Co dělat, když Vám web napadne hacker?
V dnešním článku se budeme věnovat situaci, kdy je Váš web napaden hackerem. Ukážeme Vám projevy, příčiny a způsob řešení takového problému.
Případ Cleverstore.cz
Klientka se na nás obrátila s žádostí o pomoc. Ve vyhledávači Google se u názvu jejího e-shopu objevila hláška, že stránky mohou být napadeny hackerem:
Tyto hlášky zobrazuje Google díky sofistikovanému systému rozpoznávání škodlivého obsahu. Tím může být např. stránka, vydávající se za jinou, nebo kód, který odesílá informace o návštěvníkovi stránek třetí straně.
Tento problém většinou nastává ve dvou případech:
- Slabé heslo: Klient má v administraci webu nastaveno velmi slabé heslo, které je snadno prolomitelné běžnými útoky. Útočník po prolomení hesla následně nahraje škodlivý obsah. Heslo v tomto případě nastavil předchozí vývojář na „1234“. Asi se mu dobře pamatovalo…
- Stará verze administrace (CMS) / jiné služby: V případě, že klient využívá dlouho neaktuální verzi nějakého systému, může dojít k tomu, že se útočník dostane na web skrze známou bezpečnostní díru (v nové verzi již opravenou). Typickým příkladem může být HTML WYSIWYG editor TinyMCE, jenž dlouho obsahoval bezpečnostní díru při nahrávání souborů.
Následky
V tomto případě šlo o „podstrčenou“ produktovou stránku na Amazonu, která na první pohled na web nepatří.
Došlo tedy k cizímu zásahu do webu, který s sebou nese například tato rizika:
- odcizení dat (např. seznamu zákazníků)
- změnu platební brány e-shopu (platby začnou chodit na jiný účet)
- podstrčení závadných stránek nebo škodlivého (a škodolibého) obsahu na stránky
- samotné odrazení potenciálního zákazníka, který se e-shopu raději vyhne při spatření hlášky na Google
- poškození dobrého obchodního jména e-shopu
Řešení
Klientka z těchto důvodů potřebovala co nejrychlejší vyřešení celé situace. Nejprve bylo nutné web stáhnout přes FTP a prohledat antivirovým programem. Poté došlo k vytipování škodlivých souborů, kde velmi pomohla tzv. Google Konzole, která shromažďuje právě detailní data o škodlivém obsahu, pomocí nichž lze pochybné soubory dohledat:
V tomto případě nebyly škody rozsáhlé (napadeno bylo cca 20 souborů v 6 složkách), a protože nebyly zasaženy žádné důležité soubory pro chod e-shopu, bylo možné infikované soubory vymazat a vyčištěný obsah opět nahrát na FTP.
Po provedení těchto změn bylo nutné opět otevřít Google Konzoli a společně se stručným popisem procesu odstranění cizích souborů potvrdit, že je web opět v pořádku. Následně trvalo cca týden, než vzal Google změny na vědomí, hláška zmizela a web byl opět považován za bezpečný.
Zhodnocení
Celý problém nastal pouze kvůli velmi slabému heslu v redakčním systému webu. Stačilo se tedy řídit obecnými doporučeními na bezpečnost hesel.
Proces analýzy problému, dohledání souborů, vyčištění a opětovná obnova provozu e-shopu vyšla celkem asi na 4 hodiny času, ovšem následky mohly být v tomto případě daleko horší. Pokud by se nejednalo pouze o podstrčený kód, ale např. o infekci klíčových souborů pro chod e-shopu, mohlo se stát, že bude potřeba e-shop naprogramovat znovu.