1. Home
  2. Hosting
  3. Bezbednost
  4. Šta da radim nakon zlonamernog pristupa veb sajtu?

Šta da radim nakon zlonamernog pristupa veb sajtu?

Sigurnost internet aplikacija najvažnija je za njihovo nesmetano funkcionisanje i čuvanje informacija. Za pravilno funkcionisanje sajt mora biti što je moguće bezbedniji, a administrator koji njima upravlja mora ispunjavati sve sigurnosne zahteve.

Najčešće se javljaju propusti u bezbednosti aplikacija (rupe u kodu) koje koriste zlonamerna lica kako bi kompromitovala veb-sajtove. U narednim redovima, pokušali smo da opišemo redosled koraka koji moraju biti preduzeti nakon zlonamernog pristupa hosting nalogu.

Sadržaj

1. Skeniranje

Skenirajte uređaj sa kog pristupate veb-sajtu i hosting nalogu. Proverite da li sadrži zlonameran softver. U prisustvu zlonamernog koda, poput spyware-a, trojanaca, malware-a itd. Vaši podaci mogu biti zloupotrebljeni od strane zlonamernih lica i može doći do zlonamernog pristupa hosting nalogu.

2. Blokiranje pristupa veb-sajtu tokom skeniranja uređaja

Preporučljivo je da se blokira pristup veb-sajtu kako neautorizovana lica ne bi mogla da menjaju fajlove ili baze podataka i/ili dodaju druge fajlove. Ovo možete uraditi tako što ćete ubaciti .htaccess fajl u osnovni (home) direktorijum hosting naloga i u njega upisati sledeći kod:

Deny from all

Možete dodati svoju IP adresu dok radite analizu. Ovo ćete uraditi tako što čete postaviti sledeći kod ispod gore navedenog:

Allow from xxx.xxx.xxx.xxx

Napomena: Neophodno je promeniti xxx.xxx.xxx.xxx Vašom IP adresom. Ako ne znate koja je Vaša IP adresa, možete je proveriti na adresi:
https://ip.superhosting.rs

Omogućen pristup samo jednoj adresi

3. Promena lozinke

Toplo Vam preporučujemo da promenite lozinke.

3.1. Za kontrolni panel – Preporučuje se promena lozinke kontrolnog panela kako bi se eliminisala mogućnost ponovnog zlonamernog pristupa.

Promena (reset) lozinke za hosting nalog

Kako da promenim lozinku za cPanel

Promena lozinke za cPanel

3.2. Za korisnički profil – ako neovlašćene osobe imaju pristup Vašem korisničkom profilu, može se pristupiti uslugama i potom kompromitovati hosting nalog.

Lozinku možete promeniti putem menija „Uredi profil“ na korisničkom profilu.

Promena lozinke za korisnički profil

3.3. Za kontakt imejl – Ako zlonamerna lica imaju pristup Vašoj imejl adresi, moguće je opet doći do pristupnih podataka i neovlašćenog pristupa hosting nalogu.

Važno: Ako ste uklonili zlonamerni kod nakon skeniranja računara, obavezno ponovo promenite lozinke.

4. Analiza

Pre vraćanja arhive modifikovanih fajlova, analizirajte kako je došlo do zlonamernog pristupa. Ovo će Vam pomoći da pronađete način na koji je to urađeno, a uz to će Vam pružiti priliku da povećate bezbednost.

Gde započeti analizu?

4.1. Proverite da li zlonamerne osobe nemaju pristup podacima hosting naloga, kontakt imejlu i administraciji veb-sajta. Pored lozinke za pristup hosting nalogu, možete promeniti lozinku za pristup kontakt imejlu i administraciji veb-sajta.

4.2. Proverite koja je imejl adresa podešena na kontrolnoj tabli cPanel. Kada se traži resetovanje cPanel lozinke, informacije se šalju na navedenu imejl adresu. Ako Vam postavljena imejl adresa nije poznata, obavezno je promenite.

Promena imejla u cPanelu

4.3. Proverite kreirane FTP naloge u kontrolnom panelu. Preporučuje se da ukoliko imate dodatne FTP naloge, promenite i njihove lozinke. Ako ih ne koristite, najbolje je ih ukloniti. U cPanel-u možete to uraditi preko menija „FTP nalozi“. Kada budete učitali stranicu, videćete ekran poput ovog:

Spisak sa FTP nalozima u cPanelu

Svaki FTP nalog ima mogućnost promene lozinke i / ili brisanja.

4.4. Pregledajte datoteke na hosting nalogu. Često, nakon zlonamernog pristupa nalogu, postoje skripte koje daju potpuni pristup nalogu bez potrebe za unosom korisničkog imena i lozinke, tj. shell fajlovi. Čak i sa jednim takvim fajlom, svako može pristupiti nalogu i pokušati zloupotrebu.

Kako prepoznati maliciozne fajlove i maliciozan kod koji je dodat?

Primer za PHP fajl koji se nalazi u direktorijumu images, gde se obično nalaze samo slike.

Sumnjiv fajl u folderu sa slikama (images)

Evo nekih smernica:

1) Pretražite fajlove sa čudnim imenima.

2) Kada se prijavite preko FTP-a, možete videti i datum poslednje izmene fajla. Na primer, ako postoji nepodudarnost u datumima fajla, tada možete pogledati sadržaj datoteke radi sumnjivog koda.

3) Zlonamerni kod koji se dodaje u fajlove najčešće sadrži:

– iframе, koji pokazuje na drugi sajt/URL adresu:

Sumnjiv iframe kod

– eval i base64_decode – php funkcije koje se obično mogu videti tokom uređivanja fajlova. Izgledaju poput ovoga:

Sumnjiv kod

– javascript kod koji je dodat na početku ili na kraju fajla. To može da izgleda poput ovoga:

Sumnjiv JavaScript kod

čudni rewrite rules u .htaccess fajlu koji preusmeravaju na spoljni veb-sajt, kao što su:

Sumnjiva pravila

4.5. Analizirajte logove. Logove možete pronađi na hosting nalogu.

Kako mogu da vidim log FTP pristupa hosting nalogu

Logovi pristupa sajtu (Raw Access Logs)

Logovi moraju ispratiti koji su zahtevi izvršeni, kada i koji su resursi dostupni, sa kojih IP adresa se pristupa. Imajte na umu da postoji mnogo različitih načina za proboj u aplikaciju. Analiza logova je dugotrajan i mukotrpan proces koji zahteva detaljno poznavanje aplikacija.

5. Povratak iz arhive

Prvo treba pregledati nalog i potražiti fajlove koji nisu postavljeni sa Vaše strane. Ako nađete takve fajlove, treba ih izbrisati. Ako je u fajlove veb-sajta ubačen kod, treba da ga uklonite ili vratiti fajl iz arhive. Takođe možete koristiti sistemsku arhivu tako što ćete je preuzeti sa kontrolne table.

Vraćanje veb-sajta (datoteka i/ili baze podataka) iz rezervne kopije

Najbolje rešenje je brisanje svih fajlova sajta sa hosting naloga i zatim ponovo instalirate sistem. Međutim, zavisno od strukture ili specifičnosti veb-sajta, ovo rešenje možda nije uvek lako implementirati.

6. Ažuriranje

Ažurirajte sve sisteme na poslednju dostupnu verziju. U novim verzijama često se ispravljaju sigurnosni nedostaci sistema, a ažuriranja povećavaju bezbednost sajta. Ažuriranje se takođe mora obaviti na svim dodatnim modulima, komponentama i dodacima. Ako na nalogu postoje sistemi koji se ne koriste, možete ih preuzeti lokalno na računar i izbrisati ih.

Samo ako ste preduzeli sve prethodne korake, aktivirajte pristup veb-sajtu. To ćete uraditi tako što ćete izbrisati prethodno dodata dva reda koda.

7. Zaštita

Da povećate bezbednost:

7.1. Uvek koristite složene lozinke koje sadrže velika i mala slova, brojeve i simbole. To će vas zaštititi od toga da neko drugi pogodi lozinku.

Nekoliko saveta za odabir jake lozinke

7.2. Zaštitite administraciju sajta sa omogućenim pristupom samo za Vašu IP adresu i/ili postavite dodatnu zaštitu sa korisničkim imenom i lozinkom. Ovo možete da uradite pomoću menija u cPanelu „Zaštita direktorijuma lozinkom“.

Zabrana pristupa za IP adresu preko .htaccess

Zaštita direktorijuma sa korisničkim imenom i lozinkom

7.3. Koristite šifrovanu (enkriptovanu) vezu za pristup kontrolnom panelu i za pristup FTP.

Pristupite cPanel-u koristeći sigurnu vezu

SFTP – bezbedna FTP konekcija (korišćenjem SSH-a)

7.4. Redovno ažurirajte sve sisteme, module, komponente i dodatke na poslednju verziju.

7.5. Pretplatite se na neki bilten ili pratite blog sistem developera. Kada se za sistem objavi ažurirana / nova verzija ili ispravljen bezbednosni propust, ove vesti se objavljuju na zvaničnim veb-sajtovima dotičnog sistema.

7.6. Napravite rezervnu kopiju sadržaja naloga.

Kako generisati kompletni bekap (rezervnu kopiju) ?

Dodatne informacije možete naći u kategoriji „Bezbednost“.

Updated on 10. August 2022.

Was this article helpful?

Related Articles