V předchozích dílech jsme se věnovali doporučením a ověřeným postupům. Nakonec jsem chtěl přidat ještě ukázku jak v reálu probíhá takové “odvirování” webu, tedy zbavení se nákazy. Nepodařilo se mi však najít vhodně napadený web. Všechno vyřešilo nainstalování WordFence a následné nahrazení vadných souborů. Žádný backdoor, skryté soubory, uživatelé ani kusy kódu v databázi. Prostě nic zajímavého. Takže jsem se rozhodl věnovat jednomu tématu, které se nedávno probíralo na Webtrhu.
Jedná se o vlákno Cesky-hosting.cz – nedoporučuji. Zakladatel si zde stěžuje, že mu Český Hosting vypnul web.
Zdravím, přišlo mi upozornění že mi byl odpojen hosting. Bez upozornění, bez varování. Po telefonu jsem zjišťoval o co se jedná. Pán mi sdělil, že je tam potenciální hrozba. Sám nevěděl kde a v čem. Prý ve wordpresu. Prý v nějakém souboru. Když jsem se zeptal co konkrétně to způsobuje a co, tak mi nebyl schopen odpovědět. Někdo vyhodnotil nějaký soubor jako potencionální hrozbu. Třeba prázdný soubor??. .... nikdo na nic neupozornil, ani nevolal. Pouze dorazil email - zablokováno. Co se tam odehrálo taky neví, co to způsobuje taky neví. Závěrem je to podle mně tak: něco někde asi je, nikdo neví co a kde, může to způsobit problém, preventivní blokace. Kdy a jaký to taky neví.
Nebudeme se teď zabývat částí, kde zakladatel vlákna píše že nebyl upozorněn. Přijde mi to celkem divné. Neznáme detaily celého případu a pro účely toho článku ani nejsou potřeba. Většinou se ale posílá email anebo SMS.
Jak hosting zjistí že něco není v pořádku
Prozatím jsem se setkal celkem se 3 metodami, které odhalily, že něco není v pořádku.
Webhosting spamuje
Tohle je nejčastější způsob důvod jak poskytovatel hostingu zjistí, že něco na vašem webu není v pořádku. Vrací se mu totiž nedoručené emaily anebo mu přijde hlášení o spamu. Většinou následuje zablokování funkce mail() a napíšou vám, že váš webhosting spamuje a může se jednat o napadení. Nemusí se nutně jednat o napadení. Problém může dělat i nezabezpečený formulář. Třeba takováto upozornění rozesílá Wedos.
Vážený zákazníku, na vašich stránkách doména.cz se nachází nezabezpečený formulář pro přidávání komentářů. Z toho důvodu z webu odchází e-maily, které jsou vyhodnoceny jako spam. Zabezpečte všechny formuláře na vašem webu před jejich vyplňování roboty (např. pomocí captcha). V každém případě je vhodné případnou databázi registrovaných uživatelů či příspěvků promazat. Byli jsme nuceni na vašem webu zablokovat funkci mail(). Po vyřešení problému nás kontaktujte a informujte o způsobu zabezpečení.
Jak jsem psal. Zjistili že odchází emaily, které vyhodnotili jako spam a zablokovali funkci mail(). V další části pak ukazují kde by mohl být problém. Samozřejmě mimo výše uvedených věcí (formulář, uživatel s oprávněním) to může být i napadení webu.
Stačilo si vyžádat vzorky takových emailů a zjistil jsem kde byl problém.
Zablokováním funkce mail() se chrání i hosting, protože jeho mailserver pak neskončí na blacklistech.
Útočící webhosting
Většina hostingových společností má nějakou formu ochrany – firewall, IPS/IDS. Ta je postavena na monitorování příchozího síťového provozu. Ovšem ochrana umí vyhodnocovat i odchozí provoz. Pokud detekují nějaké problémy mohou určitý síťový provoz omezit anebo všechen zakázat a teprve po této akci vám dají vědět. Pokud má hosting k dispozici IPS/IDS ochranu umí odchozí útoky filtrovat, takže vypnutí webu není nutné.
V každém případě pokud na útoky přišli takto, mají k dispozici nějaké logy, které vám pomohou napadení odhalit.
Hlášení od cíle útoku
Jakmile je váš web napaden a získá nad ním kontrolu útočník, tak je většinou rovnou zařazen do botnetu. Tohle vše se provádí zcela automaticky robotem. Není v tom nic osobního, prostě vám robot hackne web, vykrade databází uživatelů a pak začne spamovat, těžit kryptoměnu, pozmění obsah, pokusí se šířit anebo začne útočit. Právě útoky jsou zvláště u virtuálních serverů problém. Pokud má hosting dostatečnou konektivitu většinou vás moc nelimituje a to může způsobit silný útok.
Po nahlášení může dojít k vypnutí hostingu anebo jen přeposlání stížnosti.
Proč hosting web vypíná?
Jak asi tušíte, proto aby minimalizoval škody. Napadený web je už většinou součástí botnetu a vykonává rozkazy, které dostal z command & control serveru. Často přímo ohrožuje návštěvníky pokusem se dále šířit.
Na co byste neměli zapomínat je, že zrovna váš webhosting může být vybrán třeba pro phishingovou kampaň. Někde v zapadlém adresáři se objeví phishingová stránka známé české banky a na ní přijdou desítky tisíc lidí, kteří dostali phishingový email. Tohle vše se může stát během pár vteřin. V botnetu jsou často stovky tisíc strojů, kde každý má nějaký úkol. Vzhledem k tomu, že se jedná o váš webhosting, tak následky půjdou za vámi.
Phishingová stránka se většinou nějak vysvětlí, ale co budete dělat pokud by se vám tam rozjel falešný eshop, kde stovky lidí koupí neexistují zboží? Samozřejmě na něm nebudou žádné kontaktní údaje a tak podvedení lidé, když jim zboží nedorazí začnou pátrat po majiteli domény. No a to jste vy. Spousta nepříjemných telefonátů a nutnost podávat výpověď na policii není něco o co stojíte. To si teprve budete říkat, proč to ten hosting okamžitě nevypnul.
Závěr
Takže pokud hosting zjistí napadení a vypne vám web, tak to berte tak, že to bylo i ve vašem zájmu. Pokud si vyberete firmu co má 24/7 podporu, tak pro ně nebude problém vám to znovu zapnout i ve tři ráno anebo s vámi průběžně komunikovat.
Další díly
- SlevyNaHosting.cz - Slevové kupóny na hosting, VPS nebo registraci domén
- SEO případové studie - Seznam zajímavých SEO případovek a postupů