Niestety coraz częściej zdarza się, że serwisy www są infekowane złośliwym oprogramowaniem. Z reguły jest to skrypt, który zmienia zawartość strony internetowej lub próbuje wyłudzić od użytkowników pewne informacje. W pierwszym przypadku mogą to być ukryte odnośniki do zewnętrznych serwisów, podmiana zawartości strony jedynie dla robotów wyszukiwarek lub przekierowanie na inny adres. Najczęściej wyłudzane są jednak dane osobowe lub dane dotyczące kart kredytowych i kont bankowych.
Jak rozpoznać, że strona została zainfekowana?
Google informuje webmasterów o ewentualnych problemach, dlatego dobrze co jakiś czas sprawdzać Google Search Consol – jeżeli nie mamy zweryfikowanej domeny – warto to zrobić. Po jej zweryfikowaniu, narzędzie dodatkowo przesyła też powiadomienia na adresy email lub najpopularniejsze skrzynki np. admin, administrator, suport czy webmaster. Jeżeli nasz adres jest inny, warto zastanowić się nad utworzeniem takiej skrzynki lub przekierowaniem poczty.
Niestety bywa i tak, że Google z pewnym opóźnieniem informuje nas o tym, że padliśmy ofiarą ataku i z naszym serwisem jest coś nie tak. Co wtedy?
#1 Pozycje
Po wstrzyknięciu złośliwego kodu często zauważyć można spadek pozycji, nawet z dnia na dzień. Oczywiście niekoniecznie na wszystkie frazy. Jeżeli nie posiadamy monitoringu, warto co jakiś czas sprawdzić główne frazy. Można w tym celu korzystać z zewnętrznych monitoringów lub GSC.
#2 Site serwisu
Kolejnym symptomem może być nagły wzrost liczby stron w serwisie – niekoniecznie są to strony wartościowe. W przypadku infekcji systemu WordPress mogą zostać dodane podstrony, które przekierowują użytkownika na zewnętrzny serwis.
#3 Meta
O kłopotach świadczą również łatwe do zauważenia zmiany takich elementów jak tytuł lub opis strony.
#4 Antywirus
Jeżeli mamy zainstalowanego antywirusa możliwe, że ten również powiadomi nas o próbie instalacji lub wyłudzenia danych.
#5 Informacja przy wyniku wyszukiwania
Zdarza się też tak, że informacja o ataku, wyświetlana jest bezpośrednio pod wynikami w Google.
#6 Wersja strony dla robota
Innym rozwiązaniem jest pobranie i zrenderowanie wybranej strony w Google Search Consol. Jeżeli wersja dla robota jest zupełnie inna niż dla użytkownika, możemy mieć pewność, że strona zawiera złośliwy skrypt, który podmienia jej zawartość w zależności od User Agenta.
Serwis można również sprawdzić po instalacji do przeglądarki rozszerzenia, które „przedstawi się” jako robot Google – do Firefoxa polecam dodatek User Agent Switcher.
Co robić?
Kiedy już wiemy, że nasza strona została zainfekowana należy poczynić pewne kroki, aby serwis nie utracił użytkowników i pozycji.
Jeżeli wiemy, co stało się ze stroną, tzn. gdzie i jaki skrypt został dodany, musimy go jak najszybciej usunąć. Jeżeli otrzymamy powiadomienie w GSC (Google Search Console) możliwe, że narzędzie wskaże nam też przykład strony wraz z fragmentem kodu, co znacznie ułatwi nam zadanie.
Następnie próbujemy załatać lukę w zabezpieczeniach – w przypadku rozwiązań opensourcowych, pomocna może okazać się zwykła aktualizacja systemu i ewentualnych rozszerzeń. Wskazana jest również zmiana hasła do panelu administratora i serwera ftp. Dodatkowo, warto zabezpieczyć serwis. Tutaj sprawdzi się np. podwójne uwierzytelnianie, zmiana uprawnień do plików, dodatkowa walidacja danych itd.
Jeżeli problem został naprawiony warto powiadomić o tym Google. W przypadku gdy informacja o kłopotach z serwisem znajduje się w Google Serach Console należy przeklikać się przez kolejne kroki rozwiązywania problemu i upewnić się, że zrobiliśmy wszystko co możliwe oraz zgłosić prośbę o ponowne sprawdzenie serwisu. Warto przy tym krótko opisać wykonane do tej pory działania.
Na koniec
Jeżeli Wasz serwis padł ofiarą ataku – nie martwcie się! Czym prędzej postarajcie się usunąć złośliwy kod i załatać lukę w zabezpieczeniach – pomoże to uniknąć podobnych ataków w przyszłości. Mam nadzieję, że powyższe rady będą pomocne. W razie dodatkowych kłopotów warto zgłosić się bezpośrednio do twórców serwisów lub poszukać pomocy w Internecie – pewnie nie jesteście jedynymi, którzy mają lub mieli problem ze złośliwym oprogramowaniem na stronie.
