Oczyść i zabezpiecz witrynę

Aby utrzymać witrynę w czystości i zapobiec przyszłym atakom, musisz wykonać te czynności:

  • Dostęp administratora w powłoce lub terminalu do serwerów witryny: plików internetowych, baz danych i plików.
  • znajomość poleceń w powłoce lub terminalu;
  • umiejętności czytania kodu (np. PHP lub JavaScript);
  • Miejsce na dane do tworzenia kopii zapasowych witryny, w tym plików, bazy danych i obrazów.

Dalsze działania

Na tym etapie omawiamy kilka spraw:

  • Gdzie znaleźć dodatkowe materiały, jeśli uważasz, że haker próbował uzyskać dane osobowe użytkowników (np. na stronach phishingowych).
  • Opcja Usuwanie adresów URL w Search Console umożliwia przyspieszenie usuwania zupełnie nowych, niepożądanych adresów URL widocznych dla użytkowników, które zostały utworzone przez hakera i nie chcesz, aby pojawiały się w wynikach wyszukiwania Google.
  • Opcja Poproś Google o ponowne zindeksowanie adresów URL w Search Console, aby przyspieszyć przetwarzanie przez Google czystych stron (czyli nowych lub niedawno zaktualizowanych), które mają się wyświetlać w wynikach wyszukiwania Google.
  • Zainstaluj najnowszą, najbardziej bezpieczną wersję oprogramowania.
  • Usunięcie niepotrzebnych lub nieużywanych aplikacji i wtyczek, które mogą w przyszłości zwiększyć podatność witryny na ataki.
  • Przywrócenie dobrych treści i eliminacja treści hakera.
  • Naprawić główną przyczynę luki w zabezpieczeniach, której użył haker.
  • Zmiana wszystkich haseł.
  • planowanie ochrony witryny;

1. Znajdowanie zasobów pomocy

Jeśli poufne informacje o użytkownikach zostały pozyskane z Twojej witryny (np. w ramach ataku phishingowego), przed rozpoczęciem czyszczenia witryny lub usuwania plików warto wziąć pod uwagę wszelkie obowiązki biznesowe, regulacyjne lub prawne. W przypadku wyłudzania informacji antiphishing.org udostępnia przydatne materiały, takie jak dokument Co zrobić, jeśli Twoja witryna została zhakowana przez oszustów.

2. Rozważ szybsze usunięcie nowych adresów URL utworzonych przez hakera

Jeśli haker utworzył zupełnie nowe adresy URL widoczne dla użytkowników, możesz szybciej usunąć te strony z wyników wyszukiwania Google, korzystając z funkcji Usuwanie adresów URL w Search Console. Ten krok jest opcjonalny. Jeśli po prostu usuniesz strony i skonfigurujesz serwer tak, aby zwracał kod stanu 404, z czasem znikną one z indeksu Google.

  • Decyzja o skorzystaniu z funkcji Usuwanie adresów URL zależy zwykle od liczby utworzonych nowych, niechcianych stron (podawanie zbyt wielu stron w sekcji „Usuń adresy URL” może być kłopotliwe) oraz od potencjalnych szkód, które te strony mogą spowodować u użytkowników. Aby strony zgłoszone w ramach funkcji usuwania adresów URL nie pojawiały się już w wynikach wyszukiwania, musisz też tak skonfigurować je, aby w przypadku niechcianych i usuniętych adresów URL zwracać odpowiedź 404 Nie znaleziono pliku.
  • Nie używaj tego narzędzia, aby poprosić o usunięcie stron, które były wcześniej prawidłowe, ale zostały uszkodzone przez hakerów. Chcesz, by strony, które są oczyszczone, wyświetlały się w wynikach wyszukiwania. Narzędzie do usuwania adresów URL stosuje się tylko w przypadku stron, które mają na stałe zniknąć z wyników wyszukiwania.

3. Rozważ przyspieszenie przetwarzania nienaruszonych stron przez Google

Jeśli masz nowe lub zaktualizowane czyste strony, możesz poprosić Google o ponowne przeskanowanie adresów URL w Search Console, aby przesłać te strony do indeksu Google. To działanie jest opcjonalne. Jeśli pominiesz ten krok, nowe lub zmodyfikowane strony prawdopodobnie zostaną zindeksowane i przetworzone w ciągu czasu.

4. Zacznij oczyszczać serwery

Nadszedł czas na wyczyszczenie witryny na podstawie notatek, które zostały zapisane podczas oceny szkódidentyfikacji luki w zabezpieczeniach. Ścieżka, którą musisz obrać na tym etapie, zależy od typu dostępnej kopii zapasowej:

  • Nienaruszona i aktualna kopia zapasowa
  • Nienaruszona, ale przestarzała kopia zapasowa
  • Brak dostępnej kopii zapasowej

Najpierw sprawdź, czy kopia zapasowa została utworzona przed atakiem na witrynę.

Nienaruszona i aktualna kopia zapasowa

  1. Przywróć kopię zapasową.
  2. Zainstaluj wszystkie dostępne uaktualnienia do nowszej wersji, aktualizacje i poprawki oprogramowania. Dotyczy to oprogramowania systemu operacyjnego (jeśli masz kontrolę nad serwerem) oraz wszystkich aplikacji, w tym systemu zarządzania treścią, platformy handlu elektronicznego, wtyczek i szablonów.
  3. Rozważ usunięcie z serwera oprogramowania, którego witryna już nie używa (np. widżetów, wtyczek i aplikacji) .
  4. Usuń lukę w zabezpieczeniach.
  5. Upewnij się, że wszystkie problemy znalezione na etapie Oceń szkody zostały rozwiązane.
  6. Zmień jeszcze raz hasła do wszystkich kont powiązanych z witryną (np. loginy do dostępu FTP, dostępu do bazy danych, kont administratorów systemu i kont CMS). W systemie typu Unix użyj polecenia:
passwd admin1

Nienaruszona, ale przestarzała kopia zapasowa

  1. Utwórz obraz dysku witryny, która jest wciąż zainfekowana. Ta kopia jest tylko dla bezpieczeństwa. Oznacz kopię jako zainfekowaną, aby odróżnić ją od innych. W systemie typu Unix obraz dysku możesz utworzyć tak:
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
  1. Utwórz kopię zapasową systemu plików serwera, w tym obrazów i plików multimedialnych. Jeśli korzystasz z bazy danych, utwórz także jej kopię.
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump
-u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
  1. Przywróć nienaruszoną, ale przestarzałą kopię zapasową na serwer.
  2. Zastanów się, czy możesz usunąć z serwera oprogramowanie (np. widżety, wtyczki lub aplikacje), którego strona już nie używa.
  3. Zaktualizuj wszystkie programy, w tym system operacyjny, jeśli masz kontrolę nad serwerem, oraz wszystkie aplikacje, takie jak system zarządzania treścią, platforma e-commerce, wtyczki i szablony. Pamiętaj o sprawdzaniu i instalowaniu dostępnych aktualizacji i poprawek zabezpieczeń.
  4. Usuń lukę w zabezpieczeniach.
  5. Przeprowadź migrację witryny diff ręcznie lub automatycznie – między czystą kopią zapasową a obecną zainfekowaną kopią.
diff -qr www/ backups/full-backup-20120124/
  1. Na uaktualniony serwer prześlij wszystkie nowe, nienaruszone treści z zainfekowanej kopii zapasowej, które chcesz zachować.
rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
  1. Sprawdź, czy wszystkie adresy URL wymienione w sekcji Ocena szkód zostały poprawione.
  2. Zmień jeszcze raz hasła do wszystkich kont powiązanych z witryną (np. do logowania się do FTP, dostępu do bazy danych, kont administratorów systemu i kont CMS). W systemie typu Unix użyj polecenia:
$passwd admin1

Brak dostępnej kopii zapasowej

Zrób dwie kopie zapasowe witryny, mimo że wciąż jest ona zainfekowana. Dodatkowa kopia zapasowa pomoże Ci odzyskać przypadkowo usunięte treści lub cofnąć zmiany, jeśli coś pójdzie nie tak. Każdą kopię oznacz etykietą „zainfekowana”, by nie pomylić ich z innymi.

Pierwsza kopia zapasowa to obraz dysku – „sklonowana wersja” witryny. Ten format ułatwia przywracanie treści. Obraz dysku możesz zachować na wypadek nagłej potrzeby. Aby utworzyć obraz dysku w systemie typu Unix, użyj tego kodu:

dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz

Druga kopia zapasowa będzie kopią systemu plików z serwera, w tym obrazów i plików multimedialnych. Jeśli masz bazę danych, utwórz też jej kopię zapasową.

tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump
-u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql

Jeśli nie masz obrazu dysku, utwórz 2 kopie zapasowe bazy danych i 2 kopie zapasowe systemu plików.

Aby wyczyścić zawartość witryny w nowej kopii zapasowej systemu plików (nie na samym serwerze), wykonaj te czynności:

  1. Jeśli w ramach wcześniejszego dochodzenia okazało się, że uprawnienia do plików są zbyt liberalne, skoryguj je. Pamiętaj, aby wykonać tę czynność na kopii zapasowej, a nie na samym serwerze.
  2. W kopii zapasowej usuń też wszystkie pliki odpowiadające adresom URL, które zostały znalezione jako zagrożone w sekcji Ocena szkód. Mogą to być pliki konfiguracyjne serwera oraz pliki JavaScript, HTML lub PHP.
  3. Pamiętaj też, aby usunąć (zwrócić kod odpowiedzi 404) nowe pliki utworzone przez hakera, które mogły zostać przesłane za pomocą narzędzia do usuwania adresów URL w Search Console.
  4. Usuń lukę w zabezpieczeniach – w razie potrzeby popraw kod lub zmień złamane hasła. Mogą w tym pomóc biblioteki do weryfikacji wprowadzanych danych i audyty bezpieczeństwa.
  5. Jeśli Twoja witryna ma bazę danych, zacznij czyścić zmodyfikowane przez hakera rekordy w kopii zapasowej. Zanim uznasz, że skończyłeś, sprawdź więcej rekordów, aby upewnić się, że baza danych jest czysta.
  6. Zmień jeszcze raz hasła do wszystkich kont powiązanych z witryną (np. do logowania się do FTP, bazy danych, kont administratorów systemu i kont CMS). W systemie typu Unix użyj tego kodu:
$passwd admin1

W tym momencie zainfekowana kopia zapasowa witryny powinna zawierać tylko czyste dane. Zachowaj ją na później i przejdź do punktu 5.

5. Usuwanie niepotrzebnego oprogramowania

Zastanów się, czy możesz usunąć z serwera oprogramowanie, np. widżety, wtyczki lub aplikacje, których strona już nie używa. Może to zwiększyć bezpieczeństwo i uprościć obsługę w przyszłości.

6. Oczyść wszystkie serwery

  1. Zainstaluj wszystko od nowa zamiast uaktualniać. Podczas uaktualniania mogą zostać zachowane pliki z poprzedniej wersji. Jeśli zarażony plik nadal znajduje się na serwerze, istnieje większe prawdopodobieństwo, że Twoja witryna zostanie ponownie zhakowana.
    • Jeśli masz kontrolę nad serwerem, nowa instalacja powinna obejmować system operacyjny oraz wszystkie aplikacje, takie jak system zarządzania treścią, platforma e-commerce, wtyczki i szablony. Sprawdź, czy są dostępne aktualizacje i poprawki zabezpieczeń.
  2. Przeniesienie prawidłowych treści z czystej kopii zapasowej systemu plików na nowo zainstalowane serwery. Przesyłaj i przywracaj tylko znane czyste pliki lub bazy danych. Pamiętaj, aby zachować odpowiednie uprawnienia do plików i nie zastępować świeżo zainstalowanych plików systemowych.
  3. Zmień hasła na wszystkich kontach powiązanych z witryną (np. loginy do FTP, dostępu do bazy danych, administratorów systemu i kont CMS). W systemach typu Unix użyj tego kodu:
passwd admin1

7. Utwórz długoterminowy plan zarządzania

Zdecydowanie zalecamy wykonanie tych czynności:

  • Rób regularne, automatyczne kopie zapasowe witryny.
  • Pamiętaj o aktualizowaniu oprogramowania.
  • Przed zainstalowaniem na serwerze oprogramowania innych firm, w tym aplikacji i wtyczek, zapoznaj się z metodami ochrony danych. Współdzielność w jednej aplikacji może wpływać na bezpieczeństwo całej witryny.
  • Wymagaj tworzenia silnych haseł.
  • Zadbaj o bezpieczeństwo wszystkich urządzeń używanych do logowania się na ten komputer (zaktualizuj system operacyjny i przeglądarkę).

8. Dokładnie sprawdź, czy wszystkie elementy zostały oczyszczone

Sprawdź, czy możesz odpowiedzieć „tak” na te pytania:

  • Czy w przypadku, gdy hakerzy uzyskają dane osobowe użytkowników, zostały podjęte odpowiednie działania?
  • Czy oprogramowanie witryny zostało zaktualizowane do najnowszej i najbezpieczniejszej wersji?
  • Czy usunięto wszystkie niepotrzebne lub nieużywane aplikacje i wtyczki, które mogłyby w przyszłości zwiększyć podatność witryny na zagrożenia?
  • Czy przywróciłem/przywróciłam swoje treści i usunął/usunęłam treści hakera?
  • Czy główna luka w zabezpieczeniach, która pozwoliła hakerom zaatakować witrynę, została usunięta?
  • Czy masz plan zabezpieczenia witryny na przyszłość?

Możesz teraz przywrócić swoją witrynę do działania.