Moja witryna została zhakowana :: Co mam teraz zrobić?

Więc zostałeś zhackowany! W porządku, nie jesteś tu sam; zdarza się to wielu właścicielom witryn, ponieważ zhakowane witryny stają się coraz bardziej powszechne. Ostatnie raporty branżowe wskazują na alarmujący fakt, że ponad 70% stron internetowych ma krytyczne luki w zabezpieczeniach. Jeśli nie wydarzyło się to teraz, może się wydarzyć w najbliższej przyszłości; lub możesz mieć hakerów odwiedzających Twoją witrynę, aby znaleźć luki prawne, aby pewnego dnia ją złamać.

Dlatego ważne jest, aby webmasterzy podjęli wszelkie możliwe środki ostrożności, a nie są nisko wiszącymi owocami dla hakerów. Ale co, jeśli już zostałeś zhakowany? Przeczytaj ten artykuł dalej, aby dowiedzieć się, jak to się dzieje i jakie działania należy podjąć, aby ponownie uruchomić witrynę.

Skąd mam wiedzieć, czy zostałem zhakowany?

Nie wymaga żadnych specjalnych umiejętności, aby stwierdzić, że zostałeś zhakowany. Przeglądasz swoją witrynę jak codziennie i znajdujesz swoją witrynę uszkodzoną. LUB Najczęstszym z nich jest; gdy Twoja witryna zostanie zastąpiona stroną z czarnym tłem i ma duży symbol oraz komunikat „Zhakowany przez jakaś_nazwa_grupy”.

W wielu przypadkach zostajesz przekierowany na nieprzyjemne strony internetowe, takie jak strony z pornografią lub farmaceutykami. Jeśli doświadczyłeś któregokolwiek z powyższych, oczywiste jest, że zostałeś zhackowany. Niektórzy sprytni hakerzy nie chcą, abyś wiedział, że Twoja witryna została zhakowana. Nie mogą zamazywać Twojej strony internetowej krzykliwymi banerami i logo. Zamiast tego wolą, abyś o tym nie wiedział, więc mogą korzystać z Twojej witryny tak długo, jak mogą, aby realizować złośliwe zamiary.

Obecnie hakerzy black hat SEO prowadzą kampanie spamowe, aby wspierać sklepy internetowe, które sprzedają tanie „repliki” popularnych luksusowych marek. Przeważnie metoda pozostaje taka sama, ale te strony wejściowe są czasami optymalizowane zgodnie z najnowszymi wydarzeniami i festiwalami. czyli linki na Boże Narodzenie to coś w stylu „Boże Narodzenie tanie promocje Louis Vuitton” .

Zazwyczaj takie linki prowadzą do strony głównej zainfekowanej witryny. Te zhakowane witryny mogą mieć blok ukrytych linków spamerskich na dole kodu HTML, takich jak:

Możesz także przeszukiwać swoją witrynę w Google lub w Bing;

site:twojadomena.com jakiekolwiek spamerskie słowo …….tj site:mojastrona.com tanio

Jeśli wyszukiwarka wyświetla niektóre nietypowe strony internetowe z odsyłaczami spamującymi, musisz zostać zhakowany przez niektórych pasożytów. W takich przypadkach możesz przeskanować swoją witrynę za pomocą Sucuri SiteCheck i Unmask Parasites.

Zamiast dyskutować, zróbmy krótkie podsumowanie znaków wskazujących, że zostałeś zhakowany.

• Przeglądarki wskazują, że Twoja witryna może być zagrożona.
• Domyślna strona Twojej witryny została zastąpiona jakąś krzykliwą stroną.
• Twoja witryna przekierowuje do niektórych obraźliwych stron internetowych.
• Wyszukiwarki powiadamiają Cię, że Twoja witryna zawiera złośliwą zawartość.
• Zauważasz dziwne strony internetowe lub nietypowy kod w kodzie witryny.
• Jeśli nie możesz zalogować się do obszarów administracyjnych, nawet przy użyciu poprawnych danych logowania lub jesteś zablokowany.

Jakie mogą być możliwe przyczyny tego włamania?

Witrynę można włamać na wiele sposobów. Oto kilka typowych metod stosowanych przez hakerów do hakowania w Internecie:

• Zgadywanie hasła lub socjotechnika
• Zgadywanie nazwy użytkownika i hasła brute force.
• Przejmij kontrolę nad backendowym dashboardem w CMS, takim jak WordPress, używając wstrzyknięć SQL.
• Wstrzyknij złośliwe oprogramowanie na lokalny komputer, aby przechwycić dane logowania.
• Znalezienie luki w zabezpieczeniach w określonym oprogramowaniu, aktualizacji, wtyczce, motywie i jej wykorzystanie.
• Wstrzykiwanie powłok przez niezabezpieczone strony przesyłania na serwer WWW w celu przejęcia kontroli nad całym serwerem.
• Zhakowanie witryny innej osoby znajdującej się na tym samym serwerze współdzielonym, którego używasz w swojej witrynie.

Jakie działania należy podjąć po zhakowaniu?

Przeskanuj komputer lokalny w poszukiwaniu wirusów i złośliwego oprogramowania

Aby znaleźć winowajcę, zacznij od systemu lokalnego. Możliwe, że źródło infekcji zaczyna się na twoim lokalnym komputerze. Dlatego zainstaluj dobry program antywirusowy i uruchom pełne skanowanie, aby upewnić się, że Twój system lokalny nie jest zainfekowany złośliwym oprogramowaniem, oprogramowaniem szpiegującym, trojanami itp. Przed uruchomieniem pełnego skanowania upewnij się, że oprogramowanie antywirusowe musi być aktualne z najnowszymi definicjami. W przypadku systemu Windows zalecamy program Microsoft Security Essentials, który zapewnia ochronę w czasie rzeczywistym przed najnowszymi zagrożeniami.

Zmień wszystkie hasła

Zmień hasła dla wszystkich użytkowników i wszystkich kont, na przykład dostęp do FTP, konta panelu sterowania, konto administratora, konta autorskie systemu zarządzania treścią. Sprawdź listę kont użytkowników Twojej witryny i upewnij się, że haker nie utworzył żadnego nowego konta użytkownika. Jeśli znalazłeś jakieś nieznane konta, zanotuj je do późniejszego zbadania. Następnie natychmiast usuń te konta, aby uniemożliwić hakerowi logowanie się w przyszłości.

Przełącz swoją witrynę w tryb offline

Kiedy już jesteś zhakowany, chroń swoją witrynę przed infekowaniem innych i zapobiegaj dalszemu nadużywaniu systemu przez hakerów. Gdy tylko dowiesz się, że zostałeś zhakowany, natychmiast wyłącz swoją witrynę. Utwórz kopię zapasową zainfekowanych plików witryny i bazy danych MySQL, zmień nazwę folderu na zhakowaną kopię zapasową. W ten sposób możesz je później zbadać w wolnym czasie lub przywrócić je, jeśli próba czyszczenia się nie powiedzie.

Natychmiast skontaktuj się ze swoim hostem internetowym

Jeśli korzystasz z hosta współdzielonego, skontaktuj się ze swoim hostem internetowym, aby ustalić, czy ten atak wpłynął na inne witryny na tym samym serwerze. Zapytaj ich, czy mają dobrą kopię kopii zapasowej bazy danych i plików witryny. Jeśli mają twoją kopię zapasową, powiedz im, aby ją zabezpieczyli, zanim zostanie nadpisana. Jeśli masz czystą kopię zapasową plików w systemie lokalnym, rozważ przywrócenie z tej kopii zapasowej.

Oczyszczanie treści internetowych i dochodzenie po włamaniu

Teraz otwórz wcześniej zhakowany folder kopii zapasowej do analizy po włamaniu. Najpierw przejrzyj foldery treści internetowych, pliki i czas ich modyfikacji. Przygotuj listę ostatnio zmodyfikowanych folderów/plików i sprawdź, czy jakiś nowy plik jest wstawiony do zmodyfikowanego folderu i dokładnie, jaka modyfikacja została wykonana w zmodyfikowanych plikach.

Jeśli zauważysz złośliwy kod wstawiony do plików lub dowolnych plików, które nie należą do Twojej witryny, usuń je/napraw. Możesz także uruchomić pełne skanowanie plików internetowych za pomocą zaktualizowanego oprogramowania antywirusowego/złośliwego oprogramowania. Jeśli to możliwe, napraw kod lub poddaj go kwarantannie lub rozważ przywrócenie z dobrej dostępnej kopii zapasowej.

Zanotuj sygnaturę czasową wykorzystania tych plików. Pomoże Ci to zawęzić ćwiczenie przeszukiwania dzienników. Kopanie dzienników jest podstawowym dochodzeniem w przypadku każdego incydentu włamania, ale wymaga dostępu administracyjnego. Jeśli masz dostęp administracyjny do systemu, możesz sprawdzić przeglądarkę zdarzeń (Windows) lub odpowiednie dzienniki w celu dalszego zbadania. Wyszukaj powtarzające się próby autoryzacji zakończone niepowodzeniem lub dzienniki FTP z nieznanych adresów IP.

Jeśli przesłałeś stronę do swojej witryny bez sprawdzania poprawności plików i captcha, może to być winowajcą. Sprawdź ścieżkę przesyłania, czy nie ma w niej żadnych skryptów powłoki lub złośliwego kodu. Sprawdź listę kont użytkowników, jeśli znalazłeś jakieś nieznane konto, wyłącz je natychmiast i przeszukaj jego ostatnie działania w dziennikach.

Sprawdź plik .htaccess, pliki indeksowe lub dodatkowe strony domyślne, aby upewnić się, że nie ma złośliwych przekierowań ani kodu złych intencji. Jeśli prowadzisz bloga WordPress, sprawdź katalog wp-content/themes, którego celem jest index.php, header.php, footer.php i functions.php.

Najczęstsze przyczyny hakowania to słabe kodowanie, przestarzałe i niezabezpieczone skrypty, wtyczki, motywy, niezabezpieczone strony przesyłania. Dlatego, aby zapobiec powtórzeniu się tego, musisz zająć się tymi wszystkimi możliwymi winowajcami.

Wniosek

Istnieje wiele sposobów bycia zhakowanym i technik śledczych; powyższa lista jest jak wierzchołek góry lodowej. Podstawowym krokiem, jaki należy podjąć w przypadku każdego ataku hakerskiego, jest skontaktowanie się z dostawcą hostingu. Zwykle zajmują najlepszą pozycję do wykonywania większości ciężkich prac technicznych za Ciebie. Zhakowanie strony internetowej nie jest zabawne, więc zachowaj spokój i kontakt z zespołem wsparcia, aby jak najszybciej uruchomić ją.