Vírusírtási teendők

A több ezer weboldal üzemeltetése során szerzett tapasztaltaink alapján feltételezzük, hogy a weboldalad alkotóelemei olyan építőkockák lehetnek, melyek ingyenesen, vagy esetenként kisebb pénzösszegért bárki számára rendelkezésre állnak. Ilyenek például a népszerű tartalomkezelő rendszerek (Joomla, WordPress, Drupal stb.), illetve a hozzájuk telepíthető sablonok és különféle kiegészítő bővítmények. Ezekből az összetevőkből világszerte nagyon sokan építenek weboldalakat. Emiatt a bennük rejlő biztonsági hibákat, kiskapukat előszeretettel kutatják fel és használják ki azok, akik valamiféle rosszindulatú tevékenységet végeznek az interneten. A sebezhetőségeket kihasználva ártalmas kódokat tartalmazó fájlokat helyeznek el, vagy meglévő fájlokba építik bele a kártékony kódrészleteiket. Azaz vírusossá teszik őket – ezért van szükség a vírusírtási teendők hangsúlyozására.

Ezek a kódok aztán folyamatosan – vagy távvezérelve – főként az alábbi tevékenységeket végzik: – tömeges kéretlen (SPAM) levelet küldhetnek szerte a világba a Te oldalad nevében; – különféle támadásokat indíthatnak más weboldalak ellen; – az oldalad részleges, vagy teljes leállását okozhatják; – az oldalad részleges, vagy teljes tartalmi módosítását okozhatják; – tárhelyedről idegen kezekbe juttathatnak bizalmas adatokat; – megfertőzhetnek más weboldalakat; – okozhatnak szerverlassulásokat, leállásokat; – idegenek számára végezhetnek adathalász (phishing) tevékenységet; – stb…

Az esetek elenyésző számában tapasztaljuk, hogy a webtárhely FTP belépési adatainak birtokában juttatják fel a tárhelyre a kártékony kódot.

Mivel számtalan összetevőből építhető fel egy weboldal, azok sebezhetősége nagyon sokrétű és változó, ezért az ilyen jellegű támadások pontos idejét, legfőképpen annak módját kimutatni nem áll módunkban. Naplózni az FTP belépéseket, fájl létrehozásokat és módosításokat tudjuk.

Az otthoni/irodai számítógépekre készített víruskereső alkalmazások (Eset, Avast, Symantec, F-Secure, Panda, Kaspersky, stb.) a weboldalba épült fertőzéseket nem, vagy csekély mértékben képesek csak felismerni! Más jellegű kórokozók tudnak fertőzni egy munkaállomáson és mások egy weboldalon.

Egy weboldalon egy kártékony kódrészlet okozhat olyat, hogy egy idegen oldalt nagyon gyakran “látogat”, több ezer másik – szintén feltört – weboldallal együtt, így az eredmény a látogatott weboldal szemszögéből egy túlterheléses támadássorozatot jelent. Ezt a tevékenységet nem mutatják ki általános víruskeresők, mivel ezek nem vírusokra jellemző tevékenységek. Mint ahogyan azt sem, ha a weboldalad idegen kezekbe juttatja ki saját (vagy felhasználóid) által begépelt jelszavaid – vagy több tízezer e-mail-címre küld ki pl. potencianövelő reklámlevelet.

Szervereinken ütemezetten futtatunk le olyan kódok után kutató alkalmazásokat, melyek kimondottan a weboldalakba épült rosszindulatú kódokat, vírusokat keresnek.

Figyelem! Ha a tárhelyeden több weboldal is működik, úgy akár egyetlen fertőzött weboldal is képes megfertőzni a többi, maga mellett lévő weboldalt! Egy tárhelyen belül ugyanis azonos a felhasználói jogosultság. Egy fertőző, önmagát reprodukáló kód nagyon könnyen vált könyvtárat, ezáltal a tárhely más weboldalaiba is könnyen elterjed.

Fontos kiemelnünk, hogy ez csak egyazon tárhelyen belül lehetséges, mást tárhelyről nem érkezhet ilyen fertőzés!

A fertőzött állományok által végzett rosszindulatú tevékenységek elszenvedői látják, hogy az esetek többségében mely domain névről, illetve mely szerverről érkezik a támadás. A weboldaladról induló támadás legalább annyira kellemetlen lehet Neked, mint számunkra, mert a mi szerverünk működik ebben közre.

A DiMa.hu Kft. mindent megtesz annak érdekében, hogy szerverei ne legyenek áldozatai, de forrásai sem az ilyen jellegű rosszindulatú tevékenységeknek.

Tennivalók

Fertőzött állományokat tartalmazó webtárhelyet nem áll módunkban üzemeltetni! Kérjük, hogy szerverünkön a betömörített weboldalad kitömörítésével ne fáradozz, töltsd le azt saját webfejlesztői környezetedbe. Végezd el ott a szükséges javításokat, frissítéseket, majd az új tartalmat betömörítve (tgz, tar.gz, rar vagy zip formátumban) töltsd fel tárhelyed www könyvtárába!

A munka elkészültéről szíveskedj tájékoztatni minket az értesítő levélre válaszolva! Mi munkaidőben – amint kapacitásunk lehetővé teszi – kitömörítjük, fertőzéseket keresve rendszerünkkel átvizsgáljuk, negatív eredmény esetén az oldal tartalmát visszaállítjuk.

Javaslataink

Kérünk, tedd meg a szükséges lépéseket annak érdekében, hogy ez a fertőzés a jövőben ne ismétlődhessen meg újra! – A weboldal korábbi, a fertőzést megelőző állapotára való visszaállítása önmagában egyáltalán nem jelent megoldást, hiszen azt már valahogy meg tudták fertőzni. A visszaállítás után ez újra elő fog fordulni – eddigi tapasztalataink szerint – néhány órán belül. Ennek egyszerű az oka: a biztonsági hibák feltérképezését, a kódok bejuttatását az erre készített rosszindulatú programok automatikusan végzik. – A fertőzött fájlok puszta törlése, valamint a fájlokból a fertőzött sorok eltávolítása szintén nem jelent megoldást, az előző ponthoz hasonlóan így az újrafertőzés lehetősége továbbra is megmarad, tehát a többi ajánlásunkat is végezd el! Légy körültekintő: amennyiben a fertőzés egy olyan fájlban szerepel, mely része a honlapnak (tehát nem csak egy kártékony fájl), annak törlése a weboldal működését is megbéníthatja. Ilyenkor a fájl tartalmát alaposan átvizsgálva a fájlba épült kódrészletek szakszerű eltávolítására van szükség! – A korábban használatos jelszavaid változtasd meg! A jelszavak legyenek legalább nyolc karakter hosszúak, tartalmazzanak kis- és nagybetűket, valamint számokat. Ne legyenek könnyen kitalálhatóak, megfejthetőek. Az új jelszavakat böngésződben, FTP kliens alkalmazásában ne jegyeztesd meg! Számos munkaállomásokon terjedő vírus, trójai alkalmazás képes idegen kezekbe juttatni az elmentett jelszavakat.

– A weboldalad összetevőit, a tartalomkezelő-rendszert, annak sablonjait és bővítményeit a lehető legújabb verzióra frissítsd fel! Amennyiben valamely összetevőhöz néhány hónapja nem jelent meg újabb verzió, keress helyette más készítőtől származó, funkcióazonos összetevőt. A frissítések telepítésére azért van szükség, mert a biztonsági hibákat a készítők nagyon gyakran kijavítják, amit egy új verzió kiadásában tesznek elérhetővé. Ha egy összetevőből egy ideje már nem jelent meg újabb verzió, az gyakran azt jelenti, hogy a fejlesztők már nem fejlesztik tovább, vagy a hibák javításával nem foglalkoznak kellő mértékben. Kerüld az ilyen összetevők használatát!

– A nem használt, esetleg inaktívvá tett összetevőket töröld! A nem használatos összetevő – még inaktív állapotban is – felesleges kockázatot jelent.

– A weboldalon esetlegesen szereplő beviteli lehetőségek (cikk alatti hozzászólás, üzenetküldés stb.) mellé telepíts CAPTCHA modult! (https://hu.wikipedia.org/wiki/Captcha). Ez az üzenet elküldése előtt egy mindig változó grafikus képen levő szöveg begépelésére is utasítja a felhasználót – a kéretlen programok egy része e nélkül ilyen felületen is bejuthat.

Telepíts és állíts be valamilyen biztonsági bővítményt! Nagyon sok támadástól, fertőzéstől, behatolási kísérlettől óvhatod meg weboldalad. WordPresshez jó választás lehet a Wordfence Security bővítmény. Rendszerünk nem biztos, hogy minden fertőzött fájlt megtalál! Ezért nagyon fontos, hogy egy vírusfertőzés után a teljes weboldal tartalmát tüzetesen átvizsgálja az oldal készítője, az idegen fájlokat, könyvtárakat felismerje, eltávolítsa.