Moja spletna stran je bila napadena!

ZAKAJ IN KAKO PRIDE DO NAPADA?

V svetu interneta nič ne počiva, na žalost tudi “hekerji” ne in iz dneva v dan iščejo nove načine, kako bi v svojo korist ali le iz zadovoljstva oškodovali druge uporabnike na spletu. Napadi so pogosti, običajno pa se vršijo na 3 načine:

1. V 98 % primerov stran postane tarča virusa zaradi nevzdrževane spletne strani. Najbolj pogoste tarče napadov so odprtokodne in neposodobljene skripte, kot so Joomla, WordPress, PrestaShop, phpBB,… Napadi se pogosto izvajajo tudi preko neposodobljenih vtičnikov (plugins) in tudi tem (themes), ki so naloženi k posamezni skripti.
2. Virus se naloži na računalnik uporabnika in “ukrade” shranjene prijavne podatke. Virus se posledično razširi na paket gostovanja, saj je pridobil dostop zaradi nezaščitenega računalnika. Prizadeti uporabniki so običjano tisti, ki imajo shranjeno uporabniško ime in geslo v brskalniku, FTP programu ali odjemalcu pošte (Microsoft Outlook, Mozilla Thunderbird,…).
3. DDoS napad (Denial-of-service attack) je najresnejši poizkus vdora, kateri se vrši na nivoju celotnega strežnika in ga v najslabšem primeru lahko spravi tudi “na kolena”. V takšnih primerih “heker” sočasno napade večje število strežnikov različnih ponudnikov gostovanj, s pomočjo katerih nato običajno vrši napad naprej na večje storitve / ustanove, kot je na primer banka. Z večjim številom strežnikov heker lahko izvaja tudi večje število hkratnih procesov, kar lahko “zlomi” tudi najbolj zaščitena omrežja. Takšni napadi so zelo redki, v kolikor administrator strežnika poizkus napada opazi pravočasno in ta ni premočan, pa lahko hujše težave tudi prepreči.
4. Napadi so različni. Ponavadi se na vaš paket gostovanja naložijo zlonamerne datoteke / koda, kjer se:

• vdiralec lahko “hvali”, da ste bili “pohekani”,
• razpošiljajo ogromne količine Vsiljene pošte (SPAM) na naključne naslove (tudi naslove v vaši bazi),
• predstavljajo kot lažne spletne strani za tujo banko (phishing) in preko njih lahko kradejo tudi denar,
• pridobijo osebne podatke vaših strank v zbirki,
• izbrišejo datoteke,
• in podobno.

KAKO UREDITI NASTALO SITUACIJO?

Za začetek kontaktirajte ponudnika gostovanja (nas), da bomo podrobneje preverili težavo in vam pomagali pri nadaljnjih korakih. Informativno lahko obvestite tudi Center za omrežne incidente SI-CERT (cert@cert.si). Center mesečno obravnava tudi do 200 prijavljenih spletnih napadov pri različnih slovenskih ponudnikih. Enako stanje je tudi v tujini.

Zlonamerne datoteke je sicer potrebno locirati na strežniku in jih odstraniti oziroma očistiti kompromirano kodo. V kolikor redno pregledujete vašo spletno stran je rešitev lahko tudi preprosta in hitra, in jo uredite z enostavno obnovitvijo vašega paketa gostovanja na stanje prejšnjih dni, zato je zelo pomembno, da ponudnik gostovanja omogoča tudi brezplačno restavriranje paketa gostovanja iz varnostnih kopij (backups).

Pri NEOSERV.si redno izdelujemo varnostne kopije, tako da lahko svoje gostovanje enostavno obnovite na stanje pred napadom, seveda v kolikor ste težavo pravočasno opazili. Pri odkrivanju spletnega virusa si lahko pomagate tudi tako, da datoteke filtrirate / sortirate po zadnjih spremembah, saj so kompromirane datoteke običajno spremenjene kot zadnje. Velikokrat se zlonamerna koda vrine tudi v .htaccess datoteko ali datoteke vaših tem (themes) in vtičnikov (plugins).

V primeru napada strani preko uporabnikovega računalnika, na katerem se nahaja virus, se običajno zlorabi geslo email naslovov, ki ga nato izkoristijo za razpošiljanje SPAM e-pošte.

Po odstranitvi zlonamernih vsebin je priporočeno spremeniti tudi gesla za dostop do storitev (nadzorne plošče gostovanja, administracije skript, e-mail računov,…).

Odlično orodje za preverjanje zlonamernih vsebin na vaši spletni strani je tudi sitecheck.sucuri.net/scanner/ in podobni.

KAKO PREPREČITI NEPOOBLAŠČENE VDORE?

Najbolje boste za zaščito vaših spletnih strani poskrbeli sami, in sicer z rednimi posodobitvami vašega spletna mesta (aplikacij / skript). Kot omenjeno 98 % spletnih mest prejme virus ravno preko neposodobljenih in posledično varnostno ranljivih skript in njenih neažurnih vtičnikov (plugins) in tem (preoblek – themes). Zlonamerna koda namreč vedno preži na starejše različice spletnih aplikacij, za katere so vse ranljivosti že dobro znane.

Priporočamo vam, da vašo spletno stran pregledate vsaj 1x tedensko in preverite posodobitve. Če za vzdrževanje spletnega mesta ne skrbite sami, ampak vaš izdelovalec spletne strani, bodo za te poskrbeli na njihovi strani, predhodno pa se o tem seveda prepričajte, da ne bo prihajalo do nepotrebnih težav in nevšečnosti.

Če ste skripto namestili preko vmesnika Softaculous in v postopku instalacije vpisali vaš kontaktni email naslov, boste obvestilo o posodobitvah prejeli tudi na ta naslov takoj, ko bodo razvijalci izdali nove posodobitve. Sporočil, poslanih preko tega vmesnika ne ignorirajte, ampak jih vzemite resno, saj boste le tako najbolje zaščitili vaše spletne strani. Obvestilo o posodobitvah se običajno nahaja tudi v administraciji posamezne skripte, v kateri boste opozorjeni tudi o posodobitvah vtičnikov in tem!

Za varnost in posodobitve vaših spletnih strani morate skrbeti sami oziroma vaši programerji, za varnost na nivoju strežnika pa skrbi naša ekipa in varnostni mehanizmi strežnika. V kolikor nas ti opozorijo o sumljivih procesih na vašem paketu gostovanja, vas o tem obvestimo tudi iz naše strani in čimprej skupno poizkusimo urediti zadevo.

Slovenske organizacije Si-Cert, Register.SI, Varni na internetu in Ministrstvo za izobraževanje in šport, so v skupnem sodelovanju izdali tudi priročno brošuro, v kateri imate zapisane informacije in nasvete za uspešno in varno upravljanje vašega spletnega mesta. Knjižico ABC Varnosti za Lastnike Spletnih Strani si lahko v PDF obliki ogledate ali prenesete tukaj.

Za dodatno pomoč nas lahko pokličete na 059 335 000 ali nam pišete na info@neoserv.si.