1. Početna
  2. Ostalo
  3. Bezbednost
  4. Šta da radim nakon zlonamernog pristupa veb sajtu?

Šta da radim nakon zlonamernog pristupa veb sajtu?

Sigurnost internet aplikacija najvažnija je za njihovo nesmetano funkcionisanje i čuvanje informacija koje sadrže. Za pravilno funkcionisanje određenog veb-sajta aplikacije moraju biti što je moguće bezbednije, a administrator koji njima upravlja mora biti u skladu sa bezbednosnim zahtevima.

Najčešće se javljaju propusti u bezbednosti aplikacija (rupe u kodu) koje koriste zlonamerna treća lica kako bi kompromitovala veb-sajtove. U narednim redovima pokušali smo da opišemo redosled koraka koji moraju biti preduzeti nakon zlonamernog pristupa hosting nalogu.

Sadržaj

1. Skenirajte

Skenirajte računar sa kojim pristupate veb-sajtu i hosting nalogu i proverite da li sadrži zlonameran softver. U prisustvu zlonamernog koda, poput spyware, trojanaca, malvera itd. Vaši podaci se mogu presresti i kasnije iskoristiti od strane zlonamernih lica za zloubotrebu podataka na hosting nalogu.

2. Dok skenirate računar, blokirajte pristup veb-sajtu

Preporučljivo je da se blokira pristup veb-sajtu kako neautorizovana lica ne bi mogla da menjaju fajlove ili baze podataka i/ili dodaju druge fajlove. Ovo možete uraditi tako što ćete da ubacite .htaccess fajl u osnovni (home) direktorijum hosting naloga i da u njega upišete sledeći kod:

Deny from all

Možete dodati svoju IP adresu dok radite analizu. Ovo ćete uraditi tako što čete postaviti sledeći kod ispod gore navedenog:

Allow from xxx.xxx.xxx.xxx

Napomena: Neophodno je da zamenite xxx.xxx.xxx.xxx sa Vašom IP adresom. Ako ne znate koja je Vaša IP adresa, možete to da proverite na adresi:
https://ip.superhosting.rs

Omogućen pristup samo jednoj adresi

3. Promenite lozinke

Toplo Vam preporučujemo da promenite lozinke.

3.1. Za kontrolni panel - Preporučuje se promena lozinke na kontrolnom panelu kako biste eliminisali mogućnost da neovlašćena lica snimaju podatke i pristupaju vašem nalogu.

Promena (reset) lozinke za hosting nalog

Kako da promenim lozinku za cPanel

Promena lozinke za cPanel

3.2. Za korisnički profil - ako neovlašćene osobe imaju pristup vašem korisničkom profilu, može se pristupiti uslugama i potom kompromitovati hosting nalog.

Lozinku možete promeniti u korisničkom profilu u meniju „Uredi profil“.

Promena lozinke za korisnički profil

3.3. Za kontakt imejl – Ako treća lica imaju pristup Vašoj imejl adresi, može da pokrade podatke i kompromituje hosting nalog.

Važno: Ako ste uklonili zlonamerni kod nakon skeniranja računara, obavezno ponovo promenite lozinke.

4. Analizirajte

Pre vraćanja arhive modifikovanih fajlova, analizirajte kako je napravljen proboj. Ovo će vam pomoći da pronađete način na koji je to urađeno, a zatim će vam pružiti priliku da povećate bezbednost.

Gde započeti analizu?

4.1. Proverite da li treća lica nemaju pristup podacima o hosting nalogu, kontakt imejlu i administraciji veb-sajta. Pored lozinki za hosting nalog, možete da promenite i lozinku za pristup kontakt imejlu i administraciji veb-sajta.

4.2. Proverite koja je imejl adresa podešena na kontrolnoj tabli cPanel. Kada se traži resetovanje cPanel lozinke, informacije se šalju na navedenu imejl adresu. Ako je postavljena imejl adresa koja Vam nije poznata obavezno je promenite.

Promena imejla u cPanelu

4.3. Proverite koji su FTP nalozi kreirani u kontrolnom panelu. Preporučuje se da ukoliko imate dodatne FTP naloge, promenite i njihove lozinke. Ako ih ne koristite, najbolje je da ih izbrišete. U cPanelu možete to uraditi preko menija „FTP nalozi“. Kada budete učitali stranicu, videćete ekran poput ovog:

Spisak sa FTP nalozima u cPanelu

Svaki FTP nalog ima mogućnost promene lozinke i / ili brisanja.

4.4. Pregledajte kakvi fajlovi imaju na nalogu. Često, nakon zlonamernog pristupa nalogu, postoje skripte koje daju potpuni pristup nalogu bez potrebe za unosom korisničkog imena i lozinke, tj. shell fajlovi. Čak i sa jednim takvim fajlom, svako može pristupiti nalogu i pokušati ga zloupotrebiti.

Kako da prepoznate maliciozne fajlove i maliciozan kod koji je dodat u njih?

Primer za PHP fajl koji se nalazi u direktorijumu images, gde se obično nalaze samo slike.

Sumnjiv fajl u folderu sa slikama (images)

Evo nekih smernica:

1) Pretražite fajlove sa čudnim imenima.

2) Kada se prijavite preko FTP-a, možete videti i datum poslednje izmene fajla. Na primer, ako postoji nepodudarnost u datumima fajla, tada možete pogledati sadržaj datoteke radi sumnjivog koda.

3) Zlonamerni kod koji se dodaje u fajlove najčešće sadrži:

- iframе, koji pokazuje na drugi sajt/URL adresu:

Sumnjiv iframe kod

- eval i base64_decode - php funkcije koje se obično mogu videti tokom uređivanja fajlova. Izgledaju poput ovoga:

Sumnjiv kod

- javascript kod koji je dodat na početku ili na kraju fajla. To može da izgleda poput ovoga:

Sumnjiv JavaScript kod

- čudni rewrite rules u .htaccess fajlu koji preusmeravaju na spoljni veb-sajt, kao što su:

Sumnjiva pravila

4.5. Analizirajte logove. Logove za nalog možete da pronađete na hosting nalogu.

Kako mogu da vidim log FTP pristupa hosting nalogu

Logovi pristupa sajtu (Raw Access Logs)

Logovi moraju ispratiti koji su zahtevi izvršeni, kada i koji su resursi dostupni, sa kojih IP adresa se pristupa. Imajte na umu da postoji mnogo različitih načina za proboj u aplikaciju. Analiza logova je dugotrajan i mukotrpan proces koji zahteva detaljno poznavanje aplikacija.

5. Vratite

Prvo treba da pregledate nalog za fajlove koje niste Vi postavili. Ako nađete takve fajlove, treba da ih izbrišete. Ako je u fajlove veb-sajta ubačen kod, treba da ga uklonite ili da povratite arhivu. Takođe možete da koristite sistemsku arhivu tako što ćete je preuzeti sa kontrolne table.

Vraćanje veb-sajta (datoteka i/ili baze podataka) iz rezervne kopije

Najbolje rešenje je da izbrišete sve fajlove sa svog naloga i zatim ponovo instalirate sistem. Međutim, zavisno od strukture ili specifičnosti veb-sajta, ovo rešenje možda nije uvek lako implementirati.

6. Ažurirajte

Ažurirajte sve sisteme na poslednju dostupnu verziju. U novim verzijama često se ispravljaju sigurnosni nedostaci sistema, a ažuriranja povećavaju bezbednost sajta. Ažuriranje se takođe mora obaviti na svim dodatnim modulima, komponentama i dodacima. Ako na nalogu postoje sistemi koji se ne koriste, možete ih preuzeti na svoj računar da ih imate u arhivi i izbrisati ih.

Samo ako ste preduzeli sve prethodne korake, aktivirajte pristup veb-sajtu. To ćete uraditi tako što ćete izbrisati prethodno dodata dva reda koda.

7. Zaštitite

Da povećate bezbednost:

7.1. Uvek koristite složene lozinke koje sadrže velika i mala slova, brojeve i simbole. To će vas zaštititi od toga da neko drugi pogodi lozinku.

Nekoliko saveta za odabir jake lozinke

7.2. Zaštitite administraciju sajta sa omogućenim pristupom samo za Vašu IP adresu i/ili postavite dodatnu zaštitu sa korisničkim imenom i lozinkom. Ovo možete da uradite pomoću menija u cPanelu „Zaštita direktorijuma lozinkom“.

Zabrana pristupa za IP adresu preko .htaccess

Zaštita direktorijuma sa korisničkim imenom i lozinkom

7.3. Koristite šifrovanu (enkriptovanu) vezu za pristup kontrolnom panelu i za pristup FTP.

Pristupite cPanel-u koristeći sigurnu vezu

SFTP – bezbedna FTP konekcija (korišćenjem SSH-a)

7.4. Redovno ažurirajte sve sisteme, module, komponente i dodatke na poslednju verziju.

7.5. Pretplatite se na neki bilten ili pratite blog sistem developera. Kada se za sistem objavi ažurirana / nova verzija ili ispravljen bezbednosni propust, ove vesti se objavljuju na zvaničnim veb-sajtovima dotičnog sistema.

7.6. Napravite rezervnu kopiju sadržaja naloga.

Kako generisati kompletni bekap (rezervnu kopiju) ?

Dodatne informacije možete naći u kategoriji „Bezbednost“.

Obnovljen: 16. августа 2019.

Da li Vam je ovaj članak bio koristan?

Slični članci