Site virusat. Ce ma fac?

Ni s-a intamplat de-a lungul timpului sa ne contacteze clienti, spunand ca au un site virusat, infectat cu malware iar in cazurile mai grave, daca nu a fost observat din timp si remediat, google a declasat siteul din cautari iar browserul afiseaza un ecran rosu cu mesaje disperate sa fugi de acolo cat te tin picioarele.

Ca in multe alte cazuri, problema securitatii siteurilor web trebuie tratata din 2 perspective: preventie si remediere.

Preventie : Bune practici de urmat, pentru a nu avea un site virusat, infectat cu malware

Desi aceste masuri sunt elementare, chiar evidente, pentru oricine a avut un contact cat de cat cu lumea virtuala, le amintim fara a detalia prea mult. Le putem imparti in 3 categorii, in functie zona pe care urmarim sa o protejam. De retinut ca siguranta sistemului depinde de veriga cea mai slaba dintre aceste trei elemente, este de ajuns ca atacatorul sa gaseasca o bresa intr-una dintre aceste zone, pentru a afecta intreg sistemul, rezultand nu doar un site virusat, ci si un server compromis. Atacatorii pot folosi ulterior serverul pentru a trimite spam si/sau raspandi virusul. Sau si mai rau, pot obtine acces la un calculator personal infectat.

Masuri in caz de site virusat

  • masuri pentru a securiza serverul

    (sau doar contul nostru de hosting daca nu avem acces la intreg serverul)
    Aici este vorba de felul in care este configurat serverul, firewall-ul sau alte restrictii la accesul zonelor sensibile, aplicatiile si modulele instalate sa fie intotdeauna upgradate la ultima versiune disponibila, etc.

  • masuri pentru a securiza calculatorul personal

    de unde accesam zonele private ale site-ului (zona de administrare, contul de hosting, ftp, etc)
    Antivirus updatat la zi precum si o grija maxima pentru locatiile pe care le vizitam pe net, fisierele pe care le download-am, aplicatiile pe care le instalam, unde tinem parolele salvate (de preferinta nu in browser si clientul de ftp), etc.

  • masuri pentru a securiza siteul web

    propriu zis
    Acestea de regula sunt in sarcina autorului siteului web, si presupun printre altele (dar nu numai) grija pentru a valida orice input, restrictii la uploadul de fisiere pe server, un cod sursa fara vulnerabilitati la sql injection, cross-site scripting, etc. Daca aceste vulnerabilitati exista in site, se poate interveni si ulterior in codul sitelui web, intarind securitatea acestuia.

Pentru ca nu putem preveni orice scenariu, este foarte indicat sa pastram local o copie a site-ului web, iar daca site-ul este unul actualizat frecvent, atunci este bine sa facem backup-uri periodic, eventual chiar cu pastrarea, daca spatiul fizic permite, a mai multor astfel de versiuni de backup, denumite intr-un mod clar (ex nume_site-backup-29-04-2016.zip). De asemenea, de fiecare data cand facem un astfel de backup, este bine sa facem acelasi lucru si cu baza de date, exportand continutul acesteia intr-un fisier, folosind interfata de administrare phpMyAdmin disponibila de regula in contul nostru de gazduire.

Pentru a fi cu un pas inainte, noi la Manifest Media recomandam clientilor nostri, pe langa toate aceste bune practici, instalarea unui script ce ruleaza periodic pe server. Astfel veti fi avertizati cat de repede cu putinta ca aveti un site virusat.
Acest script scaneaza fisierele de pe server. El va trimite un email de avertizare in cazul unei modificari aparute pe server. Instalam acest script pe siteurile clientilor carora le asiguram suport si mentenanta.

… si totusi avem un site virusat, ce ne facem acum?

In primul rand, schimbam toate parolele, cat de repede posibil: parole de acces la contul de gazduire, de ssh, ftp, baze de date, sectiune de administrare a siteului.

Daca am fost precauti si avem la dispozitie un backup al site-ului de dinainte de a fi infectat, suntem norocosi. Procedeul de curatire este relativ usor si fara riscuri. Putem in acest caz sa restauram copia locala. O uploadam direct pe site. Daca dorim sa vedem mai multe detalii, atunci putem compara copia locala cu ce se afla pe server. Vedem astfel ce parti din site au fost infectate si in ce fel. Acest lucru ne poate oferi informatii pretioase asupra vulnerabilitatilor din site. Vedem astfel exact ce fisiere s-au schimbat. Urmariti atat dimensiunea cat si data ultimei modificari.

Total Commander – un tool antic dar foarte de ajutor

Aceasta comparatie o putem face foarte usor cu Total Commander. Acesta este un file manager popular disponibil in regim shareware.

Deschidem intr-un panel al Total Commander-ului siteul de pe server. Facem asta accesand prin ftp contul. In cealalta parte, accesam fisierele locale. Putem folosi acum functia Syncronize Directories:

site virusat - Syncronize directories - Total Commander - Devirusare Site Web

In fereastra de sincronizare, ne asiguram ca urmatoarele optiuni sunt setate:

Subdirs – bifat – in acest fel, cautarea se va face recursiv in toate directoarele site-ului si nu doar in directorul radacina

Ignore date – debifat – in afest fel, vom fi avertizati de fisiere care si-au modificat data ultimei modificari, fata de copia locala pe care o avem. (Nota: Pentru a putea folosi data modificarii fisierelor in comparatie, trebuie sa avem backupul local facut in asa fel incat sa pastreze exact timestamp-ul original al fisierelor de pe server. Acest lucru il putem face prin crearea unei arhive direct pe server. Descarcam apoi arhiva. Daca copiem structura de fisiere de pe server direct pe calculatorul local, vom avea copia locala avand toate fisierele cu data curenta).

Cele 4 butoane de sub ‘Show’ ne asiguram ca sunt apasate toate mai putin cel cu semnul ‘=’, astfel vom vedea toate diferentele dintre cele 2 panel-uri.

Dupa ce ne asiguram ca aceste setari sunt facute in acest mod, apasam pe Compare. Asteptam ca scanarea sa se finalizeze. In functie de marimea siteului si de viteza conexiunii noastre la internet, aceasta scanare poate dura de la cateva secunde la cateva minute.

site virusat - total commander - syncronize and compare direcotries - devirusare site web Cluj-Napoca

Analiza rezultate comparatie

Daca exista fisiere infectate, le vom vedea intr-o lista, putand ulterior sa le consultam rand pe rand, vazand ce exact s-a modificat pe server. Putem realiza o comparatie linie cu linie, direct din aceasta fereastra de sincronizare. Actionam dublu-click pe fisierul pe care dorim sa il vizualizam.

Fisierele la care ar trebui sa acordam o atentie speciala sunt fisierele .html, .html, .js, .php (sau alte limbaje server side scripting: asp,  etc.). Acestea sunt de regula tinta acestor atacuri.

Din aceasta fereastra putem sa efectuam si uploadul fisierelor locale peste fisierele infectate, odata ce am terminat de inspectat fisierele modificate. Facem selectia fisierelor pe care dorim sa le sincronizam, apoi cu butonul Syncronize, incepem sincronizarea.

Daca a trecut ceva timp de la infectare fara sa remediem problema si Google a apucat sa detecteze paginile infectate, va declasa din rezultatul cautarilor site-ul nostru. Se va afisa un warning cand acesta va fi accesat.
Odata ce am curatat siteul, ne asiguram ca am indepartat si vulnerabilitatile care au cauzat aceasta infectare. Putem cere apoi reincluderea in rezultate si eliminarea warning-ului de site infectat. Putem face asta prin intermediul Search Console (anterior numit Webmaster’s Tools).

Daca suntem mai putin norocosi si nu avem acest backup la dispozitie, curatarea acestui site virusat este un proces mai dificil. Este nevoie de inspectarea cu atentie a fiecarui fisier modificat, recunoasterea codului strain injectat in sursa si eliminarea acestuia.
Daca virusul doar si-a adaugat codul la codul existent, fara sa stearga nimic din ce era procesul este mai usor. Altfel, curatarea unui site virusat devine si mai dificila. El necesita cunostinte tehnice de specialitate, pentru a nu face editari care sa afecteze functionarea site-ului web.

In concluzie…

Va confruntati cu astfel de probleme neplacute avand un site virusat? Doriti ajutor specializat? Va stam la dispozitie prin serviciile noastre de Suport si Mentenanta Web Site. Daca doriti un serviciu constant de monitorizare si interventie, noi putem fi solutia. Daca doriti un serviciu punctual, one-time, de curatare site virusat, atunci tot noi va putem ajuta. In urma analizarii complexitatii site-ului dvs, va vom trimite in cel mai scurt timp o oferta.

 

%d blogeri au apreciat: