Meu site foi invadido :: O que devo fazer agora?

Publicados: 2014-12-11

Hacked Website

Então, você foi hackeado! Tudo bem, você não está sozinho aqui; isso acontece com muitos proprietários de sites, já que os sites invadidos estão se tornando cada vez mais comuns. Relatórios recentes da indústria indicam um fato alarmante de que mais de 70% dos sites têm falhas críticas de segurança. Se não aconteceu agora, pode acontecer em um futuro próximo; ou você pode ter hackers visitando seu site para encontrar brechas para derrubá-lo algum dia.

Portanto, é essencial que os webmasters tomem todas as precauções possíveis, em vez de serem frutos fáceis para os hackers. Mas e se você já foi hackeado? Leia mais este artigo para saber como isso acontece e quais ações você deve tomar para que seu site volte a funcionar.

Como saber se fui hackeado?

Não requer nenhuma habilidade especial para determinar que você foi hackeado. Você navega em seu site como todos os dias e encontra seu site desfigurado. OU O mais comum é; quando seu site é substituído por uma página com fundo preto e tem um símbolo grande e uma mensagem dizendo “Hacked by some_group_name”.

Em muitos casos, você é redirecionado para alguns sites desagradáveis, como páginas de pornografia ou produtos farmacêuticos. Se você experimentou algum dos itens acima, é óbvio que você foi hackeado. Alguns hackers inteligentes não querem que você saiba que seu site foi invadido. Eles não podem desfigurar sua página da web com banners e logotipos chamativos. Em vez disso, eles preferem que você não saiba disso, para que possam usar seu site o máximo que puderem para realizar intenções maliciosas.

Hoje em dia, os hackers de SEO black hat fazem campanhas de spam para endossar lojas online que vendem “réplicas” baratas de marcas de luxo populares. Principalmente, o método permanece o mesmo, mas essas páginas de entrada são ocasionalmente otimizadas de acordo com os eventos e festivais mais recentes. ou seja, links para o Natal seria algo como “Especial de Natal barato louis Vuitton” .

Geralmente, esses links apontam para a página inicial do site infectado. Esses sites comprometidos podem ter um bloco de links de spam ocultos na parte inferior do código HTML, como a seguir:

Website Doorway

Você também pode pesquisar seu site no Google ou no Bing como;

site:seudominio.com qualquer palavra com spam …….ie site:mywebsite.com barato

Se o mecanismo de pesquisa listar algumas páginas da Web incomuns com links de spam, você deve ser invadido por alguns parasitas. Nesses casos, você pode escanear seu site através do Sucuri SiteCheck e Unmask Parasites.

Em vez de discutir, vamos fazer um breve resumo dos sinais que indicam que você foi hackeado.

  • Os navegadores indicam que seu site pode estar comprometido.
  • A página padrão do seu site é substituída por alguma página chamativa.
  • Seu site redireciona para algumas páginas ofensivas.
  • Os motores de busca notificam que seu site tem conteúdo malicioso.
  • Você percebe algumas páginas da Web estranhas ou algum código incomum no código do site.
  • Se você não conseguir fazer login nas áreas administrativas mesmo usando as credenciais de login corretas ou se encontrar bloqueado.

Quais poderiam ser as possíveis razões por trás desse hack?

O site pode ser invadido de várias maneiras. A seguir estão alguns métodos comuns que os hackers usam para invadir a Internet:

  • Adivinhando senha ou engenharia social
  • Adivinhando o nome de usuário e senha força bruta.
  • Assuma o controle do painel de back-end em CMS como o WordPress usando injeções de SQL.
  • Injete malware no computador local para capturar suas credenciais de login.
  • Encontrar uma vulnerabilidade de segurança em um software específico, atualizar, plugin, tema e explorá-lo.
  • Injetando os shells através de páginas de upload inseguras no servidor web para obter o controle de todo o servidor.
  • Hackear o site de outra pessoa que reside no mesmo servidor compartilhado que você está usando para o seu site.

Quais ações devem ser tomadas após ser hackeado?

Analise seu computador local em busca de vírus e malware

Para encontrar o culpado, comece com seu sistema local. É possível que a fonte da infecção comece em sua máquina local. Portanto, instale um bom antivírus e execute uma verificação completa para garantir que seu sistema local não esteja infectado por malware, spyware, cavalos de Tróia, etc. Antes de executar a verificação completa, verifique se o software antivírus deve estar atualizado com as definições mais recentes. Para Windows, recomendamos o Microsoft Security Essentials, pois oferece proteção em tempo real contra as ameaças mais recentes.

Alterar todas as senhas

Altere as senhas para todos os usuários e todas as contas, por exemplo, acesso FTP, contas do painel de controle, conta de administrador, contas de autoria do sistema de gerenciamento de conteúdo. Verifique a lista de contas de usuários do seu site e certifique-se de que o hacker não criou nenhuma nova conta de usuário. Se você encontrou alguma conta desconhecida, anote-a para investigação posterior. Em seguida, exclua imediatamente essas contas para evitar logins futuros do hacker.

Deixe seu site off-line

Quando você já estiver invadido, evite que seu site infecte outras pessoas e evite que hackers abusem ainda mais do sistema. Assim que você souber que foi hackeado, coloque seu site offline imediatamente. Faça backup de seus arquivos de sites infectados e bancos de dados MySQL renomeie a pasta como o backup invadido. Assim, você pode investigá-los mais tarde, ou restaurá-los se sua tentativa de limpeza falhar.

Entre em contato imediatamente com seu host

Se você estiver usando um host compartilhado, entre em contato com seu host para determinar se esse hack afetou outros sites no mesmo servidor. Pergunte a eles se eles têm uma boa cópia de backup do seu banco de dados e arquivos do site. Se eles tiverem seu backup, diga a eles para protegê-lo antes que ele seja substituído. Se você tiver um backup limpo de seus arquivos em seu sistema local, considere restaurar a partir desse backup.

Limpeza de conteúdo da Web e investigação pós-hack

Agora abra a pasta de backup previamente invadida para análise pós-hack. Em primeiro lugar, revise as pastas de conteúdo da web, arquivos e seu tempo de modificação. Prepare a lista de pastas/arquivos modificados recentemente e verifique se algum novo arquivo foi inserido na pasta modificada e exatamente qual modificação foi feita nos arquivos modificados.

Se você vir algum código malicioso inserido em arquivos ou qualquer arquivo que não pertença ao seu site, remova/repare-os. Você também pode executar uma verificação completa de arquivos da Web por meio de um software antivírus/malware atualizado. Repare ou coloque seu código em quarentena, se possível, ou considere a restauração da cópia de backup disponível.

Anote o carimbo de data/hora em que esses arquivos foram explorados. Isso o ajudará a restringir o exercício de pesquisa de log. A escavação de logs é a investigação principal para qualquer incidente de hack, mas requer acesso administrativo. Se você tiver acesso administrativo ao sistema, poderá verificar o visualizador de eventos (Windows) ou quaisquer logs relevantes para investigação adicional. Procure tentativas de login com falha de autorização repetitivas ou logs de FTP de endereços IP desconhecidos.

Se você tivesse uma página de upload em seu site sem qualquer validação de arquivo e captcha, isso poderia ser o culpado. Verifique seu caminho de upload se algum script de shell ou código malicioso for inserido lá. Verifique a lista de contas de usuário, se você encontrou alguma conta desconhecida, desative-a imediatamente e pesquise suas atividades recentes nos logs.

Verifique seu arquivo .htaccess, arquivos de índice ou qualquer página padrão adicional para garantir que não haja redirecionamentos maliciosos ou qualquer código mal-intencionado. Se você estiver executando o blog WordPress, verifique o diretório wp-content/themes visando index.php, header.php, footer.php e functions.php.

Os motivos mais comuns por trás dos Hacks são codificação ruim, scripts desatualizados e inseguros, plugins, temas, páginas de upload inseguras. Portanto, para evitar que isso aconteça novamente, você deve abordar todos os possíveis culpados.

Conclusão

Existem inúmeras maneiras de ser hackeado e técnicas de investigação; lista acima é como a ponta do iceberg. O primeiro passo a ser dado em qualquer evento de hack é entrar em contato com o provedor de hospedagem. Normalmente, eles ocupam a melhor posição para realizar a maior parte do trabalho técnico pesado para você. Ter um site invadido não é divertido, então mantenha a calma e intimide a equipe de suporte para colocá-lo em funcionamento o mais rápido possível.