Prázdninový bezpečnostní seriál: Jak se dozvím, že můj web někdo hacknul

Sdílení informací je základ internetu 🙂 Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on Google+
Google+
Share on LinkedIn
Linkedin

Převážná část lidí se dozví, že byl jejich web napaden díky svému prohlížeči anebo antiviru. Příznaky přitom nemusí být vůbec nápadné a často je i zkušenější uživatel ignoruje jako „prominutelnou“ chybu. Útočník přitom své chování může velmi často maskovat před uživateli s administrátorským oprávněním, takže jakoukoliv aktivitu vidí jen ostatní uživatelé. Útočníci totiž hrají o čas.

Varování v prohlížeči

Internetové prohlížeče toho dnes umí daleko více než jen zobrazování webových stránek. S každou další verzí také dbají na větší bezpečnost uživatele. Mají řadu metod jak ochránit uživatele před napadením jeho počítače. Mezi ně patří i Google Safe Browsing. Jedná se o největší seznam napadených webů na světe. Chrání přes tři miliardy zařízení a využívají jej nejznámější internetové prohlížeče jako Chrome, Safari, Firefix, Opera, Vivaldi anebo GNOME Web browser.

Google aktualizuje seznam na základě hlášení třetích stran a pomocí vlastních botů, kteří prochází internet.

O napadení svého webu se dozvíte tak, že jej navštívíte a vyskočí vám varovné okno.

Varování před vstupem na napadený web zaručeně odradí většinou návštěvníků. Nemáte žádnou možnost se bránit. Musíte nákazu vyčistit a požádat o znovu-posouzení stránky.

V tento okamžik si můžete být téměř jistí, že váš web je napaden. Okamžitě je třeba jednat. Web odstavit a začít hledat napadení. Samozřejmě stále je zde malá šance, že Google Safe Browsing vyhodnotil hrozbu jako falešně pozitivní. Stává se to třeba u serverů pro ukládání souborů, kam mohl někdo nahrát něco závadného.

Jakmile nákazu odstraníte je nutné kontaktovat Google přes Search Console a formulář pro hlášení bezpečnostních incidentů.

Varování antiviru (firewall)

Váš bezpečnostní balíček většinou používá více vrstev ochran. Mezi ně patří i firewall, který sleduje síťový provoz. Právě ten vás upozorní, že se web pokusil o nějaký druh útoku, případně že se snaží navázat spojení se serverem na nějakém blacklistu.

Tyto varování nikdy neberte na lehkou váhu. Často se stává, že se zobrazí jen 1x a když dáte obnovit stránku, tak už tam nebudou. Napadený web to může zkoušet na jednoho návštěvníka třeba 1x za týden, aby se vyhnul odhalení. Malware se dokonce může administrátorům schválně nezobrazovat. Pokud nemáte komunitu, které na vašem webu záleží, tak jste jediný, kdo na to včas může přijít 😉

Chce to detailně zjistit, co varování vašeho firewall spustilo.  Většinou firewall reaguje na vkládání nebezpečného JavaScript z adresy na blacklistu. Někdy se však stránka může pokusit rovnou o útok. Některé bezpečnostní balíčky blokují i pokusy o těžbu kryptoměny v prohlížeči. Tento druh napadení se za poslední rok velice rozšířil.

Informace z firewall vám také mohou být první indicií při hledání napadení.

Varování z webhostingu

Napadený webhosting je většinou přidán do BotNet jako zombie počítač a čeká na rozkazy od command & control serveru. V dnešní době zombie mají za úkol hlavně rozesílat spam, phishing, malware, provádět DDoS útoky, těžit kryptoměny a samozřejmě se dále šířit.

Dnes už každý lepší poskytovatel webhostingu má nějakou vlastní ochranu, která sleduje síťový provoz nejen dovnitř ale i ven. V lepším případě dokonce umí komunikaci mezi command & control serverem zablokovat a váš web tak nenapáchá žádné velké škody. V každém případě poskytovatel hostingu má nějaké záznamy o nepatřičné aktivitě a může vás na to upozornit. Jakékoliv emaily od webhostingu, ať už jde o výpadek anebo jiný problém, byste měli zobrazovat prioritně. Někteří emailový klienti umí posílat push notifikace na základě vašich filtrů. To se hodí.

A co vám může váš poskytovatel hostingu poslat za upozornění? Nejčastěji je to informace, že váš webhosting začal spamovat. Často toto upozornění doprovází i vypnutí funkce mail(), která umožňuje skriptu posílat emaily. V tomto případě je dobré napsat si o nějaké vzory spamu. Už se mi stalo, že jako napadení bylo vyhodnoceno upozornění na komentáře čekající ke schválení, které obsahovaly spam. Když mi jich robot vložil pár set a redakční systém mi poslal pár set upozornění, jako spam se to rozhodně jevit mohlo.

V tomto konkrétním případě šlo právě o upozornění na čekající komentáře se spamem. Ovšem bral jsem to opravdu vážně a hned začal s opatřeními (odstavit web, provést zálohu, hledání posledních změn v souborech …). Zároveň jsem požádal o vzorek rozeslaných emailů. Teprve když mi zaslali ukázky tak jsem pochopil, kde je problém.

Někteří poskytovatelé mají i nástroje na procházení souborů na webhostingu a hledají ty specifické pro napadení. Takovéto velké akce se dělají většinou, když se objeví kritická díra u známého redakčního systému.

Rozhodně varování od poskytovatele hostingu nepodceňujte. Jednak vám může vypnout web, ale také můžete zachytit napadení ještě v začátku. Třeba zrovna blokovaná komunikace s command & control serverem, kdy se váš web chce nahlásit jako zombie a říct si o rozkazy, vás může ušetřit mnoha problémům. Třeba první rozkaz co by váš web dostal by mohl být, vyexportuj mi osobní údaje uživatelů v databázi a pošli je. Takhle to třeba stihnete ještě včas zastavit.

Podivné chování webu

Napadený web může vykazovat podezřelé chování, které nesmíte podceňovat. Jakmile něco nefunguje jak by mělo, musíte zpozornět a zjistit, kde je problém.

Mezi příznaky napadení patří:

  • Rozbitý design stránky – Často bývá po napadení přímo do stránky vložen škodlivý kód, který může rozbít design stránky. Kusy kódu se mohou nacházet úplně nad stránkou anebo pod ní. Případně se objevuje chyba PHP Warning: Cannot modify header information – headers already sent by
  • Náhodné přesměrování – Některé bezpečnostní díry neumožňují přímo ovládnout web, ale třeba vložit do stránky jednoduchý JavaScript. Ten se může projevit jako přesměrování.
  • Zobrazování reklam, které tam být nemají – Pokud používáte reklamní sítě, většinou mají přísná pravidla pro zobrazování reklam, aby si udržely reputaci a nepohoršovali vaše návštěvníky. Někteří roboti zneužívající bezpečnostní díry po napadení webu prostě vymění reklamu za svou. Vydělávají tak peníze svému tvůrci. Jestliže uvidíte podezřelé reklamy – na produkty či služby, které jsou za hranicí vkusu anebo mají agresivní prvky (blikají) tak se může jednat o napadení.
  • Web je výrazně pomalejší anebo je občas nedostupný – často jde útočníkům jen o váš webhosting. Po napadení a přidání do BotNetu mu nařídí třeba provádět útoky anebo těžit kryptoměny. Tyto akce jsou náročné a brzy vyčerpají vaše přidělené serverové prostředky. To se projeví jako by byl web přetížený.
  • V textech jsou nesmyslné odkazy – Pokud jste objevili pozměněné texty, které odkazují na modré pilulky pro muže, tak už byste měli začít hledat zálohu.

Jak sami můžete provést test zdali váš web nebyl napaden

Ve většině případů se v krátké době po napadení na webu objeví škodlivý kód. Ten provádí nějakou neplechu. Například zobrazuje reklamu, snaží se šířit do počítačů návštěvníků anebo přesměrovává stránku. Tento kód bývá dosti specifický, takže existují online nástroje, které jej dokáží detekovat.

Následující online nástroje si dejte do záložek. Dříve či později je použijete 😉

  • Sucuri SiteCheck scanner – Sucuri jsou předními odborníky na bezpečnost. Také poskytují řešení pro ochranu webů a serverů. Jejich nástroj je poměrně rychlá a detekuje příznaky napadeného webu. Výhodou tohoto nástroje je, že prochází všechny soubory, které stránka využívá.
  • Web Inspector Free Website Malware Scanner – Tento nástroj vyzkouší jestli váš web neprovede nějaký ze známých způsobů útoku. Pokud se váš web chová podezřele divně určitě jej otestujte.
  • urlquery.net – Po zadání odkazu na kontrolovanou stránku, provede tento nástroj hned několik testů. Následně zobrazí všechny vkládané prvky do stránky, takže i když detekce selže, tak zjistíte jednotlivé spojení. Dále zobrazuje obsah vkládaného JavaScriptu, což pomůže abyste zjistili jestli se opravdu něco děje.
  • VirusTotal – Neprochází přímo web, ale různé databáze napadených webů, jestli tam náhodou nejste.

Většina moderních CMS má nějaký bezpečnostní doplněk, který nejenže zvyšuje odolnost vašeho webu, ale také v sobě má nástroje na testování stránek, zdali nebyly napadeny. Pokud například používáte WordPress, tak mohu doporučit plugin WordFence. Ten jednak umí detekovat škodlivý kód, ale zároveň porovnává soubory jádra, šablon a pluginů s originálem na WordPress.org. Tato detekce probíhá průběžně anebo jí můžete provést manuálně.

Další díly


Jak bude reklama vypadat?
-
Nechceš zde reklamu napořád jen za 60 Kč?
Zobrazit formulář pro nákup
Sdílení informací je základ internetu 🙂 Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on Google+
Google+
Share on LinkedIn
Linkedin

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *