Wstrzyknięcie treści – jak poradzić sobie z atakiem?

Nie ma to jak kolejny cudowny dzień! Wstajesz rano, udajesz się do biura, wypijasz kawę i zaczynasz kolejny owocny dzień. Włączasz stronę internetową klienta i… CO DO…?!

Dzień dobry, Twoja strona internetowa właśnie została zaatakowana przez hackerów. Zaraz przekierujemy Cię na jedną z ciekawych stron których pewnie nigdy w życiu byś nie odwiedził. Kasyno? Porno czy może tabletki? Życzymy miłego dnia i owocnego przeglądania treści.

Jeżeli Twoja strona została shackowana przez islamskich ekstremistów i wyświetla arabskie litery, to znak, że robisz naprawdę dobrą robotę i jest ona dostrzegana globalnie. Zazwyczaj takie włamania można „naprawić” w ciągu kilku chwil zakładając oczywiście, że mamy wykonany względnie aktualny backup (kopię zapasową).

Zabawa zaczyna się jednak gdy staniemy się ofiarą najbardziej typowego w ostatnim czasie ataku – wstrzyknięcia treści.

Ataki te mają to do siebie, że zazwyczaj nie są na pierwszy rzut oka widoczne dla użytkownika. Ich celem jest dostarczenie robotom wyszukiwarki treści zoptymalizowanej pod słowa kluczowe związane z tematami takimi jak porno, viagra, sprzedaż podróbek czy inne dziwne tematy. Często linki które zostają dodane na naszej stronie prowadzą na domeny .ru, .cn oraz inne które zdecydowanie nie posiadają dobrej reputacji w Internecie. Do tego dochodzi tona fatalnej jakości tekstu pisanego łamaną angielszczyzną i mamy gotowy wynik włamania.

Jak wspomniałem wcześniej ataki tego typu potrafią być trudne do zdiagnozowania. Wstrzyknięte strony najczęściej widoczne są tylko dla robotów Google. Jeżeli więc nie zajmujemy się na co dzień widocznością naszej strony w wynikach wyszukiwania, nasza strona może być zainfekowana naprawdę długo. O tym dlaczego warto monitorować stronę i jak o nią zadbać pisałem już wcześniej w poradniki jak audytować stronę pod kątem SEO.

Co więc zrobić? Czy jesteśmy zgubieni?

Absolutnie nie. Wystarczy – jeszcze przed włamaniem – dodać stronę do Google Search Console. Samo narzędzie jest bardzo przydatne w kwestii monitorowania strony. Więcej na temat działania GSC znajdziesz w poradniku „jak używać Google Search Console”. Jedna z funkcji GSC będzie szczególnie przydatna w kwestii monitorowania naszej witryny a mianowicie raport „Problemy dotyczące bezpieczeństwa”.

To tu w przypadku problemów ze stroną pojawi się stosowna informacja mówiąca nam co się prawdopodobnie stało i jak ewentualnie możemy poradzić sobie z problemem. Przykładowy komunikat wygląda następująco:

Źródło: https://www.artefakt.pl/sites/default/files/7filtr.png

Dodanie strony do Google Search Console nie zapobiega włamaniom. Pomaga jednak w bardzo szybkim czasie otrzymać informację – także na maila – o zaistniałym problemie. Warto szybko przeciwdziałać takim sytuacjom. Każdy dzień zwłoki to czas kiedy nasza strona nie jest widoczna w wynikach wyszukiwania!

Jak zatem przeciwdziałać?

Aktualizuj oprogramowanie

Serio. Korzystanie z niezaktualizowanego WordPressa lub Joomli przybliża Cię do posiadania dodatkowych podstron bardziej niż cokolwiek innego.

Wspomniałem o wtyczkach? To, że Twój CMS jest aktualny nie znaczy, że wtyczek nie musisz ruszać. Wtyczki potrafią być tak samo dziurawe jak CMS. Co więcej – znając luki we wtyczkach bez problemu można wykonać naprawdę ciekawe i kreatywne ataki. Także – aktualizuj wszystko co się da możliwie szybko

Tylko zaufane źródła

Istnieją fajne wtyczki, rozszerzenia czy skórki które aż chciałoby się dodać na swoją stronę. Problemem może okazać się cena jaką trzeba za taką przyjemność uiścić. Czasem jest to $9 a czasem $49. Dla niektórych – rzecz nie do przeskoczenia.

Wtedy też szuka się opcji pobrania takiego dodatku za darmo. Oczywiście omijając takie bzdury jak prawo autorskie czy licencje. Najczęściej jednak dodatki takie są zawczasu zainfekowane dzięki czemu w odpowiednim momencie mogą zostać wykorzystana przez hackera dokładnie w momencie kiedy tego potrzebuje.

Pamiętaj o dobrych praktykach

Jeżeli jesteś programistą albo masz po swej prawicy siedzącego programistę który wykonuje dla Ciebie zlecenia, poproś go aby nad niektórymi elementami posiedział 15 minut dłużej, ale w pełni je zabezpieczył.

Wykonanie walidacji w formularzu, w taki sposób aby nie możliwe było odpytywanie bazy danych z pomocą odpowiednio spreparowanego zapytania jest bardzo ważne. Warto zadbać też o poprawne zabezpieczenie plików na przykład z wykorzystaniem trudnych do złamania haseł.

Nie, hasło „123456aaa” nie jest trudnym hasłem. „Misiaczek89” też nie.

Problemem możesz być Ty!

Serio. Czasem to nie hacker infekuje Twoją stronę a Ty. Jak? Ano to Twój komputer został zainfekowany i poprzez łączenie się z FTP, skutecznie zainfekowałeś swoją stronę. Wstydź się. Może się też zdarzyć tak, że zmiany w adresacji strony nie odbywają się bezpośrednio na stronie internetowej, a tylko na Twoim komputerze. Być może malware którym zainfekowany jest Twój komputer przechwytuje URL z Twojej przeglądarki i odpowiednio go modyfikuje?

Zainstaluj jeden z polecanych programów antywirusowych i bądź nieco bardziej spokojny. Przeskanuj komputer i upewnij się czy problem leży po Twojej stronie czy po stronie witryny.

Klops! Strona shakowana!

Spokojnie, do momentu gdy posiadasz kopię zapasową sprawa jest bardzo prosta w odkręceniu – po prostu wgrywasz zapasową i w zasadzie po sprawie. Zaktualizuj wtyczki oraz CMS i ewentualnie usuń elementy które mogą potencjalnie być niebezpieczne i w zasadzie już. Powinno być po problemie. Profilaktycznie zmień hasło do FTP czy do panelu Administracyjnego aby mieć 100% pewności, że nikt już się nie włamie.

Dobra, umówmy się – kto robi backup posiadając jednego bloga na serwerze? Ja nie robię mimo, że wiem, że któregoś dnia będę baaaardzo żałował. Nie bądź jak ja. Rób backupy.

Założę jednak, że nie robiliście do tej pory backupów. To mocno komplikuje sprawę. Na szczęście nie sprawia, że przywrócenie strony do stanu pierwotnego nie jest niemożliwe.

Zweryfikuj czy strona na pewno jest hacked

Da się do względnie szybko zrobić. Jeżeli jeszcze nie dostałeś powiadomienia od Google, to nic nie znaczy.

Sprawdź stan swojej witryny na przykład tu: http://isithacked.com/.

Jeżeli dostałeś powiadomienie od Google to dostałeś także zestaw kroków jakie powinno się podjąć w celu usunięcia problemu.

Poszukaj na FTP plików które były ostatnio modyfikowane

Zmiany w plikach, szczególnie jeżeli to jakiś CMS wykonuje się naprawdę sporadycznie. Tym bardziej jeżeli zlokalizujemy pliki które ostatnio były modyfikowane i mają datę inną niż wszystkie inne pliki na serwerze, możemy mieć przypuszczenia, że to właśnie w tych zmodyfikowanych plikach zaszył się kod odpowiedzialny za wyświetlanie nie naszych treści.

Najczęściej atakowane są pliki index.php, home.php ale także .htaccess. W przypadku CMSów takich jak WordPress, wszystko zależy tak naprawdę od tego w jaki sposób hacker dostał się na naszą stronę.

Czego szukać

Jeżeli wiemy już, że nasza strona ma problem, i zgłasza nam to i Google i narzędzia zewnętrzne, warto zabrać się za sprzątanie. Sprzątanie nie jest jednak tak proste jak mogłoby się wydawać. Konieczne jest sprawdzenie najlepiej każdego ostatnio zmodyfikowanego pliku ale także bazy danych! Najczęściej wstrzyknięty kod będzie długości jednej linii i będzie albo zapoczątkowany tekstem/funkcją base64 lub sva1. Dodatkowo w pliku htaccess mogą pojawić się dziwne, długie wstawki.

Niestety nie ma jednej stałej rady co i gdzie usunąć. Wszystko zależy jaki rodzaj włamania dotyczy naszej strony, jaki był cel hakera i w jakim stopniu nadmienił on strukturę naszej strony. W przypadku braku wiedzy technicznej co do działania backendu strony zdecydowanie warto odezwać się do programisty który tworzył stronę lub do hostingodawcy w celu przywrócenia backupu lub do… agencji SEO. Agencje SEO wiedzą najlepiej co i gdzie może zostać zaatakowane a przy okazji będą w stanie załatać potencjalne dziury lub po prostu przygotują kompleksowe zalecenia dla programisty.

Najbezpieczniej będzie oczywiście posiadać stronę internetową opartą na plikach HTML. Ale bądźmy poważni – nikt teraz nie uruchomi strony w oparciu o statyczne strony HTML 🙂 Pamiętajmy zatem aby się zabezpieczać i aby zabezpieczać strony.