgáltatásod, akkor az adott cég webes paneljén, CPANEL elérésén, stb.

2. Célszerű titkosított kapcsolattal működő, ingyenes FTP kezelő programot használni, Windows alatt a FileZilla-t ajánljuk. (Linux és MacOSX alatt nincs ilyen jellegű probléma, ott én például Transmitet használok)

3. Ezt követően a Vezérlőpult-on az FTP módosításnál hozzá kell adni IP cím korlátozásnál a saját IP címet, így a jövőben 100%-ban megelőzhető az FTP-n való fertőződés, akkor is ha az adott gép fertőzött.

4. Ha tudod melyik gépről történhetett a csatlakozás, telepíts fel egy vírusírtót és írtsd le a vírusokat a gépről, ilyen célra az ingyenes NOD vagy PANDA Antivírust kipróbálhatod, vagy egyéb progikat, nagyon Windows-os vírusírtókban nincs tapasztalatom.

Az IP cím szűrés megoldás bizonyítottan és hatékonyan működik, hiszen ebben az esetben nem tud tudnak távolról csatlakozni az FTP-re, csak a felhasználó a saját IP címén, vagy az, akinek IP címét engedélyezi. Lehetőség van egész tartomány engedélyezésére is, pl. Digi-s, vagy T-Home-s tartományokat lehet így Whitelist-be tenni. (fehér listára tenni)

undefined

TÉNY: Mi minden ügyfelünknek a Vezérlőpult FTP IP szűrését ajánljuk első sorban, amivel minden jövőbeni nem kívánt távoli FTP kapcsolat tiltható, így a weboldala FTP oldalról sebezhetetlenné válik.

Sikerült leírtanom a vírust, változtattam FTP jelszót és szűrést állítottam be, de az alábbi képernyőt kapom. Mit tegyek?

undefined

 

Sajnos ez a képernyő akkor jelenik meg, ha már weboldalad több napig vírusos állapotban volt, és a Google robot (amely általában 3-4 naponként ellenőrzi weboldalad) végigpásztázta az oldalad forráskódját és megtalálta benne a vírust. Ilyenkor minden Google Chrome böngészővel rendelkező látogató, amikor rámegy a weboldaladra, ezzel az üzenettel fog találkozni, jelentős anyagi és presztízs vesztést okozva.


Van viszont megoldás. Regisztrálni kell oldalad a Google Webmester Eszközökbe az alábbi oldalon: https://www.google.com/webmasters/tools


A regisztráció pár perc alatt végigvihető, de ha van meglévő Google fiókod, akkor azzal be tudsz lépni. Ezt követően hozzá kell adni az oldalt a Webmester Eszközökhöz, hogy azt követően lehetőséged legyen a Google felé jelenteni, hogy eltávolítottad a vírust. Ha nem teszel semmit, akkor 3-4 nap múlva automatikusan lekerül a piros üzenet, de ezzel a megoldással csak 3-4 órát kell várnod (tapasztalaom szerint).
Miután hozzá adtad az oldalt, a rendszer kérni fogja, hogy azonosítsd magad, hogy valóban tiéd az oldal, azzal, hogy pl. feltöltesz egy fájlt, ahogy a Google az instrukciókban jelzi. Ez a fájl így szokott pl. kinézni: google46fd67e590d465d1.html

Ha ezt feltöltötted a gyökérkönyvtárba, akkor lépj tovább és rögtön kérelmezheted a felülvizsgálatot/levételt. Ilyen egyszerű.


TÉNY: A Google Chrome-ban megjelenő „piros halál”-nak is csúfolt hibaüzenetet semmilyen úton módon nem tudja jobban meggyorsítani, mint a Webmester Eszközökbe levő regisztrációval és bejelentéssel. Ebben a webtárhely szolgáltató nem felelős és segítséget nem tud nyújtani.

Titkosított FTP kapcsolatot használok, IP-t szűrök, még is vírusos lesz az oldalam. Mit tehetek?

Sajnos előfordulhat az a lehetőség is, hogy nem FTP-n keresztül történik a feltörés, bár ez a ritkább eset. Ez általában elavult portálrendszerek hibáiból (régi Drupal, Wordpress, Joomla, stb.), vagy olyan programozási hibákból adódik, amikor olyan kód kerül leprogramozásra, amely kiskaput nyit az ezt kihasználó robotok számára. Ilyen lehet, a „php upload” függvény, amely szinte minden portálrendszernél és tartalomkezelő oldalnál megtalálható, használatával készíthetőek fájlok/egyéb PHP kódok, amik rögtön teret nyitnak a feltörésnek.

Egy ilyen feltörés feltárása, komoly munkát igényel, hiszen egyenként végig kell nézni, melyik fájl vagy fájlok okozzák a feltörést. Itt mindig javasoljuk, hogy vedd fel a kapcsolatot a webfejlesztőddel, aki az oldalt készítette, hogy frissítse az adott rendszert, vagy keresse meg a hibát, vagy kérésre biztonságtechnikával foglalkozó rendszergazda kollégáink külön díj ellenében el tudják hárítani a hibát. Külön díjről ebben az esetben azért beszélünk, mert nem maga a tárhely, hanem az arra felrakott, korábban nem általunk készített forráskódról van szó, amely hibás/elavult, ezért feltörések áldozatává válik. Természetesen díjmentesen szolgáltatunk logokat (naplófájlokat), tiltunk le fügvényt, hogy segítsük ezzel a keresést a webfejlesztő munkájának.

Nem megy a levélkiküldés, avagy a mail() fügvény, mi történt?

undefined

 

Rendszerünk folyamatosan ellenőrzi az oldalakon kiküldött levélkiküldés számát óránként, így azon oldalak, ahol a mail() fügvényben több ezer levélkiküldést lát rövid idő alatt, azt korlátozza. Ez a fajta biztonság lehetővé teszi, hogy a szerver IP címe ne kerüljön be SPAM listákba és az ügyfeleink ne károsodjanak az ebből kifolyó negatívumokból.

A vírusos oldalaknál gyakran előfordul, hogy a programkódban alattomosan elhelyezett kóddal nem az oldalt lehetetlenítik el, hanem időnként tömeges levélkiküldésre használnák fel, egyfajta átjáróként. Jó hír, hogy a szervereink védelme miatt ezt csak alig pár tucat címzettnek tudják megtenni, a rossz, hogy emiatt oldalának mail() azaz levélkiküldő fügvényét letiltja rendszerünk.
Ilyen esetben mindig értesítjük ügyfelünket a hibáról és annak megoldása után engedélyezzük a fügvényt. Ha ez többször is előfordul egymás után, akkor a többi ügyfelünk érdekében a mail() fügvényt letiltjuk, amíg szakértő programozót nem szerez az ügyfél, illetve ilyen esetben is állunk rendelkezésére külön programozóval.

Mikor felelős a tárhelyszolgáltató?

Abban az esetben lehet felelősségre vonni a tárhelyszolgáltatót, ha a fentieken kívül történt a megfertőződés. Nálunk jelenleg ennek az esélye, gyakorlatilag 0, azaz zéró, ennek több oka is van. Az egyik, hogy Linux operációs rendszert használunk, amelyre gyakorlatilag alig létezik vírus, emellett minden felhasználónk úgy van bekorlátozva fájl (FTP) szinten, hogy nem léphet ki a mappájából, emiatt nem veszélyezteti a többi ügyfelünket, emellett a szerver és PHP beállításaink is a megfelelő módon korlátozottak. Ha néznénk egy olyan elképzelhetetlen eseménysorozatot, amely lehetővé tenné, hogy oldala a mi hibánkból válna vírusossá, abban az esetben is van mindenről több napra visszamenő adatmentésünk.

undefined

 

Tartalmaim vírusosak lettek/nem visszaállíthatóak, törölték bizonyos fájlaim. Mit tegyek?


Minden fájlról van több napra visszamenő adatmentésünk, így lehet kérni részleges (csak a fájlok), ritka esetben teljes (adatbázis) visszamentést, amelyben rendszergazda kollégánk egy régebbi mentésből visszamásolja a még nem fertőzödött tartalmat.


Nagyon fontos megjegyezni viszont a továbbiakat! Ha nem teszed meg azokat az óvintézkedéseket, amiket adtunk, akkor oldalad ugyanúgy vírusos lehet, vagy ha nem találod meg a rendszerében levő hibát, odlalad ugyanúgy feltörhetik, így ilyen esetben az adatmentés visszahelyezése csak tüneti kezelés.


Minden esetben ajánljuk, hogy időközönként frissítsd oldalad, amennyiben portálrendszerről van szó, változtass jelszót, készíts saját magad adatmenést, megelőzve ezzel a későbbi bajokat, hisz tudod, jobb félni mint megijedni.

 

A cikkben szereplő letölthető alkalmazások:
FileZilla / Transmit / Panda Antivírus

A cikkben szereplő linkek:
Vezérlőpult / Google Webmester Eszközök / WebFTP

 

RSS

Az oldalt a Webidea Informatika készítette.