Bejelentett támadó webhely! Mit tegyek?

Egyre gyakoribb jelenség az interneten, amikor a “Bejelentett támadó webhely” feliratba ütközünk. Ezen bejegyzéseben a megelõzésrõl és a már kialakult probléma elhárításáról lesz szó.

UPDATE: A cikk bármilyen (FTP-rõl) fertõzött weboldalhoz segítséget nyújt, ne tévesszen meg senkit a cím. Nem feltétlen szerepel egy oldalon a “Bejelentett támadó webhely” címke, lehet, hogy mi vesszük észre a fertõzést, vagy a víruskeresõ/tûzfal jelez számunkra. Ebben az esetben is az alábbi megoldások javasoltak.

Mirõl is van szó?

Az ilyen jellegû támadások esetén nem a honlapot futtató szerver fertõzõdik meg, hanem a weboldalhoz hozzáféréssel rendelkezõ felhasználó számítógépe.

Mivel az FTP kódolatlan csatornán kommunikál, ezért bejelentkezés közben az ügyfélgépen lévõ vírus naplózza a bejelentkezési azonosítót és jelszót, majd ezt elküldi egy ismeretlen helyre, vagy már eleve ellopja a merevlemezre lementett kódolatlan formában tárolt jelszót. Pár nappal ezután általában megtörténik a tárhely feltörése (a már említett módon megszerzett jelszó birtokában), külföldi (többnyire orosz, brazil, japán) szerverekrõl módosítják a weboldal (általában) index.php/.html, main.*, default.*, auth.*  és további fájljait 2-3 könyvtár mélységig (általában a kód <body> után közvetlenül, vagy a </body> része elé kerül be a káros kód, dekódolt JavaScript, vagy egyéb HTML kódok, pl. 0px-es iframe, stb. képében). Érdemes mégegyszer tisztázni, hogy a weblap módosítását nem a fertõzött ügyfél-számítógép végzi, hanem mindig egy harmadik (általában külföldi) szerver.

Mivel a jelszavunk kikerül és egy idõ után tõlünk függetlenül történik a saját tárhelyünk (vissza)fertõzése, ezért az alább javasolt pontok mindegyikét érdemes betartani.

Megelõzés:

• Az FTP jelszavainkat lehetõleg ne tároljuk le az FTP programban, a Total Commanderben pedig különösképp óvakodjunk ettõl a lehetõségtõl (az egyik legismertebb FTP program, ezért a legtöbb vírus erre “szakosodik”)
• Jelszavunk kellõen bonyolult és máshol ne használt legyen
• Használjunk jogtiszta és naprakész víruskeresõ és tûzfalvédelmi megoldást
• Az FTP gyökerébe helyezzünk el egy .ftpaccess fájlt (Figyelem! Mi csak azt garantáljuk, hogy a domainflotta.hu ügyfeleinek biztosítjuk ezt a technológiát, más szolgáltatokról nem tudok nyilatkozni ), a következõ tartalommal (természetesen csak akkor, ha Magyarországról csatlakozunk):
  <Limit ALL>
  Allow From .hu
  DenyAll
  </Limit>
  Ez annyit tesz, hogy az FTP kapcsolatra csak magyarországi IP címmel rendelkezõ szerverrõl enged hozzáférést. A legtöbb fertõzést ez a fájl megoldja (mivel a feltörés külföldi gépekrõl érkezik), de ez csak tüneti kezelés!
• Mindig végezzünk biztonsági mentéseket a fájljainkról!
• Hozzuk létre legalább az abuse@sajatdomain.hu és  a webmaster@sajatdomain.hu e-mail címeket, hiszen ide a Google értesítést fog küldeni a problémáról.

Ha már megtörtént a baj:

• A megelõzésnél írt lépéseket is olvassuk át és végezzük el, hiszen hiába szüntetjük meg a saját gépünkön a fertõzést, attól még a távoli géprõl ugyanúgy fennáll a visszafertõzés esélye
• Lehetõleg ne látogassuk böngészõbõl a saját weboldalunk, mert a benne lévõ kártékony kód újra és újra fertõzi saját számítógépünket
• Végezzünk gépünkön szakemberrel vírusirtást
• Változtassuk meg az FTP hozzáférési azonosítóinkat
• Helyezzük fel a már említett .ftpaccess fájlt a szerverre (ha ilyet nem enged létrehozni a szolgáltató szervere, akkor eleve érdemes feltenni a kérdést: “biztos, hogy jó szolgáltató választottam?”)
• Töröljük a tárhely tartalmát, majd másoljuk fel a fertõzés mentes fájlokat a tárhelyre
• Érdemes egy szöveges szerkesztõben, forráskód szinten ellenõrizni, hogy a számítógépen tárolt állományok nem-e szintén megfertõzõdtek (keressünk 0px-es iframe-ket, img tegeket, kódolt szövegrészeket, idegen URL-eket, általunk nem használt változókat, stb)
• Ha bizonytalanok vagyunk, javasolt lehet szakemberrel a html, php, … stb fájlainkat is átnézetni, hogy tartalmaznak-e nem odaillõ, ártalmas kódokat

Ha már a Google és Firefox szolgáltatása is jelzi az oldalunkra érkezõk számára a bajt:

• Miután 100%-osan meggyõzõdtél arról, hogy az oldalaid fertõzõdés mentesek, és elolvastad a Google Súgó és a StopBadware(angol) vonatkozó részeit, valamint a korábban írtakat,
• Olvasd el honlapodról a Google Diagnosztikát, amelyet így érhetsz el (végén a behelyettesítendõ URL):
  http://www.google.com/safebrowsing/diagnostic?site=http://sajatdomain.hu
• Jelentkezz be a Google Webmester Eszközökbe és ott a kérj egy felülvizsgálati kérelmet
• Keress rá oldaladra a Badware Website Clearinghouse keresõjével (angol), majd a Report oszlopban szereplõ linkekre kattintva kérd az oldalak felülvizsgálatát, bal oldalon felül a “Click to Request Review” linkre kattintva.
• (Ha pishing oldalként lettél lejentve, úgy kérj itt is egy felülvizsgálatot)
• Várj néhány napig, esetleg hétig, hogy a rendszereken átfusson a fertõzésmentesség híre, a sikerrõl a Webmester Eszközökben is tájékoztatást kapsz majd