Mi a backdoor?
Sokan úgy gondolják, hogy egy feltört weboldal helyreállításához elegendő visszaállítani egy korábbi biztonsági mentést. Sajnos ez nem mindig ilyen egyszerű. A támadók gyakran úgynevezett backdoort, vagyis rejtett hozzáférést helyeznek el a weboldalon vagy a szerveren, amely lehetővé teszi számukra, hogy később újra bejussanak a rendszerbe. Ebben a cikkben bemutatjuk, mi az a backdoor, miért jelent komoly veszélyt, és miért nem jelent önmagában megoldást egy biztonsági mentés visszaállítása.
Képzelje el úgy, mint egy második bejáratot
Ha egy betörő egyszer bejut egy házba, gyakran nem az a célja, hogy csak egyszer jusson be.Inkább elrejt egy pótkulcsot a virágcserép alá, vagy készít egy másolatot a kulcsról, hogy később bármikor visszatérhessen. A számítógépes világban ezt nevezzük backdoornak, vagyis hátsó hozzáférésnek.
Mi az a backdoor?
A backdoor egy olyan rejtett program, módosított fájl vagy konfiguráció, amely lehetővé teszi, hogy a támadó később is hozzáférjen a weboldalhoz vagy akár a teljes szerverhez anélkül, hogy újra fel kellene törnie azt.Ez azt jelenti, hogy hiába változtatja meg a jelszavakat vagy frissíti a weboldal motorját, a támadó továbbra is visszatérhet.
Hol rejtőzhet?
A backdoor szinte bárhol elhelyezhető.Gyakori helyei:
- index.php
- functions.php
- wp-config.php
- uploads könyvtár
- ismeretlen nevű PHP fájlok
- képfájloknak álcázott PHP állományok
- cron feladatok
- új adminisztrátor felhasználók
- SSH kulcsok
- egyedi webalkalmazások módosított forráskódjai
Miért veszélyes?
Egy backdoor segítségével a támadó:- újra megfertőzheti a weboldalt;
- spam e-maileket küldhet;
- adatokat lophat;
- további rosszindulatú programokat telepíthet;
- más weboldalakat is veszélyeztethet ugyanazon a szerveren;
- akár hónapokig észrevétlenül hozzáférhet a rendszerhez.
Miért nem elég visszaállítani egy biztonsági mentést?
Ez az egyik leggyakoribb tévhit.Sokan úgy gondolják, hogy elegendő visszaállítani egy néhány nappal vagy héttel korábbi mentést, és a probléma megoldódik.
Ez azonban csak akkor igaz, ha a biztonsági mentés még a támadás előtt készült.
A valóságban a támadók gyakran napokkal vagy akár hetekkel a károkozás előtt jutnak be a rendszerbe. Első lépésként telepítenek egy backdoort, majd hosszabb ideig semmilyen feltűnő tevékenységet nem végeznek.
Ha a biztonsági mentés már tartalmazza ezt a rejtett hozzáférést, akkor annak visszaállításával a támadó is visszakapja a hozzáférését.
Ezért minden helyreállítás előtt meg kell vizsgálni, hogy:
- mikor történt a kompromittálódás;
- mikor készült a biztonsági mentés;
- tartalmazhat-e már backdoort;
- sikerült-e megszüntetni a behatolás okát.
Hogyan található meg egy backdoor?
A felderítés gyakran több módszer kombinációjával történik.A leggyakoribb vizsgálatok:
- fájlok összehasonlítása korábbi biztonsági mentésekkel;
- fájlmódosítási időpontok elemzése;
- szervernaplók vizsgálata;
- ismeretlen PHP fájlok keresése;
- malware és víruskereső vizsgálatok;
- gyanús cron feladatok ellenőrzése;
- adminisztrátori fiókok felülvizsgálata;
- szakember által végzett biztonsági audit.
Mi a legbiztonságosabb megoldás?
Ha nem zárható ki teljes bizonyossággal a backdoor jelenléte, akkor általában biztonságosabb:- új szervert telepíteni;
- friss operációs rendszert használni;
- csak ellenőrzött fájlokat visszaállítani;
- minden jelszót lecserélni;
- API kulcsokat újragenerálni;
- SSH kulcsokat lecserélni;
- megszüntetni a támadást lehetővé tevő sérülékenységet.
Összességében
Egy backdoor nem maga a támadás, hanem annak biztosítéka, hogy a támadó később is visszatérhessen.Ezért egy feltört weboldal helyreállítása nem merülhet ki annyiban, hogy visszaállítunk egy biztonsági mentést vagy törlünk néhány fertőzött fájlt. Először fel kell deríteni a kompromittálódás okát, meg kell szüntetni a sérülékenységet, majd ellenőrizni kell, hogy semmilyen rejtett hozzáférés nem maradt a rendszerben.
Csak így biztosítható, hogy a weboldal hosszú távon is biztonságosan működjön.