ul. Wolsztyńska 5, poziom II 60-361 Poznań tel: 61 866 77 27 tel:+48618667727

Deloitte Technology Fast 50 Lider przedsiębiorczości Google Partner Google Partners Rising Stars

Złośliwe oprogramowanie

Złośliwy kod na stronie – jak go rozpoznać i co robić?


24-09-2015

Niestety coraz częściej zdarza się, że serwisy www są infekowane złośliwym oprogramowaniem. Z reguły jest to skrypt, który zmienia zawartość strony internetowej lub próbuje wyłudzić od użytkowników pewne informacje. W pierwszym przypadku mogą to być ukryte odnośniki do zewnętrznych serwisów, podmiana zawartości strony jedynie dla robotów wyszukiwarek lub przekierowanie na inny adres. Najczęściej wyłudzane są jednak dane osobowe lub dane dotyczące kart kredytowych i kont bankowych.

Jak rozpoznać, że strona została zainfekowana?

Google informuje webmasterów o ewentualnych problemach, dlatego dobrze co jakiś czas sprawdzać Google Search Consol – jeżeli nie mamy zweryfikowanej domeny – warto to zrobić. Po jej zweryfikowaniu, narzędzie dodatkowo przesyła też powiadomienia na adresy email lub najpopularniejsze skrzynki np. admin, administrator, suport czy webmaster. Jeżeli nasz adres jest inny, warto zastanowić się nad utworzeniem takiej skrzynki lub przekierowaniem poczty.

Niestety bywa i tak, że Google z pewnym opóźnieniem informuje nas o tym, że padliśmy ofiarą ataku i z naszym serwisem jest coś nie tak. Co wtedy?

#1 Pozycje

Po wstrzyknięciu złośliwego kodu często zauważyć można spadek pozycji, nawet z dnia na dzień. Oczywiście niekoniecznie na wszystkie frazy. Jeżeli nie posiadamy monitoringu, warto co jakiś czas sprawdzić główne frazy. Można w tym celu korzystać z zewnętrznych monitoringów lub GSC.

#2 Site serwisu

Kolejnym symptomem może być nagły wzrost liczby stron w serwisie – niekoniecznie są to strony wartościowe. W przypadku infekcji systemu WordPress mogą zostać dodane podstrony, które przekierowują użytkownika na zewnętrzny serwis.

site serwisu

#3 Meta

O kłopotach świadczą również łatwe do zauważenia zmiany takich elementów jak tytuł lub opis strony.

Meta-tagi

#4 Antywirus

Jeżeli mamy zainstalowanego antywirusa możliwe, że ten również powiadomi nas o próbie instalacji lub wyłudzenia danych.

#5 Informacja przy wyniku wyszukiwania

Zdarza się też tak, że informacja o ataku, wyświetlana jest bezpośrednio pod wynikami w Google.

#6 Wersja strony dla robota

Innym rozwiązaniem jest pobranie i zrenderowanie wybranej strony w Google Search Consol. Jeżeli wersja dla robota jest zupełnie inna niż dla użytkownika, możemy mieć pewność, że strona zawiera złośliwy skrypt, który podmienia jej zawartość w zależności od User Agenta.

wersja strony dla robota

Serwis można również sprawdzić po instalacji do przeglądarki rozszerzenia, które „przedstawi się” jako robot Google – do Firefoxa polecam dodatek User Agent Switcher.

Co robić?

Kiedy już wiemy, że nasza strona została zainfekowana należy poczynić pewne kroki, aby serwis nie utracił użytkowników i pozycji.

Jeżeli wiemy, co stało się ze stroną, tzn. gdzie i jaki skrypt został dodany, musimy go jak najszybciej usunąć. Jeżeli otrzymamy powiadomienie w GSC (Google Search Console) możliwe, że narzędzie wskaże nam też przykład strony wraz z fragmentem kodu, co znacznie ułatwi nam zadanie.

Następnie próbujemy załatać lukę w zabezpieczeniach – w przypadku rozwiązań opensourcowych, pomocna może okazać się zwykła aktualizacja systemu i ewentualnych rozszerzeń. Wskazana jest również zmiana hasła do panelu administratora i serwera ftp. Dodatkowo, warto zabezpieczyć serwis. Tutaj sprawdzi się np. podwójne uwierzytelnianie, zmiana uprawnień do plików, dodatkowa walidacja danych itd.

Jeżeli problem został naprawiony warto powiadomić o tym Google. W przypadku gdy informacja o kłopotach z serwisem znajduje się w Google Serach Console należy przeklikać się przez kolejne kroki rozwiązywania problemu i upewnić się, że zrobiliśmy wszystko co możliwe oraz zgłosić prośbę o ponowne sprawdzenie serwisu. Warto przy tym krótko opisać wykonane do tej pory działania.

Na koniec

Jeżeli Wasz serwis padł ofiarą ataku – nie martwcie się! Czym prędzej postarajcie się usunąć złośliwy kod i załatać lukę w zabezpieczeniach – pomoże to uniknąć podobnych ataków w przyszłości. Mam nadzieję, że powyższe rady będą pomocne. W razie dodatkowych kłopotów warto zgłosić się bezpośrednio do twórców serwisów lub poszukać pomocy w Internecie – pewnie nie jesteście jedynymi, którzy mają lub mieli problem ze złośliwym oprogramowaniem na stronie.

 



Zaufali nam:

BĄDŹ NA BIEŻĄCO!
ZAPISZ SIĘ DO NEWSLETTERA!