Po czym poznać, że Twoja strona internetowa została zhackowana

Autor:

Zazwyczaj myślimy, że niektóre problemy i zagrożenia nas nie dotyczą, dopóki samemu ich nie doświadczymy. Tak się też dzieje w przypadku włamań na serwer. Nie jest to rzadkością, bowiem ofiarą ataków hakerskich pada 30,000 stron internetowych każdego dnia, co daje nam prawie 11 milionów stron internetowych rocznie! Większość właścicieli zhakowanych stron dowiaduję się o tym fakcie, gdy zamiast ich serwisu pojawi się czerwony ekran z ostrzeżeniem, który informuje o nałożonej blokadzie z powodu zainfekowania serwera i potencjalnego zagrożenia dla użytkowników. Oznacza to, że strona została zainfekowana już jakiś czas temu i mogła już znacznie zaszkodzić reputacji naszej firmy jak i bezpieczeństwu i prywatności naszych użytkowników.

Każda strona internetowa, niezależnie od tego, gdzie jest hostowana, jak dobrze jest zabezpieczona i jak dobrzy technicznie ludzie nad nią pracowali jest podatna na ataki. Cyberbezpieczeństwo to dziedzina, która rozwija się współmiernie z cyberprzestępczością, przez co pojęcie 100% bezpieczeństwa w Internecie jest mitem. Istnieje kilka symptomów, które mogą wskazać nam, czy nasza strona internetowa nie została już zhackowana. Istnieje też skuteczne narzędzie, które pozwoli nam monitorować naszą stronę w przyszłości.

Google Chrome ostrzega nas przed odwiedzeniem strony
Jeżeli zamiast Twojej strony przeglądarka Google Chrome wyświetla informację, że o tym, że Twoja strona została zhackowana i może dokonywać ataków na odwiedzających, zapewne tak właśnie jest. Ta informacja pojawia się dlatego, że Twoja strona została umieszczona na czarnej liście Google Safe Browsing. Narzędzie to nie wykrywa ataków natychmiastowo, co oznacza, że Twoja strona mogła zostać zhackowana nawet kilka dni temu. Jeżeli chcesz sprawdzić, czy Twoja strona nie widnieje już na blacklistach możesz użyć tego narzędzia: https://web-utils.pl/czy-moja-strona-jest-zhackowana.html

Wiadomość dotycząca włamania lub malware w Google Search Console
Jeżeli Twoja strona internetowa jest dodana do Google Search Console (dawniej Google Webmaster Tools) o ataku na swoją stronę otrzymasz wiadomość mailowo. Podobnie jak w przypadku informacji w Google Chrome będzie to oznaczało, że stało się to już jakiś czas temu. Narzędzie Google są niezwykle zaawansowane i skutecznie wyszukują wszystkie fragmenty kodu Twojej strony, które wydają się podejrzane, więc skuteczność w wykrywaniu nieprawidłowości jest dosyć wysoka.

Twoją stronę wyłączyła firma hostingowa
Duże firmy hostingowe również posiadają szereg narzędzi, służących do wykrywania włamań na ich serwery. Luka w kodzie Twojej strony internetowej mogłaby pozwolić na dostęp do serwera, na którym hostowane są również inne strony, na których hacker mógłby również zainstalować malware. Administratorzy dużych firm hostingowych również nieustannie nadzorują bezpieczeństwo na swoich serwerach i w przypadku wykrycia włamania błyskawicznie wyłączają strony, które dokonują ataków. Sposobów na wykrycie włamania od strony serwera jest wiele, przykładowo:

  • Automatyczne skanery wykryły kod malware na stronie
  • Domena pojawiła się już na czarnej liście Google Safe Browsing, Kasperski, Norton Safe Web, PhishTank, Spamhaus, etc.
  • Twój serwer wysyła dużą ilość maili
  • Nienaturalnie wysokie zużycie procesora na serwerze

Twoje maile zaczęły trafiać do folderu SPAM
Bardzo często hackerzy wykorzystują serwery do rozsyłania spamu mailowego z reklamami produktów o wątpliwej legalności lub po prostu wirusów. Istnieje bardzo duża liczba różnego rodzaju serwisów, które takie maile wykrywają i umieszczają na swoich czarnych listach. Z tych list korzystają operatorzy hostingów i usług mailowych. Jeżeli nagle Twoje maile zaczęły trafiać klientom do spamu, może to oznaczać, że hackerzy wykorzystali Twój serwer do rozsyłania spamu a operator hostingu nie zdążył jeszcze tego wykryć.

Dziwnie wyglądający kod JavaScript na Twojej stronie
Jeżeli przeglądając kod źródłowy w przeglądarce zobaczysz dziwnie wyglądający i nieczytelny kod JavaScript, może to również oznaczać, że Twoja strona została zaatakowana. Kod taki może służyć do kradzieży haseł, numerów kart kredytowych i innych poufnych danych Twoich klientów. Kod JavaScript zazwyczaj zawiera nazwy funkcji i zmiennych pochodzących z języka angielskiego. Nie znając się kompletnie na programowaniu jesteś w stanie rozpoznać te słowa, przykładowo:

$(“button”).click(function(){

$(“img”).attr(“width”,”500″);

});

Możemy tutaj bezproblemowo rozpoznać słowa: button, click, function, width. Możemy się nawet domyśleć, że po kliknięciu przycisku jakiś obrazek będzie miał zmienioną szerokość na “500”. Kod, który umieszczają hackerzy zazwyczaj odwołuje się od innych adresów, pobiera jakieś dane i wywołuje funkcje, które każdy skaner malware wykryłby od razu. Dlatego kod taki jest celowo zmieniany w taki sposób, aby nie był czytelny za pomocą narzędzi takich jak obfuscator kodu. Przykładowo kod mógłby wyglądać tak:

var _0xa2f6=[“x77x69x64x74x68″,”x35x30x30″,”x61x74x74x72″,”x69x6Dx67″,”x63x6Cx69x63x6B”,”x62x75x74x74x6Fx6E”];$(_0xa2f6[5])[_0xa2f6[4]](function(){$(_0xa2f6[3])[_0xa2f6[2]](_0xa2f6[0],_0xa2f6[1])})

Jest dokładnie ten sam kod, którego użyłem wcześniej, jednak zamaskowany. Nie trzeba być specem od JavaScriptu, aby zobaczyć, że ten kod wygląda podejrzanie. Taki kod może (chociaż nie musi) wskazywać na to, że robi coś niedobrego. Ponieważ kod JavaScript działa i jest widoczny po stronie przeglądarki programiści czasami używają obfuskacji, aby nieco utrudnić rozpoznanie

Twoja strona zaczęła działać wolno i często pojawiają się na niej błędy
Jeżeli nie wprowadzałeś ostatnio żadnych zmian na swojej stronie a zaczęła ona działać powolnie i pojawiają się na niej błędy, może to oznaczać, że zasoby Twojego serwera wykorzystuje zainstalowane na nim malware. Zazwyczaj oprogramowanie takie nie dba ani o zasoby naszego serwera ani o obecny kod, który działa na naszej stronie. użytkowników, lub wykraść ich dane. Na stronie lub w logach mogą pojawić się błędy, zawierające słowa takie jak: deprecated, undefined, require_once(), syntax error. Czasami również strona się po prostu nie wyświetla, zamiast niej widzimy pustą stronę.

Na stronie pojawiają się reklamy
Jeżeli na Twojej stronie zaczęły pojawiać się reklamy, w postaci bannerów, pop-upów, lub reklam typu pop-under, lub po “przeklikiwaniu” się po Twojej stronie niespodziewanie w przeglądarce otwiera się dodatkowa zakładka z nieznaną Ci dotąd stroną jest to często oznaką włamania na stronę i umieszczenia na niej kodu typu adware. Pamiętaj, że operator hostingu (o ile nie jest darmowy) nigdy nie włączy na nim reklam a już na pewno nie bez Twojej zgody. Narzędzie Google Safe Browsing wykrywa również tego typu zdarzenia.

Twoja strona przekierowuje na inny adres
Jest to bardzo częsta praktyka hackerów, którzy przekierowują w ten sposób ruch z Twojej strony na inne serwisy, zazwyczaj służące do instalowania malware lub kradzieży danych itp. Należy pamiętać również o tym, że przekierowanie może być widoczne tylko dla robotów wyszukiwarki Google, więc normalny użytkownik nie będzie będzie go widział.

Jak się przed tym wszystkim zabezpieczyć?
Niestety wiele włamań na serwer pozostaje niewykrytych przez użytkowników tych stron, ponieważ zmiany na serwerze jak i efekty działania umieszczonego na nim złośliwego kodu są praktycznie nie widoczne. Strony takie mogą dokonywać ataków przez wiele dni lub nawet tygodni. Nie da się całkowicie zabezpieczyć przed włamaniem na stronę internetową – coraz to nowszych sposobów wciąż przybywa i walka twórców oprogramowania z cyberprzestępcami wydaje się nie mieć końca ani zwycięzcy. Aktualizując oprogramowanie serwera oraz biblioteki użyte podczas tworzenia naszego serwisu podwyższają poziom bezpieczeństwa, jednak nie gwarantują, że do włamania nie dojdzie. Warto więc zaopatrzyć się w Web Utils – narzędzie do monitorowania strony www. Nie zwiększy ono bezpieczeństwa naszej strony, jednak zrobi coś, co pozwoli nam uchronić się przed fatalnymi skutkami włamania. Serwis ten cyklicznie monitoruje naszą stronę internetową i w przypadku, gdy jej kod ulegnie zmianie (również ten niewidoczny), zostanie ona przekierowana, przestanie się ładować, lub zacznie zwracać błędy otrzymamy powiadomienie sms, w którym dowiemy się dokładnie co się stało i jak temu zaradzić. Będziemy mieli wtedy przewagę czasową, co pozwoli nam nie tylko uchronić naszych odwiedzających, lecz także naszą własną reputację. Będziemy w stanie usunąć malware lub przekierowanie, zanim wykryje to system taki jak Google Safe Browsing i umieści naszą domenę na czarnej liście.

1 komentarz
  1. Przydatny poradnik 🙂 polecam przeczytać.

Skomentuj lub zostaw opinię

Twój adres email nie zostanie opublikowany.

Czytaj więcej