Limpar e fazer a manutenção do site

Para manter seu site limpo e evitar invasões futuras, você precisa ter:

  • Acesso de administrador shell ou de terminal aos servidores do seu site: Web, banco de dados, arquivos
  • Conhecimento sobre comandos de shell ou terminal.
  • Compreensão do código (como PHP ou JavaScript).
  • Armazenamento para criar backups do site, incluindo arquivos, banco de dados, e imagens

Próximas ações

Abrangeremos várias ações nesta etapa:

  • Onde localizar recursos adicionais se você acreditar que o hacker pretendia conseguir o valor dos usuários informações pessoais (como páginas de phishing).
  • A opção de usar Remover URLs no Search Console para acelerar a remoção de conteúdo totalmente novo, URLs visíveis para o usuário criados pelo hacker que você não quer que apareçam Resultados da Pesquisa Google.
  • A opção de Solicitar ao Google um novo rastreamento de URLs no Search Console para agilizar o processamento pelo Google de páginas limpas. ou seja, páginas novas ou recém-atualizadas, que você aparecem nos resultados da Pesquisa Google.
  • Instalação da versão mais recente e segura do software.
  • Remoção de aplicativos ou plug-ins desnecessários ou não utilizados que poderiam seu site mais vulnerável no futuro.
  • Restauração do conteúdo de qualidade e eliminação do conteúdo do hacker.
  • Correção da vulnerabilidade da causa raiz explorada pelo hacker.
  • Mudando todas as senhas.
  • Planejamento para manter seu site seguro.

1. Localizar os recursos de suporte

Se informações confidenciais do usuário tiverem sido coletadas no seu site (por exemplo, porque foi parte de um ataque de phishing), convém considerar quaisquer responsabilidades comerciais, regulatórias ou legais antes de começar a fazer a limpeza seu site ou excluir arquivos. Em casos de phishing, O site antiphishing.org (em inglês) tem recursos úteis, como o documento O que fazer se seu site tiver sido invadido por golpistas.

2. Considere acelerar a remoção de novos URLs criados pelo hacker

Se o hacker criou URLs totalmente novos e visíveis para o usuário, você pode páginas removidas mais rapidamente dos resultados da Pesquisa Google usando o Remover URLs no Search Console. Esta etapa é opcional. Se você excluir as páginas e configure seu servidor para retornar um status 404 , as páginas sairão naturalmente do índice do Google com o tempo.

  • A decisão de usar a remoção de URL provavelmente dependerá do número de páginas indesejadas criadas (pode ser complicado incluir páginas demais Remover URLs), bem como o possível dano que essas páginas podem causar aos usuários. Para evitar que as páginas enviadas por meio da remoção de URLs apareçam em resultados da pesquisa, verifique se as páginas também estão configuradas para retornar um erro Resposta "Arquivo não encontrado" para os URLs indesejados e removidos.
  • Não use esta ferramenta para solicitar a remoção de páginas válidas anteriormente que foram prejudicadas apenas pelo hacker. Essas páginas devem aparecer nos resultados da pesquisa depois de limpos. A remoção de URL é somente para páginas você nunca vai querer aparecer nos resultados.

3. Considere acelerar o processamento do Google nas páginas limpas

Se você tem páginas limpas novas ou atualizadas, pode Solicitar ao Google um novo rastreamento de URLs no Search Console para enviar essas páginas ao índice do Google. Isso é opcional; se você pular essa etapa, as páginas novas ou modificadas provavelmente serão rastreados e processados com o tempo.

4. Comece a limpeza dos seus servidores

Agora é hora de limpar seu site com base nas anotações que você fez durante a avaliação dos danos e Identifique a vulnerabilidade. A o caminho a ser seguido nesta etapa depende do tipo de backup disponível:

  • Backup limpo e atual
  • backup limpo, mas desatualizado
  • Sem backup disponível

Primeiro, verifique se o backup foi criado antes de o site ser invadido.

Backup limpo e atual

  1. Restaure o backup.
  2. Instale todas as atualizações e upgrades de software, além dos patches disponíveis. Isso inclui para o sistema operacional, se você estiver no controle do servidor, e todos os aplicativos, como o sistema de gerenciamento de conteúdo, a plataforma de e-commerce, plug-ins ou modelos.
  3. Considere remover do seu servidor softwares que o site não usa mais (como widgets, plug-ins ou aplicativos) .
  4. Corrija a vulnerabilidade.
  5. Confira se todos os problemas encontrados durante a etapa Avaliar os danos sejam resolvidos.
  6. Mude as senhas mais uma vez para todas as contas relacionadas ao site (por exemplo, logins para acesso ao FTP, acesso ao banco de dados, administradores de sistema e contas do CMS). Em sistemas Unix:
passwd admin1

Backup limpo, mas desatualizado

  1. Crie uma imagem de disco do seu site atual, mesmo que ele ainda esteja infectado. Essa cópia é apenas para segurança. Marque a cópia como infectada para distingui-la dos outros. Em um sistema Unix, você cria uma imagem de disco assim:
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
  1. Faça uma cópia de backup do sistema de arquivos do seu servidor, incluindo imagens e mídia . Se você tiver um banco de dados, faça backup dele também.
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
  1. Restaure o backup limpo, mas desatualizado, no seu servidor.
  2. Considere se é possível eliminar algum software em seu servidor (por exemplo, widgets, plug-ins ou aplicativos) que o site não usa mais.
  3. Atualizar todos os softwares, incluindo o sistema operacional, se você estiver no controle do servidor, e todos os aplicativos de software, como o sistema de gerenciamento de conteúdo, plataforma de e-commerce, plug-ins e modelos. Verifique e instale com as atualizações e patches de segurança disponíveis.
  4. Corrija a vulnerabilidade.
  5. Realize um diff de site manualmente ou de maneira automatizada. entre o backup limpo e a cópia atualmente infectada.
diff -qr www/ backups/full-backup-20120124/
  1. Faça upload de qualquer conteúdo novo e limpo que você gostaria de preservar da cópia infectada no servidor atualizado.
rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
  1. Verifique se cada URL listado em Avalie os danos as alterações necessárias foram feitas.
  2. Mude as senhas mais uma vez para todas as contas relacionadas ao site (por exemplo, logins para acesso a FTP, banco de dados, sistema administradores e contas do CMS). Em sistemas Unix:
$passwd admin1

Sem backup disponível

Faça dois backups do site, mesmo que ele ainda esteja infectado. Ter um extra ajuda a recuperar o conteúdo excluído acidentalmente ou permite reverter e tentar novamente se as coisas derem errado. Marque os backups com "infectado" para referência futura.

Um dos backups será uma imagem de disco ou uma "versão clone" do seu site. Isso formato torna a restauração de conteúdo ainda mais simples. Deixe a imagem de disco de lado em caso de emergência. Em um sistema Unix, use o seguinte código para criar um disco imagem:

dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz

O outro backup será uma cópia do sistema de arquivos do seu servidor, incluindo imagens e arquivos de mídia. Se você tiver um banco de dados, faça backup dele também.

tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql

Se você não tiver uma imagem do disco, faça dois backups do banco de dados e dois backups do sistema de arquivos.

Para limpar o conteúdo do site na nova cópia do sistema de arquivos de backup (não no servidor faça o seguinte:

  1. Se a investigação anterior encontrou permissões de arquivo muito brandas, prossiga e corrigi-los. Faça isso na cópia de backup, não no servidor por conta própria.
  2. Também na cópia de backup, limpe todos os arquivos correspondentes aos URLs descobertos comprometido em Avaliar os danos. Esses podem ser arquivos de configuração do servidor, JavaScript, HTML ou PHP.
  3. Certifique-se também de remover (exibir uma resposta 404) dos novos arquivos criados pelo hacker, que você pode ou não ter enviado usando a Ferramenta de remoção de URL no Search Console.
  4. Corrija a vulnerabilidade se ela existir no código ou nas senhas decifradas. As bibliotecas de validação de entrada ou as auditorias de segurança podem ser muito úteis.
  5. Se seu site tiver um banco de dados, comece a limpar os registros modificados pelo hacker no seu backup. Antes de terminar, verifique mais registros para garantir que o banco de dados esteja limpo.
  6. Altere as senhas mais uma vez para todas as contas relacionadas ao site (por exemplo, logins para acesso FTP, acesso ao banco de dados, administradores de sistema e contas do CMS). Em sistemas Unix, use este código:
$passwd admin1

Neste ponto, a cópia de backup, antes infectada, de seu site deve conter apenas dados limpos. Mantenha essa cópia limpa à mão e passe à ação nº 5.

5. Remover softwares desnecessários

Verifique se é possível remover softwares do servidor, como widgets, plug-ins ou aplicativos que o site não usa mais. Isso pode aumentar a segurança e simplificar a manutenção futura.

6. Limpe todos os servidores

  1. Execute uma instalação limpa, e não apenas um upgrade. Os upgrades podem deixar arquivos de uma versão anterior. Se um arquivo infectado permanecer no servidor, seu site tem mais chances de ser hackeado novamente.
    • A nova instalação deverá incluir o sistema operacional se você controlar o o servidor e todos os aplicativos de software, como o conteúdo de e-commerce, plug-ins e modelos. Confirme para verificar se há atualizações e patches de segurança disponíveis.
  2. Transfira o conteúdo em bom estado da cópia limpa do sistema de arquivos de backup para o servidores recém-instalados. Fazer upload e restaurar somente o arquivo limpo conhecido ou banco de dados. Mantenha as permissões de arquivo apropriadas e não substituir os arquivos de sistema recém-instalados.
  3. Altere a senha pela última vez em todas as contas relacionadas ao site (por exemplo, logins para acesso FTP, acesso ao banco de dados, administradores de sistema, e contas do CMS). Em sistemas Unix, use este código:
passwd admin1

7. Crie um plano de manutenção em longo prazo

Recomendamos que você faça o seguinte:

  • faça backups regulares e automáticos do site;
  • esteja atento para manter o software atualizado;
  • Compreender as práticas de segurança de todos os aplicativos, plug-ins e outros de terceiros antes de instalá-los em seu servidor. Um título ou a vulnerabilidade em um aplicativo pode afetar a segurança o site inteiro.
  • imponha a criação de senhas fortes;
  • Manter todos os dispositivos usados para fazer login na máquina protegidos (sistema operacional atualizado sistema e navegador).

8. Confira se a limpeza foi concluída

Veja se é possível responder "sim" às seguintes perguntas:

  • Tomei as medidas adequadas caso o hacker consiga acessar pessoais informações?
  • Meu site tem a versão mais recente e mais segura do software?
  • Removi todos os aplicativos ou plug-ins desnecessários ou não utilizados que poderiam deixar meu site mais vulnerável no futuro?
  • Restaurei meu conteúdo e eliminei o conteúdo do hacker?
  • Corrigi a vulnerabilidade da causa raiz que possibilitou que meu site fosse invadido?
  • Tenho um plano para manter meu site seguro?

Agora você pode deixar seu site on-line novamente.