Segítség! Feltörték a weboldalamat. Mit tegyek?
Egy feltört weboldal nemcsak kellemetlenséget, hanem komoly üzleti és adatbiztonsági kockázatot is jelenthet. Előfordulhat, hogy a támadók spam oldalakat helyeznek el, átirányítják a látogatókat, vagy akár a teljes szerverhez is hozzáférést szereznek. A legfontosabb azonban, hogy ilyenkor ne pánikból döntsünk. Ebben a cikkben bemutatjuk, milyen jelek utalhatnak kompromittálódásra, miért kapcsolhatja le a tárhelyszolgáltató a szervert, hogyan történhet a helyreállítás, és milyen lépésekkel csökkenthető egy hasonló incidens kockázata a jövőben.
Segítség! Feltörték a weboldalamat. Mit tegyek?
Ha weboldala egyik napról a másikra furcsán kezd viselkedni, ismeretlen tartalmak jelennek meg rajta, átirányít más oldalakra, vagy a tárhelyszolgáltató értesíti egy biztonsági incidensről, könnyen lehet, hogy weboldala vagy akár a teljes szerver kompromittálódott.A legfontosabb: ne essen pánikba! Egy elhamarkodott döntés sokszor nagyobb kárt okozhat, mint maga a támadás. Ebben a cikkben végigvesszük, hogyan ismerhető fel egy feltörés, mit érdemes tenni, és hogyan előzhető meg a hasonló incidens.
Mennyire gyakori a weboldalak feltörése?
A Sucuri 2023-as jelentése szerint a megtisztított, kompromittált CMS-alapú weboldalak megoszlása a következő volt:WordPress - 95,5%
Joomla - 1,7%
Magento - 0,6%
Drupal - 0,3%
Egyéb - 1,9%
Ez nem jelenti azt, hogy kizárólag a WordPress veszélyesebb, hanem azt, hogy messze ez a legelterjedtebb tartalomkezelő rendszer, ezért az automatizált támadások elsődleges célpontja is.
Honnan tudhatom, hogy feltörték a weboldalamat?
A támadás első jelei sokszor nem egyértelműek.Gyanús lehet például, ha:
- a weboldal ismeretlen oldalakra irányít át;
- reklámok vagy spam tartalmak jelennek meg;
- a Google veszélyes webhelyként jelöli meg az oldalt;
- a Search Console biztonsági figyelmeztetést küld;
- ismeretlen adminisztrátor jelenik meg;
- új, ismeretlen PHP fájlok kerülnek a szerverre;
- szokatlanul magas CPU- vagy memóriahasználat jelentkezik;
- spam e-mailek indulnak a szerverről.
Valós eset
Egy korábbi incidens során nem vírusüzenet vagy átirányítás jelezte a problémát.Először azt vettük észre, hogy egyes könyvtárakba már nem lehetett új fájlokat feltölteni, más mappákból pedig nem lehetett fájlokat törölni. A fájl- és mappajogosultságok látszólag maguktól megváltoztak.
Mivel ez egyértelműen rendellenes működés volt, azonnal értesítettük a tárhelyszolgáltatót. A vizsgálat után a szolgáltató biztonsági okokból lekapcsolta a teljes szervert a hálózatról.
Elsőre ez kellemetlen döntésnek tűnhet, hiszen minden rajta futó weboldal elérhetetlenné vált, azonban egy kompromittált szerver más rendszerekre is veszélyt jelenthet. Ilyenkor a szolgáltató elsődleges feladata a fertőzés terjedésének megakadályozása. A történet itt még nem ért véget.
A napi biztonsági mentések ugyanazon a szerveren voltak tárolva, amelyet leválasztottak a hálózatról. Ezekhez így mi sem tudtunk hozzáférni. A helyreállítás végül egy frissen telepített szerveren történt, ahol egy külön, független helyen tárolt biztonsági mentésből állítottuk vissza az összes weboldalt.
Csak a weboldalt törték fel, vagy már a teljes szervert?
Ez az egyik legfontosabb kérdés.Nem minden weboldal-feltörés jelent teljes szerverkompromittálódást.
Egy sérülékeny bővítmény vagy elavult webalkalmazás segítségével a támadó kezdetben csak az adott weboldalhoz férhet hozzá.
Ha viszont már megtörtént az úgynevezett backdoor telepítése, vagy magasabb jogosultságot szereznie, akkor már:
- más weboldalakhoz is hozzáférhet;
- adatbázisokat másolhat;
- jelszavakat szerezhet meg;
- spam küldésére használhatja a szervert;
- új felhasználókat vagy hátsó hozzáféréseket hozhat létre.
Miért kapcsolja le a tárhelyszolgáltató a szervert?
Sok ügyfél ilyenkor felháborodik, pedig a szolgáltató ezzel nem büntetni szeretné.Egy kompromittált szerver:
- spamet küldhet;
- adathalász oldalakat szolgálhat ki;
- rosszindulatú programokat terjeszthet;
- más rendszereket támadhat;
- veszélyeztetheti ugyanazon a fizikai szerveren futó többi ügyfelet.
Ilyenkor a szerver ideiglenes leválasztása sokszor az egyetlen felelős döntés.
Van biztonsági mentése?
A legtöbb esetben ez dönti el, hogy néhány órás vagy több napos leállással kell számolni.A valódi biztonsági mentés:
- több generációt őriz;
- rendszeresen készül;
- nem ugyanazon a szerveren található;
- időnként visszaállítással is ellenőrzik.
Az ugyanazon a szerveren tárolt biztonsági mentés valójában nem biztonsági mentés, hanem csupán egy másolat.
Érdemes új szerverre költözni?
Ha nem ismert pontosan a támadás oka, vagy felmerül a szerver kompromittálódásának gyanúja, gyakran biztonságosabb:- új VPS vagy tárhely használata;
- tiszta operációs rendszer telepítése;
- csak ellenőrzött fájlok visszaállítása;
- minden jelszó, API kulcs és hozzáférés cseréje.
Ez sokszor gyorsabb és biztonságosabb megoldás, mint egy bizonytalan állapotú szerver javítgatása.
Mit NE tegyen?
Sokan pánikból olyan lépéseket tesznek, amelyek megnehezítik a helyreállítást.Ne:
- kezdje el véletlenszerűen törölni a fájlokat;
- állítsa vissza az első elérhető biztonsági mentést anélkül, hogy tudná, mikor történt a kompromittálódás;
- csak a jelszavakat cserélje le;
- hagyja figyelmen kívül a tárhelyszolgáltató figyelmeztetését;
- telepítsen ismeretlen „vírusirtó” bővítményeket pánikból.
Hogyan előzhető meg?
A legtöbb sikeres támadás megelőzhető lenne néhány alapvető biztonsági intézkedéssel:- rendszeres frissítések;
- felesleges bővítmények eltávolítása;
- erős jelszavak és kétlépcsős hitelesítés;
- webalkalmazás tűzfal (WAF);
- naplózás és behatolásfigyelés;
- rendszeres biztonsági mentések;
- időszakos biztonsági audit.
Konklúzió
A weboldal helyreállítása nem akkor ér véget, amikor újra megnyílik a főoldal.A valódi cél annak kiderítése, hogyan történt a kompromittálódás, és annak biztosítása, hogy ugyanazon a sérülékenységen keresztül a támadó ne tudjon ismét visszatérni.
Egy jól felépített mentési stratégia, a rendszeres frissítések és a folyamatos biztonsági ellenőrzések nagyságrendekkel olcsóbbak, mint egy sikeres támadás utáni helyreállítás.
Segítségre van szüksége?
Egy feltört weboldal helyreállítása sokszor jóval összetettebb feladat annál, mint hogy egyszerűen visszaállítunk egy biztonsági mentést. Először meg kell találni a támadás okát, ellenőrizni kell, hogy maradt-e hátsó hozzáférés (backdoor), majd csak ezután érdemes megkezdeni a helyreállítást.A VexFox Studio vállalja kompromittált weboldalak és szerverek vizsgálatát, a helyreállítás koordinálását, valamint a biztonsági hibák feltárását.
Amennyiben nem áll rendelkezésre használható biztonsági mentés, lehetőség van a weboldal részleges vagy teljes újjáépítésére is. Ilyenkor a még rendelkezésre álló fájlok, adatbázisok, képek és egyéb menthető adatok alapján igyekszünk a lehető legtöbb tartalmat visszaállítani, miközben eltávolítjuk a fertőzött vagy gyanús elemeket.
Célunk nem csupán a weboldal működésének helyreállítása, hanem annak biztosítása is, hogy a probléma ne ismétlődhessen meg ugyanazon a sérülékenységen keresztül.
FAQ
Gyakran ismételt kérdések a feltört weboldallal kapcsolatban.
Nem feltétlenül. Ha rendelkezésre áll friss biztonsági mentés, a legtöbb esetben a weboldal helyreállítható. Biztonsági mentés hiányában is gyakran menthetők képek, adatbázisok vagy egyéb tartalmak, amelyekből a weboldal részben vagy teljesen újjáépíthető.
Ez a támadás mértékétől függ. Egy egyszerű fertőzés néhány órán belül megszüntethető, míg egy teljes szerverkompromittálódás vagy biztonsági mentés nélküli helyreállítás akár több napot is igénybe vehet.
Nem mindig. Ha a támadó már korábban elhelyezett egy backdoort, az a biztonsági mentésben is szerepelhet. A helyreállítás előtt mindig érdemes kivizsgálni a támadás okát és meggyőződni arról, hogy a visszaállított rendszer nem tartalmaz rejtett hozzáféréseket.
Sok esetben igen. A szervernaplók, a módosított fájlok, a sérülékeny bővítmények és a támadás időpontjának elemzésével gyakran visszakövethető a behatolás módja. Előfordul azonban, hogy a támadók a nyomaik egy részét eltüntetik, ezért nem minden esetben állapítható meg teljes bizonyossággal a kiváltó ok.
Nem feltétlenül. A legtöbb sikeres támadás elavult weboldalak, sérülékeny bővítmények, gyenge jelszavak vagy hibás konfiguráció miatt történik. A tárhelyszolgáltató feladata elsősorban a szerver infrastruktúrájának védelme és szükség esetén a fertőzés terjedésének megakadályozása.
Igen. Ha a Google rosszindulatú kódot vagy adathalász tartalmat talál a weboldalon, figyelmeztetést jeleníthet meg a keresési találatokban vagy a böngészőben is. Ez jelentősen csökkentheti a látogatottságot, amíg a problémát nem sikerül elhárítani.
Ha felmerül a teljes szerver kompromittálódásának gyanúja, gyakran ez a legbiztonságosabb megoldás. Egy tiszta operációs rendszerre telepített új szerver jelentősen csökkenti annak kockázatát, hogy rejtett backdoorok vagy egyéb rosszindulatú fájlok maradjanak a rendszerben.
A rendszeres frissítések, az erős jelszavak, a kétlépcsős hitelesítés, a webalkalmazás-tűzfal (WAF), a külső helyen tárolt biztonsági mentések és az időszakos biztonsági auditok jelentősen csökkentik egy sikeres támadás esélyét.
Igen, sok esetben igen. Ha nem áll rendelkezésre használható biztonsági mentés, a még elérhető adatbázisok, képek, dokumentumok és egyéb fájlok alapján gyakran részben vagy akár teljesen újjáépíthető a weboldal. A helyreállítás során azonban minden adatot biztonsági szempontból is ellenőrizni kell, hogy a fertőzött vagy módosított fájlok ne kerüljenek vissza az új rendszerbe.