כדי לשמור על האתר נקי ולמנוע פריצות בעתיד, יש צורך בדברים הבאים:
- גישת אדמין במעטפת או בטרמינל לשרתי האתר: אינטרנט, מסד נתונים, קבצים
- היכרות עם פקודות במעטפת או במסוף
- היכרות עם קוד (כגון PHP או JavaScript)
- אחסון ליצירת גיבויים של האתר, כולל הקבצים, מסד הנתונים, ותמונות
הפעולות הבאות
בשלב זה נעסוק בכמה פעולות:
- היכן לאתר משאבים נוספים אם לדעתכם ההאקר התכוון השגת נתוני משתמשים מידע אישי (למשל, עם דפי פישינג).
- האפשרות להשתמש בהסרת כתובות URL ב-Search Console כדי לזרז את ההסרה של: כתובות URL גלויות למשתמש שנוצרו על-ידי ההאקר שאינכם רוצים שיופיעו תוצאות חיפוש ב-Google.
- האפשרות איך לבקש מ-Google לסרוק מחדש את כתובות ה-URL שלכם ב-Search Console כדי לזרז את העיבוד של דפים נקיים על ידי Google – כלומר דפים חדשים או דפים שעודכנו לאחרונה - שאתם רוצים יופיעו בתוצאות חיפוש ב-Google.
- התקנה של הגרסה האחרונה והמאובטחת ביותר של התוכנה.
- הסרה של אפליקציות או יישומי פלאגין מיותרים או שאינם בשימוש, שעלולים לגרום את האתר שלך פגיע יותר בעתיד.
- שחזור תוכן טוב וסילוק התוכן של ההאקר.
- תיקון סיבת השורש שנוצלה על ידי ההאקר.
- שינוי כל הסיסמאות.
- מתכננים לשמירה על אבטחת האתר.
1. איתור מקורות מידע לתמיכה
אם התקבל מידע סודי של משתמשים מהאתר (לדוגמה, כיוון שזה היה חלק מהתקפת פישינג), כדאי לשקול באחריות עסקית, רגולטורית או משפטית לפני שתתחילו לבצע ניקיון באתר או מוחקים קבצים. במקרים של פישינג, האתר antiphishing.org כולל משאבים שימושיים כמו את המסמך שלו מה לעשות אם האתר שלך נפרץ על-ידי עברייני פישינג.
2. שקול לזרז את ההסרה של כתובות אתר שנוצרו על ידי ההאקר
אם ההאקר יצר כתובות URL חדשות לחלוטין וגלויות למשתמש, תוכלו לקבוע יוסרו במהירות רבה יותר מתוצאות החיפוש ב-Google באמצעות הסרה של כתובות URL ב-Search Console. השלב הזה הוא אופציונלי. אם רק מוחקים את הדפים ולאחר מכן להגדיר את השרת כך שיחזיר סטטוס 404 code, עם הזמן, הדפים יצאו מהאינדקס של Google באופן טבעי.
- סביר להניח שההחלטה להשתמש בהסרת כתובת URL תהיה תלויה במספר המשתמשים החדשים, שנוצרו דפים לא רצויים (יותר מדי דפים עלולים להיות מסורבלים להכללה יש להסיר כתובות URL), וכן את הנזק הפוטנציאלי שדפים אלה עלולים לגרום למשתמשים. כדי למנוע מצב שבו הדפים שנשלחו באמצעות הסרת כתובות URL יופיעו את תוצאות החיפוש, יש לוודא שהדפים מוגדרים גם להחזיר שגיאת 404 הקובץ לא נמצא תגובה לכתובות ה-URL הלא רצויות או שהוסרו.
- לא להשתמש בכלי הזה כדי לבקש הסרה של דפים שהיו טובים בעבר ניזוקו רק על ידי ההאקר. רוצה שהדפים האלה יופיעו? תוצאות חיפוש אחרי שנוקו. הסרת כתובות URL מיועדת רק לדפים מסוימים שאף פעם לא תרצו להופיע בתוצאות.
3. שקול לזרז את עיבוד הדפים הנקיים על ידי Google
אם יש לך דפים נקיים חדשים או מעודכנים, תוכל איך לבקש מ-Google לסרוק מחדש את כתובות ה-URL שלכם ב-Search Console כדי לשלוח את הדפים האלה לאינדקס של Google. הדבר אופציונלי; אם תדלגו על השלב הזה, סביר להניח שהדפים החדשים או הדפים שעברו שינוי נסרק ומעובד עם הזמן.
4. התחל לנקות את השרתים שלך
זה הזמן להתחיל לנקות את האתר שלך על סמך ההערות שכתבת במהלך הערכת הנזק מזהים את נקודות החולשה. הנתיב שבו תבצעו את השלב הזה תלוי בסוג הגיבוי הזמין:
- גיבוי נקי ועדכני
- גיבוי נקי אך לא עדכני
- אין גיבוי זמין
קודם כול, בודקים שהגיבוי נוצר לפני שהאתר נפרץ.
גיבוי נקי ועדכני
- שחזר את הגיבוי שלך.
- התקן שדרוגים, עדכונים או תיקונים זמינים עבור התוכנות. המידע הזה כולל של מערכת ההפעלה אם אתם שולטים בשרת ובכל האפליקציות כמו מערכת ניהול התוכן, פלטפורמת המסחר האלקטרוני, יישומי הפלאגין או התבניות.
- כדאי להסיר מהשרת תוכנה שהאתר כבר לא משתמש בו (כמו ווידג'טים, יישומי פלאגין או אפליקציות) .
- תקן את הפגיעות.
- צריך לוודא שכל הבעיות שנמצאו במהלך הערכת הנזק טופלו.
- יש לשנות את הסיסמאות פעם נוספת לכל החשבונות הקשורים לאתר (למשל: פרטי התחברות לגישת FTP, גישה למסד נתונים, מנהלי מערכת חשבונות CMS). במערכות מבוססות Unix:
passwd admin1
גיבוי נקי אך לא עדכני
- ליצור תמונת דיסק של האתר הנוכחי, על אף שהוא עדיין נגוע. עותק זה מיועד למטרת בטיחות בלבד. מסמנים את העותק כנגוע כדי שניתן יהיה להבחין בו את זה מהאחרים. במערכת מבוססת Unix, יצירת תמונת דיסק יכולה להיות:
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
- יצירת עותק לגיבוי של מערכת הקבצים של השרת, כולל תמונות ומדיה . אם יש לך מסד נתונים, גבה גם את מסד הנתונים.
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
- שחזר את הגיבוי הנקי אך הלא מעודכן בשרת.
- כדאי לשקול אם אפשר להסיר את התוכנה מהשרת (לדוגמה, ווידג'טים, יישומי פלאגין או אפליקציות) שהאתר כבר לא משתמש בהם.
- לשדרג את כל התוכנות, כולל מערכת ההפעלה, אם אתם שולטים בשרת, וכל אפליקציות התוכנה, כגון מערכת ניהול התוכן, פלטפורמה, יישומי פלאגין ותבניות למסחר אלקטרוני. חשוב לבדוק ולהתקין עדכוני אבטחה ותיקונים זמינים.
- תקן את הפגיעות.
- לבצע אתר
diff
באופן ידני או באופן אוטומטי – בין הגיבוי הנקי לבין העותק הנגוע הנוכחי.
diff -qr www/ backups/full-backup-20120124/
- מעלים תוכן חדש ונקי שרוצים לשמור של עותק נגוע בשרת המשודרג.
rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
- בודקים שכל כתובת URL מופיעה בקטע הערכת הנזק תוקן.
- יש לשנות את הסיסמאות פעם נוספת לכל החשבונות הקשורים לאתר (לדוגמה, פרטי התחברות לגישת FTP, גישה למסד נתונים, פרטי התחברות חשבונות אדמין וחשבונות CMS). במערכות מבוססות Unix:
$passwd admin1
אין גיבוי זמין
ליצור שני גיבויים של האתר, על אף שהוא עדיין נגוע. הוספת הערה גיבוי יעזור לשחזר תוכן שנמחק בטעות, או לאפשר לך לחזור לגרסה הקודמת ולנסות שוב. שוב אם משהו משתבש. צריך לסמן כל גיבוי בתווית 'נגוע' לשימוש עתידי.
אחד הגיבויים שלך ישמש כתמונת דיסק או כ"גירסה משובטת" של האתר. הזה מאפשר לשחזר תוכן בקלות רבה יותר. אפשר להשאיר את תמונת הדיסק בצד למקרה חירום. במערכת מבוססת Unix, משתמשים בקוד הבא כדי ליצור דיסק תמונה:
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
הגיבוי השני יהיה עותק של מערכת קבצים מהשרת, כולל תמונות וקובצי מדיה. אם יש לכם מסד נתונים, מגבים גם את מסד הנתונים.
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
אם אין לכם תמונת דיסק, צריך ליצור שני גיבויים של מסד הנתונים ושני גיבויים של מערכת הקבצים.
כדי לנקות את תוכן האתר בעותק החדש של מערכת הקבצים לגיבוי (לא בשרת) עצמו), לבצע את הפעולות הבאות:
- אם בבדיקה הקודמת נמצא שההרשאות לקבצים חלשות מדי, אפשר להמשיך ולתקן אותן. צריך להקפיד לעשות את זה בעותק הגיבוי ולא בשרת עצמו.
- בנוסף, בעותק הגיבוי, יש לנקות את כל הקבצים שתואמים לכתובות ה-URL שנמצאו כפי שנפגע מהערכת הנזק. האלה יכולים להיות קובצי תצורת שרת, JavaScript , HTML או PHP.
- יש להקפיד להסיר (להציג תגובה 404) גם לקבצים חדשים שנוצרו על ידי האקר, שייתכן ששלחתם או לא שלחתם באמצעות הכלי להסרת כתובות URL ב-Search Console.
- תקן את הפגיעות אם היא קיימת בקוד או בסיסמאות שפוצחו. ספריות אימות קלט או ביקורות אבטחה עשויות להועיל.
- אם לאתר יש מסד נתונים, מתחילים לנקות רשומות ששונו על ידי ההאקר דרך את הגיבוי. לפני שנדמה לכם שסיימתם, כדאי לבדוק עוד כדי לוודא שמסד הנתונים נראה נקי.
- שנו את הסיסמאות פעם נוספת עבור כל החשבונות הקשורים לאתר (עבור לדוגמה, פרטי התחברות לגישת FTP, גישה למסד נתונים, מנהלי מערכת חשבונות CMS). במערכות מבוססות Unix, משתמשים בקוד הבא:
$passwd admin1
בשלב זה, עותק הגיבוי של האתר הנגוע צריך להכיל רק נתונים נקיים. השאר עותק נקי זה בצד ועבור לפעולה #5.
5. הסרת תוכנות לא נחוצות
כדאי לשקול אם אפשר להסיר תוכנות מהשרת, כמו ווידג'טים, יישומי פלאגין או אפליקציות שהאתר כבר לא משתמש בהם. המצב הזה עלול להגביר את מבחינת אבטחה ופישוט של התחזוקה בעתיד.
6. נקה את כל השרתים
- בצע התקנה נקייה, לא רק שדרוג. שדרוגים יכולים להשאיר קבצים
מגרסה קודמת. אם קובץ נגוע נשאר בשרת, האתר
יש סיכוי גבוה יותר שיפרצו לכם שוב.
- ההתקנה החדשה צריכה לכלול את מערכת ההפעלה, אם אתם שולטים על השרת וכל אפליקציות התוכנה, כגון התוכן מערכת הניהול, פלטפורמת המסחר האלקטרוני, יישומי הפלאגין ותבניות. חשוב כדי לבדוק אם יש עדכוני אבטחה ותיקונים זמינים.
- העברת תוכן טוב מהעותק הנקי של מערכת הקבצים לגיבוי שרתים שהותקנו לאחרונה. העלאה ושחזור רק של תיקיות ניקיון ידועות קבצים או מסד נתונים. חשוב לשמור על ההרשאות המתאימות לקובץ לא יחליפו את קובצי המערכת החדשים שהותקנו.
- שינוי אחד אחרון בסיסמאות לכל החשבונות הקשורים אל האתר (לדוגמה: פרטי התחברות לגישת FTP, גישה למסד נתונים, מנהלי מערכת, וחשבונות CMS). במערכות מבוססות Unix, משתמשים בקוד הבא:
passwd admin1
7. צור תוכנית תחזוקה לטווח הארוך
מומלץ מאוד לבצע את הפעולות הבאות:
- בצע גיבויים אוטומטיים סדירים של האתר.
- עמוד על המשמר ועדכן את התוכנות באופן שוטף.
- להבין את נוהלי האבטחה של כל האפליקציות, יישומי הפלאגין ועוד תוכנות צד שלישי לפני שאתם מתקינים אותן בשרת שלכם. אמצעי אבטחה נקודת חולשה אחת באפליקציית תוכנה אחת יכולה להשפיע על הבטיחות של באתר כולו.
- כפה יצירה של סיסמאות חזקות.
- שמירה על האבטחה של כל המכשירים שמשמשים לכניסה למחשב (הגרסה עודכנה מערכת ודפדפן).
8. בצע בדיקה חוזרת כדי לוודא שהניקוי הושלם
יש לוודא שהתשובה 'כן' היא 'כן' לשאלות הבאות:
- האם נקטתי את הצעדים המתאימים אם ההאקר השיג אישי מידע?
- האם באתר שלי פועלות גרסאות התוכנה המאובטחות ביותר?
- האם הסרתי את כל האפליקציות או יישומי הפלאגין המיותרים או שאינם בשימוש ועלולים להפוך את האתר שלי לפגיע יותר בעתיד?
- האם שחזרתי את התוכן שלי והסרתי את התוכן של ההאקר?
- האם פתרתי את סיבת השורש לפגיעות, שאפשרה את הפריצה לאתר שלי?
- האם יש לי תוכנית לשמירה על אבטחת האתר שלי?
עכשיו אפשר להחזיר את האתר למצב אונליין.