Site virusat. Ce ma fac?

Manifest Media :: Cluj-Napoca

Ni s-a intamplat de-a lungul timpului sa ne contacteze clienti, spunand ca au un site virusat, infectat cu malware iar in cazurile mai grave, daca nu a fost observat din timp si remediat, google a declasat siteul din cautari iar browserul afiseaza un ecran rosu cu mesaje disperate sa fugi de acolo cat te tin picioarele.

Ca in multe alte cazuri, problema securitatii siteurilor web trebuie tratata din 2 perspective: preventie si remediere.

Preventie : Bune practici de urmat, pentru a nu avea un site virusat, infectat cu malware

Desi aceste masuri sunt elementare, chiar evidente, pentru oricine a avut un contact cat de cat cu lumea virtuala, le amintim fara a detalia prea mult. Le putem imparti in 3 categorii, in functie zona pe care urmarim sa o protejam. De retinut ca siguranta sistemului depinde de veriga cea mai slaba dintre aceste trei elemente, este de ajuns ca atacatorul sa gaseasca o bresa intr-una dintre aceste zone, pentru a afecta intreg sistemul, rezultand nu doar un site virusat, ci si un server compromis, folosit de atacatori ulterior pentru a trimite spam si/sau raspandi virusul sau chiar un calculator personal infectat.

  • masuri pentru a securiza serverul (sau doar contul nostru de hosting daca nu avem acces la intreg serverul)
    Aici este vorba de felul in care este configurat serverul, firewall-ul sau alte restrictii la accesul zonelor sensibile, aplicatiile si modulele instalate sa fie intotdeauna upgradate la ultima versiune disponibila, etc.
  • masuri pentru a securiza calculatorul personal de unde accesam zonele private ale site-ului (zona de administrare, contul de hosting, ftp, etc)
    Antivirus updatat la zi precum si o grija maxima pentru locatiile pe care le vizitam pe net, fisierele pe care le download-am, aplicatiile pe care le instalam, unde tinem parolele salvate (de preferinta nu in browser si clientul de ftp), etc.
  • masuri pentru a securiza siteul web propriu zis
    Acestea de regula sunt in sarcina autorului siteului web, si presupun printre altele (dar nu numai) grija pentru a valida orice input, restrictii la uploadul de fisiere pe server, un cod sursa fara vulnerabilitati la sql injection, cross-site scripting, etc. Daca aceste vulnerabilitati exista in site, se poate interveni si ulterior in codul sitelui web, intarind securitatea acestuia.

Pentru ca nu putem preveni orice scenariu, este foarte indicat sa pastram local o copie a site-ului web, iar daca site-ul este unul actualizat frecvent, atunci este bine sa facem backup-uri periodic, eventual chiar cu pastrarea, daca spatiul fizic permite, a mai multor astfel de versiuni de backup, denumite intr-un mod clar (ex nume_site-backup-29-04-2016.zip). De asemenea, de fiecare data cand facem un astfel de backup, este bine sa facem acelasi lucru si cu baza de date, exportand continutul acesteia intr-un fisier, folosind interfata de administrare phpMyAdmin disponibila de regula in contul nostru de gazduire.

Pentru a fi cu un pas inainte, sa fiti avertizati cat de repede cu putinta ca aveti un site virusat, noi la Manifest Media recomandam clientilor nostri, pe langa toate aceste bune practici, instalarea unui script ce ruleaza periodic pe server, care scaneaza fisierele de pe server si trimite un email de avertizare in cazul unei modificari aparute pe server. Instalam acest script pe siteurile clientilor carora le asiguram suport si mentenanta.

… si totusi avem un site virusat, ce ne facem acum?

In primul rand, schimbam toate parolele, cat de repede posibil: parole de acces la contul de gazduire, de ssh, ftp, baze de date, sectiune de administrare a siteului.

Daca am fost precauti si avem la dispozitie un backup al site-ului de dinainte de a fi infectat, suntem norocosi, procedeul de curatire este relativ usor si fara riscuri. Putem in acest caz sa restauram copia locala, uploadand-o direct pe site. Daca dorim sa vedem mai multe detalii, ce parti din site au fost infectate si in ce fel – acest lucru putand sa ne ofere informatii pretioase asupra vulnerabilitatilor din site – atunci putem compara copia locala cu ce se afla pe server, urmarind exact ce fisiere s-au modificat, atat ca dimensiune cat si ca data ultimei modificari. Aceasta comparatie o putem face foarte usor cu Total Commander, un file manager popular disponibil in regim shareware.

Deschidem intr-un panel al Total Commander-ului siteul de pe server (accesand prin ftp contul) iar in cealalta parte, fisierele locale. Putem folosi acum functia Syncronize Directories:

site virusat - Syncronize directories - Total Commander - Devirusare Site Web

In fereastra de sincronizare, ne asiguram ca urmatoarele optiuni sunt setate:

Subdirs – bifat – in acest fel, cautarea se va face recursiv in toate directoarele site-ului si nu doar in directorul radacina

Ignore date – debifat – in afest fel, vom fi avertizati de fisiere care si-au modificat data ultimei modificari, fata de copia locala pe care o avem. (Nota: Pentru a putea folosi data modificarii fisierelor in comparatie, trebuie sa avem backupul local facut in asa fel incat sa pastreze exact timestamp-ul original al fisierelor de pe server. Acest lucru il putem face prin crearea unei arhive pe server si descarcarea arhivei. Daca copiem structura de fisiere de pe server direct pe calculatorul local, vom avea copia locala avand toate fisierele cu data curenta, a transferului de pe server).

Cele 4 butoane de sub ‘Show’ ne asiguram ca sunt apasate toate mai putin cel cu semnul ‘=’, astfel vom vedea toate diferentele dintre cele 2 panel-uri.

Dupa ce ne asiguram ca aceste setari sunt facute in acest mod, apasam pe Compare si asteptam ca scanarea sa se termine. In functie de marimea siteului si de viteza conexiunii noastre la internet, aceasta scanare poate dura de la cateva secunde la cateva minute.

site virusat - total commander - syncronize and compare direcotries - devirusare site web Cluj-Napoca

Daca exista fisiere infectate, le vom vedea intr-o lista, putand ulterior sa le consultam rand pe rand, vazand ce exact s-a modificat pe server. Putem realiza o comparatie linie cu linie, direct din aceasta fereastra de sincronizare, actionand dublu-click pe fisierul pe care dorim sa il vizualizam.

Fisierele la care ar trebui sa acordam o atentie speciala – fiind tinta acestor atacuri, sunt fisierele .html, .html, .js, .php (sau alte limbaje server side scripting: asp,  etc.)

Din aceasta fereastra putem sa efectuam si uploadul fisierelor locale peste fisierele infectate, odata ce am terminat de inspectat fisierele modificate. Facem selectia fisierelor pe care dorim sa le sincronizam, apoi cu butonul Syncronize, incepem sincronizarea.

Daca a trecut ceva timp de la infectare fara sa remediem problema si Google a apucat sa detecteze paginile infectate, va declasa din rezultatul cautarilor site-ul nostru si va afisa un warning cand acesta va fi accesat. Odata ce am curatat siteul si ne-am asigurat ca am indepartat si vulnerabilitatile care au cauzat aceasta infectare, putem cere reincluderea in rezultate si eliminarea warning-ului de site infectat, prin intermediul Search Console (anterior numit Webmaster’s Tools).

Daca suntem mai putin norocosi si nu avem acest backup la dispozitie, curatarea acestui site virusat este un proces mai dificil, fiind nevoie de inspectarea cu atentie a fiecarui fisier modificat, recunoasterea codului strain injectat in sursa si eliminarea acestuia, daca virusul doar si-a adaugat codul la codul existent, fara sa stearga nimic din ce era. Altfel, curatarea unui site virusat devine si mai dificila, necesitand cunostinte tehnice de specialitate, pentru a nu face editari care sa afecteze functionarea site-ului web.

Daca va confruntati cu astfel de probleme neplacute avand un site virusat si doriti ajutor specializat, va stam la dispozitie prin serviciile noastre de Suport si Mentenanta Web Site – daca doriti un serviciu constant de monitorizare si interventie. Daca doriti un serviciu punctual, one-time, de curatare site virusat, atunci in urma analizarii complexitatii site-ului dvs, va vom trimite o oferta in cel mai scurt timp.

 

Facebook Comments

2 comentarii la „Site virusat. Ce ma fac?”

  1. Ce ma bucur ca am gasit siteul asta, chiar am nevoie de o curatare pe site si un abonament de mentenanta. Astept oferta dvs. Multumesc.

  2. Multumim si noi! Oferta noastra o gasiti pe site-ul nostru, pentru alte informatii si/sau incheierea contractului de suport va asteptam pe site! Numai bine si site-uri curate!

Lasă un răspuns