Wyceń usługę

Włamanie na stronę / serwer – co robić?

Włamanie na stronę / serwer – co robić?

Bycie ofiarą ataku hakerskiego na własny serwer lub stronę internetową, zdecydowanie nie jest tak nieprawdopodobną sytuacją, jak może się wydawać. Warto więc wejść już teraz pod ten adres i sprawdzić, jak poradzić sobie w takiej sytuacji oraz w jaki sposób chronić swoją witrynę przed atakami.

W ostatnich latach naprawdę często słyszymy o różnych atakach hakerskich na strony internetowe, szczególnie te bardzo poważne, należące na przykład do urzędów, banków lub innych instytucji finansowych. Jeśli prowadzisz własną, drobną stronę firmową to być może myślisz, że Ciebie ten problem nie dotyczy. Niestety na ataki narażone są tak naprawdę wszystkie witryny znajdujące się w sieci.

Po co haker miałbym atakować niewielką stronę?

W mediach słyszymy przede wszystkim o spektakularnych atakach hakerskich na strony rządowe czy bankowe. Ich celem może być właśnie zwrócenie uwagi opinii publicznej, wirtualne pokazanie swojego niezadowolenia z polityki danego kraju czy wykradnięcie danych osobowych lub nawet pieniędzy.

Atakowanie takich stron to jedyny sposób na zyskanie „popularności” w świecie hakerów, ale… jakoś trzeba te ataki wykonywać, prawda? Tutaj właśnie zaczyna się druga strona medalu, a więc wykorzystanie drobnych stron do przeprowadzania poważniejszych ataków na masową skalę. Tak naprawdę każde konto hostingowe jest zagrożone. Osoby ze świata cyberprzestępczości wykorzystują niezabezpieczone strony jako swego rodzaju pomosty, narzędzia mające posłużyć później do bardziej ambitnych celów.

Zaatakowana strona może na przykład masowo wysyłać SPAM do użytkowników, może ona generować linki przekierowujące do innych witryn czy pobierać wrażliwe dane użytkowników, za które (zgodnie z prawem) jako administrator jesteśmy odpowiedzialni. To, że prowadzisz nawet niewielką wizytówkę firmy, nie sprawia, że możesz czuć się bezpiecznie. W jaki sposób można jednak sprawdzić, czy konkretna strona została w jakiś sposób zainfekowana?

Atak hakerski nie zawsze musi być widoczny na pierwszy rzut oka

Wielu osobom ataki tego typu kojarzą się albo z całkowitym wyłączeniem strony, albo z wyświetlaniem jakiegoś dziwnego komunikatu na stronie głównej oraz na wszystkich podstronach. Tak może to wyglądać w przypadku ataków spektakularnych, które zostały wcześniej wspomniane.

Na mniejszych stronach takie zainfekowanie może jednak nie być zupełnie widoczne na pierwszy rzut oka. Hakerzy stosują zmyślne sposoby do tego, aby ukrywać „wstrzykiwany” na stronę ofiary kod, pozostając przez długi czas niewykrywalnym. Są jednak sposoby na to, aby we własnym zakresie monitorować witrynę i upewniać się tym samym, czy nie ma z nią problemu. Oto najważniejsze z nich:

  • skorzystanie z wyszukiwania w Google z użyciem znacznika „site:”, np. „site: twoja_domena.pl” – wynikiem wyszukiwania będzie strona główna oraz jej podstrony dla danej domeny. Jeśli ilość linków wygenerowanych takim wyszukiwaniem drastycznie wzrosła, może to oznaczać, że strona jest zainfekowana,
  • wykorzystanie narzędzia Google Search Console, które może pokazać alerty dla strony związane z bezpieczeństwem,
  • użycie darmowych narzędzi zabezpieczających strony działające na systemach CMS, np. Wordfence Security w popularnym systemie Word Press (wtyczka jest zupełnie darmowa),
  • nagły i bardzo wyraźny spadek pozycji strony w wynikach wyszukiwania Google również może być sygnałem, że strona została w jakiś sposób zainfekowana – jeśli strona przez dłuższy czas funkcjonuje w formie zainfekowanej, Google może nawet nałożyć na nią ręczny filtr i tym samym całkowicie zablokować jej widoczność w wyszukiwarce,
  • ostrzeżenia generowane w przeglądarkach internetowych – to najbardziej oczywisty dowód na to, że strona jest zainfekowana. Komunikaty ostrzegawcze pojawiają się przy próbie wejścia na zawirusowaną stronę i najczęściej oznaczają, że problem istnieje od dłuższego czasu.

W jaki sposób oczyścić zainfekowaną stronę?

Jeśli masz już pewność, że Twoja strona została zainfekowana, powinieneś jak najszybciej podjąć kroki zmierzające do pozbycia się problemu. W przypadku stron firmowych jest to niesłychanie ważne. Trudny dostęp do witryny lub nawet całkowity jego brak sprawia, że mnóstwo klientów kompletnie do Ciebie nie trafi. Co gorsza, jeśli strona już została wykryta przez Google jako niebezpieczna, wchodzącym na nią osobom będzie pojawiał się alert bezpieczeństwa, który zdecydowanie nie wpłynie pozytywnie na wizerunek firmy.

Zanim jednak zajmiemy się sposobami radzenia sobie z tym problemem, warto dowiedzieć się, co nieco o najczęstszych rodzajach ataków hakerskich, dotyczących właśnie drobniejszych stron.

Popularne metody ataków hakerskich

Sposobów zaatakowania strony jest mnóstwo, ale ich forma zazwyczaj jest dość podobna i można tutaj wyróżnić cztery podstawowe sposoby ingerencji w kod witryny:

  • złośliwy skrypt dodany do treści – po ataku, do najczęściej otwieranych dla strony plików jest dodawany złośliwy skrypt, na przykład przygotowany w języku JavaScript, którego celem może być nawet infekowanie komputerów osób odwiedzających witrynę,
  • dodanie nowych treści – metoda polega na masowym dodawaniu przez hakera kolejnych podstron dla konkretnej domeny. Wykorzystanie znacznika „site:”, o którym pisaliśmy wcześniej, pozwala na wykrycie takich ataków,
  • ukrywanie dodawanych treści – nie zawsze działania dokonane przez hakera mogą być widoczne gołym okiem. Nierzadko celem ataku jest przekierowanie użytkowników strony na inny adres, a kody takiego przekierowania ukrywa się na przykład w znacznikach stylu CSS. Efekt jest taki, że zmian nie widać na stronie, ale doskonale widzą je roboty, które dodane linki natychmiast indeksują,
  • standardowe przekierowanie – z tym spotykamy się najczęściej. Wejście na daną stronę w zasadzie natychmiast przekierowuje pod inny adres, zazwyczaj związany z treściami pornograficznymi.

Samodzielna próba poradzenia sobie z atakiem

Wiesz już w takim razie, że każda próba ataku związana jest ze zmianami w kodzie źródłowym strony internetowej. Najprostszym sposobem na poradzenie sobie z tym problemem jest po prostu usunięcie całej strony i wgranie jej na nowo z kopii zapasowej, która zrobiona była przed włamaniem hakera. To jednak nie zawsze jest takie oczywiste. Wiele osób nie wykonuje kopii zapasowych na własną rękę. Czasem robi to administrator hostingu (w niektórych przypadkach jest to dodatkowo płatna usługa), ale i to może nie wystarczyć. Na serwerach kopie zapasowe robione są regularnie, na przykład co tydzień i każda nowa kopia nadpisuje poprzednią. Jeśli za późno zauważymy atak, może się okazać, że zarchiwizowana strona już zawiera złośliwe oprogramowanie.

Inna metoda, bardziej skuteczna, ale żmudna i wymagająca dużej wiedzy, to po prostu ręczne sprawdzenie kodu i usunięcie z niego podejrzanych wpisów. Jeśli masz wizytówkę firmową, która składa się dosłownie z kilku plików, to nie będzie to trudne zadanie. Wyobraź sobie jednak, ile czasu potrzeba na sprawdzenie wszystkich plików na przykład dla sklepu internetowego. Można oczywiście ograniczyć obszar poszukiwania, sprawdzając jedynie pliki, które w ostatnim czasie zostały zmodyfikowane, ale i tak trzeba będzie poświęcić na to wiele czasu.

Skorzystanie z pomocy specjalistów

W przypadku wykrycia lub podejrzenia ataku hakerskiego lepiej jednak zdać się na pomoc specjalistów. Doświadczone firmy dysponują wiedzą i odpowiednimi narzędziami do efektywnego usuwania skutków ataku, jak i do pozbywania się samej przyczyny, a więc złośliwego kodu. W ramach takich usług można liczyć nie tylko na oczyszczenie kodu oraz przywrócenie strony w wynikach wyszukiwania. To także instalacja oprogramowania monitorującego oraz chroniącego witrynę w przyszłości przed atakami, jak i wdrożenie narzędzi tworzących profesjonalne kopie zapasowe.

Jeśli Twoja strona internetowa została zaatakowana, możesz zgłosić się po pomoc naszych specjalistów z TenseApp!. Szybko i skutecznie oczyścimy kod witryny oraz zadbamy o to, aby odpowiednio zabezpieczyć stronę na przyszłość.

Prewencja jest zawsze najbardziej opłacalna

Skutki ataków hakerskich na stronę internetową mogą negatywnie wpłynąć na wizerunek firmy, a na pewno ich usunięcie będzie wiązało się z dodatkowymi kosztami, nierzadko naprawdę wysokimi. Nie da się ukryć więc, że lepiej zapobiegać niż leczyć. To prawda, że nigdy nie można być absolutnie pewnym, że witryna nie zostanie zainfekowana, ale poprzez odpowiednie działania możemy ograniczyć to ryzyko do absolutnego minimum.

Większość stron internetowych pracuje dzisiaj na systemach zarządzania treścią CMS, a z kolei najczęstszym powodem ataków jest wykrycie luk w takich systemach przez hakerów. Do kodu źródłowego nie da się bowiem dostać tak po prostu. Hakerzy stale szukają z tego powodu błędy i luki bezpieczeństwa, które odpowiednio wykorzystane otwierają „tylne furtki” do kodu.

Podstawowym działaniem prewencyjnym jest więc stałe aktualizowanie CMS-a. Nie ma tutaj znaczenia, czy korzystamy z systemów darmowych, czy płatnych. W każdym z tych przypadków regularnie wypuszczane są aktualizacje usuwające znalezione luki, które dzięki temu poprawiają bezpieczeństwo strony.

Kolejna ważna kwestia to tworzenie regularnych kopii zapasowych. Wykorzystuje się do tego specjalistyczne narzędzia, a i nierzadko można również taką usługę wykupić po prostu w firmie, która jest dostawcą hostingu dla strony.

Jeśli sami zajmujesz się administracją strony i korzystasz, chociażby z klientów FTP, pamiętaj o regularnym skanowaniu swoich komputerów programami antywirusowymi. Złośliwe oprogramowanie może łatwo przeniknąć za pośrednictwem takiego klienta do kodu strony. W tym przypadku niedobrą praktyką jest również zapamiętywanie w narzędziu FTP danych dostępowych na serwer. Mogą one paść łatwym łupem hakerów.

Inne działania ograniczające ryzyko ataku hakerskiego, to:

  • tworzenie skomplikowanych, nietypowych haseł do zaplecza administracyjnego strony,
  • instalowanie w systemie CMS dodatkowych wtyczek zwiększających ochronę, na przykład monitorujących podejrzane logowania,
  • regularne weryfikowanie strony poprzez Google Search Console oraz wykorzystanie znacznika „site:”,
  • monitorowanie społeczności związanej z danym systemem CMS – poważne luki znalezione w systemach są praktycznie zawsze podawane do informacji publicznej.

Nie każdy ma czas oraz odpowiednią wiedzę do tego, aby na własną rękę zajmować się bezpieczeństwem prowadzonej witryny. Zespół TenseApp! może się tym jednak zająć. Wykorzystuje nowoczesne narzędzia do ochrony stron, tworzy kopie zapasowe i stale monitoruje witryny klientów, gwarantując tym samym wysoki poziom bezpieczeństwa.

Michał Zarzycki
Michał Zarzycki
Specjalista ds. sprzedaży stron www. W handlu obecny odkąd pamięta. Zawsze doradzi najlepsze rozwiązanie i zaplanuje optymalną strategię działań.
Komentarze