Nahlásená škodlivá stránka – nočná mora webmasterov

0
2911

Možno sa niekedy pustíte do výroby svojej stránky, alebo už máte nejaké skúsenosti a čo to za sebou. Môže sa stať, že váš projekt bude naozaj zaujímavý a úspešný. To môže veľmi hnevať vašu konkurenciu, vašich nepriateľov, alebo len upútate pozornosť niekoho, čo sa vyzná viac než vy a ešte k tomu sa bezočivo zachová poškodením vašej stránky. Sú hackri, ktorí vám stránky zmažú, iní sú o niečo viac slušní, nezmažú vám stránky, len premažú hlavný súbor svojim s podpisom, čím vás vlastne upozornia na dieru v ochrane a vy ste tak neprišli o všetko. Včera som napríklad riešil výpadok u stránok našich partnerov k jednej televíznej šou. Ak sa na vašej stránke objaví hláška – NAHLÁSENÁ ŠKODLIVÁ STRÁNKA – je tu problém, nie vždy môžete prísť na to hneď, ako to celé vrátiť späť, prípadne, ako zachrániť, čo sa ešte dá.

Útok hackerov

1. Hľadajte príčinu: Príčina musí byť jasná. Vaša stránka smeruje niekam inam. Najčastejší dôvod je ten, že sa vám niekto dostal na server stránky, na FTP cez príliš jednoduché, alebo uniknuté heslo. Následne cez tento prístup pridal do webu súbor presmerúvajúci užívateľov na pochybný server, čím sa vlastne aj vaše stránky smerujúce na tento server stávajú pochybné. Sú to stránky zväčša tie, ktoré sa tvária akoby niečo inštalovali a ponúkajú okamžitú pomoc v podobe antivírusového programu, weby s ponukou niečoho na stiahnutie a množstvo iných webov, ktoré sa skrátka budú snažiť k vám dostať červov – rozumej vírusy. Na FTP si preto dobre prezrite dátumy posledných zmien a ak sa medzi súbormi nachádza súbor redirect, default, index zmenení a pritom nie vami, našli ste vinníka. V podstate jednoznačne to musí byť niektorý z táchto súborob, lebo hackrovi šlo spustenie vírusu pri vstupe na web. Prezrite, či nejde len o vložený cudzí kód vo vašom pôvodnom index.php, alebo či sa nepridal celkom nový vlastný súbor. Slušný hacker vám na serveri nechá súbor index.bac alebo index.backup, môže to byť rôzne. Prejdite si nejaké svoje články cez zdrojový kód, či sa v nich nenachádzajú odkazy na podivné stránky a online služby, ktoré tam nikdy pred tým neboli.

Hacker na webe
Tu si môžete všimnúť prítomnosť cudzieho kódu v zdrojom kóde článku. Cez string zelenou farbou (tak to zobrazuje napríklad editor PSPAD) sa dalo nájsť, kde sa nachádza. Zistil som že v súbore index.php tvorí prvú polovicu. Obrázok nižšie ukazuje, ako sa hacker snažil zamaskovať za Google Analytics, ktoré mimochodom na onom webe nie sú nainštalované, ale v skutočnosti sa pod Analytics len maskovali v dlhom hash kóde pochybné domény.
Hacker na webe

2. Opravte problém a riešte problém číslo 2.: Keď odstránite cudzí kód a viete presné znenie toho pôvodného, web môže fungovať. Ak sa vám zmenil index a vy nepoznáte pôvodný, obnovte ho zo zálohy. Vždy je dobré stránky zálohovať. útoky hackerov môžu nastať kedykoľvek a vidíte, včera ho riešila stránka o Superstar, minulý týždeň nekomerčná stránka so skákacími topánkami. V prípade používania systému WordPress je bezproblémové použitie index.php z niektorej aj staršej zálohy. To hlavné z aj aktualizovaného obsahu je predsa len v databáze. Nastáva však problém druhý – vírus je preč, ale Google rovnako ako Firefox vašu stránku budú stále ohlasovať ako nebezpečnú, posielajúcu na vás vírusy a tak upozornia každého o tom, že je stránka nebezpečná. To vám môže výrazne a tvrdo uškodiť. Najmä ak ste firma, alebo projekt s vysokou návštevnosťou a stálou klientelou. Dievčatá si poriadne poplakali keď prišli o svoje stránky. V tomto prípade sa na vašej stránke zobrazuje text o škodlivosti a teda:
Webová stránka http://www.XXXXXX bola označená ako podvodná a na základe nastavení zabezpečenia bola zablokovaná. Škodlivé stránky sa pokúšajú nainštalovať programy, ktoré kradnú súkromné údaje, používajú počítač na útoky na iné počítače alebo poškodzujú systém. Niektoré škodlivé stránky rozširujú nebezpečný softvér úmyselne, ale mnoho z nich bolo napadnutých a rozširuje tento softvér bez vedomosti ich majiteľa.
Vaše napadnuté stránky si potom overte v aplikácii: http://www.google.com/safebrowsing/diagnostic?site=http://XXXXX/&hl=sk pričom XXXX je tvar vašej domény aj s WWW a samozrejme na konci s koncovkou. Dozviete sa pár vecí o doméne.

3. Treba zájsť za ujom Googlom a poprosiť ho o pomoc: Hlásenie na Vašom webe dobre sledujte. Prihláste sa pred tým na Váš účet v Google.com a potom sledujte inštrukcie na hlásení vašej stránky o odstránení varovania a problému. Dostanete sa do Webmaster Tool sekcie na Google, kde budete môcť Googlu dokázať, že web je váš a problém ste odstránili. Ubezpečte sa, že ste problém naozaj odstránili, následne si vyberte spôsob, akým dokážete, že je web váš, napríklad umiestnením konkrétneho súboru na FTP, pridaním kódu do META v hlavnom súbore, prípadne pridaním TXT do vašich DNS záznamov. Spôsobov dokázania, že ste majiteľom je viacero. Následne po dokázaní a overení je už len posledný bod – napísať Googlu krátku prosbu o prehodnotenie webu, najlepšie v angličtine, že ste chybu odstránili a že môže odstrániť hlásenie – do okienka na odkaze: https://www.google.com/webmasters/tools/reconsideration.
POZOR! Stránky vám môžu po zmazaní škodlivej časti fungovať len čiastočne a to aj po niekoľkonásobnom reinštalovaní celej stránky. Skúste vydržať, napríklad systémy Joomla, WordPress ale aj mnohé vlastné nefungujú po odstránení vírusu v plnej podobe ešte nejaký čas. Prehliadač bude neustále niektoré prvky na webe blokovať až do chvíle, než Google naozaj odstráni varovanie a prítomnosť vašich stránok na blackliste (zoznam podvodníkov). To môže trvať aj jeden deň. Vyzerá to asi tak, keď na kódom bohatšej stránke vypadne celé CSS a webmasteri vedia o čom hovorím.

4. súbor .htaccess: Teraz pozor. Ak problém pretrváva, skontrolujte si aj svoj súbor .htacces v hlavnom koreňovom adresári webu. Tento súbor je formátu htacces a nemá názov. Je to skrátka len „.htaccess“. Pri jeho otvorení pri používaní bežného nastavenia a wordpressu by mal jeho obsah vyzerať takto:

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

Avšak ak ho napadol vírus vyzerá rovnako, no niekde celkom dole, po posunutí posuvníka sa ukrýva veľký kód smerujúci ľudí na zavírené stránky. Je preto nutné odstrániť tento kód a uložiť ho len s tou časťou, ktorá je ako text uvedená vyššie. V prípade ak používate WordPress môžete priamo skopírovať vyššie text, vložiť do textového súboru a uložiť ho ako .htaccess. Finta ako to spraviť keď to Windows spraviť odmieta je nasledovná. Vytvorte si abc.txt súbor s textom už spomenutým uvedeným vyššie. Ten nahrajte na vaše FTP a premenujte na .htaccess.
Najlepšie je však v každom prípade nájsť vhodný program na pripojenie k FTP – FTP klienta, cez ktorý môžete vidieť priamo váš originálny .htaccess a tam odstrániť tento príživnícky kód. Pri riešení konkrétneho problému s htaccess poradil aj hosting Gigaserver.cz. Príklad súboru si pozrite napríklad na tomto odkaze: http://bux.n-games.eu/priklad.htaccess.txt

Ako sa problému vyhnúť?
Vyhnúť sa tomuto problému dá pomerne ľahko. Používajte dlhé a komplikované heslá. jedna možnosť, ako sa k vám nákaza dostala môže byť aj priamo vírusom. Skontrolujte, či nemáte na disku C zložku s umiestnením a tvarom „c:\system volume informations\“. Ak áno, jej obsah musí byť zničený, no len tak cez Windows to nepôjde. Bude nutné použiť účinný antivírus, skúsiť s ním zložku prejsť a zmazať obsah v Núdzovom režime OS, alebo najlepšie stiahnmuť si systém Linux Ubuntu, nabootovať s ním operačný systém, cez neho sa dostať k zložke a jendoducho ju zmazať. Následne sa potom už bez Ubuntu disku znovu spustiť k Windosu, kde by zložka byť už nemala. Neodstránením zložky si môžete heslá meniť dokola, vždy sa vám tam červ dostane a zložka nemusí robiť len túto neplechu.
Späť k heslám. Aspoň 12 miestne kombinované veľkosti znakov a podobne. Heslo nikde nezverejňujte a vôbec ho neposielajte emailom kamarátom. Heslo na FTP, a ani len do administrácie stránok by nemalo opustiť Váš email a v tomto prípade zas ani heslo do emailu by nemalo opustiť vás. Heslá v programe Total Commander sa ukladajú na manipulovateľný súbor, takže tu je pre vás jedna finta, ktorá vás ochráni aj proti vírusom sliediacim práve po heslách z Total Commanderu. Všetky heslá, ktoré používate upravte tak, aby ste mali napríklad na konci každého hesla jedno slovo v kombinovanom tvare známe len vám. Do Total Commanderu si ale uložte heslá bez tejto časti. Pri prihlásení vždy len k heslu pripíšete tú časť známu len vám a pripojíte sa. Zároveň v Total Commanderi budú uložené neúplné heslá a hackrovi je potom súbor s heslami celkom zbytočný. Verte či nie, tento trik chráni pár veľkým firmám na Slovensku ich stránky a netýkal sa ich ten problém s únikom hesiel stránok z roku 2009.