07 sty

Ktoś włamał się na moją stronę www: co robić?

Blog - wlamanie-na-strone

Co robić gdy ktoś się włamał na moją stronę www lub sklep internetowy?

Takie pytanie pojawia się za każdym razem, gdy ktoś nieautoryzowany dostaję się do panelu administracyjnego lub plików strony internetowej. Spróbujemy opisać kilka procedur jak zmniejszyć szkodę.

Po pierwsze, trzeba zawsze mieć kopię zapasową strony lub serwera z jego zawartością (bazą danych). W Hostovita np. kopię zapasowe są dostępne w Panelu Klienta na stronie z produktem oraz po zgłoszeniu się do działu supportu, cPanel również posiada funkcję do tworzenia i pobrania kopii zapasowej całego konta. Czyli w przypadku klientów Hostingu SSD lub VPS – wystarczy zgłosić się i nasi administratorzy przywrócą potrzebne dane.

Ale najpierw przed przywróceniem danych – musimy znaleźć w jaki sposób strona została zhakowana, żeby sytuacja się nie powtórzyła na czystych plikach. Sposobów włamania się na stronę jest mnóstwo, my opiszemy niektóre z nich.

Pierwsza przyczyna włamania się – kradzież lub po prostu zgadywanie hasła do konta FTP lub dostęp do plików poprzez panel administracyjny strony. Coś takiego mogło być spowodowane wirusem na komputerze lub przez „dziurę” w nieaktualizowanej przeglądarce, z której było pobrane zapisane wcześniej hasło. Zgadywanie hasła dużo się upraszcza przy wykorzystywaniu samych liczb w hasłach. Wszystkie serwery hostingu współdzielonego Hostovita są zabezpieczone przed zgadywaniem hasła FTP, ponieważ Firewall serwera blokuje adres IP z którego w ciągu 5 minut było 5 nieudanych prób logowania się.

Dlatego należy zawsze wybierać hasło, które składa się z liczb, małych i dużych liter, jeszcze lepiej byłoby dodatkowo dodać znaki specjalne. Nie polecamy zapisywać hasła w niesprawdzonych aplikacjach lub w notatniku, szczególnie na komputerach bez programów antywirusowych.

Druga przyczyna zhakowania – stara wersja systemu CMS (lub jej wtyczek, dodatków i motywów) na której działa strona www. Najbardziej ulubione przez hakerów CMS`y – WordPress i Joomla. Po sprawdzeniu setek stron na naszych serwerach, na których jest zainstalowana Joomla, otrzymaliśmy informację, że 79% z nich nie wykorzystują ostatnią wersję stabilnego oprogramowania.

Sytuacja z WordPress niestety jest podobna do Joomla – 71% stron nie mają zainstalowanej ostatniej wersji CMS. Co bardzo zwiększa ryzyko włamania się do panelu admin, z czym niestety jako firma hostingowa nie możemy pomóc, trzeba tylko aktualizować CMS. Właśnie przez dziury we wtyczkach i komponentach odbywają się włamania do strony i plików, wysyłają różne exploit`y, iframe i php shell skrypty na serwer.

Zauważyliśmy że najczęściej włamują się na strony z Joomla:

  • podmianą plików LICENCE.php;
  • wysłaniem php shell do katalogu templates/beez/html/mod_login/ i pomianą templates/beez/index.php

WordPress:

– podmianą wp-login.php ;

– wysłaniem php shell oraz php eMailer poprzez:

  •    wp-content/plugins/wp-my-admin-bar ;
  •    wp-includes/js/tinymce/ ;
  •    wp-content/themes/infinity .

– dziurami w plikach motywu timthumb.php

Ze swojej strony Hostovita jako administrator serwerów, wprowadza dodatkowe mechanizmy zwiększenia bezpieczeństwa stron klientów. Na każdym z serwerów:

– zainstalowany Firewall;

– są włączone mod_security oraz suhosin;

– w PHP są wyłączone następne funkcje: show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, allow_url_fopen ;

– wyłączone safe_mode oraz register_globals .

 

Podsumowując cały materiał, można wydzielić następne kroki:

Działania przy włamaniu się na stronę www:

1. Sprawdzić czy nie był dodany złośliwy kod do plików strony lub nie były utworzone niepotrzebne pliki z niezrozumiałym kodem poprzez pobranie ich na komputer lub poprzez Menadżer Plików w cPanel.

2. Przywrócić stronę z kopii zapasowej.

3. Sprawdzić czy są nowe aktualizacje dla systemu CMS strony, dla Joomla  czy WordPress , i czy są dostępne nowsze wersje wtyczek/pluginów w panelu admin.

4. Zmienić hasło do hostingu/serwera oraz kont FTP, panelu admin strony internetowej.

5. Wyczyścić foldery cache/ oraz tmp/  strony.

 

Aby maksymalnie zabezpieczyć się przed włamaniem się na stronę internetową, wystarczy przestrzegać kilka prostych reguł. Zawsze instalować aktualizację CMS i wtyczek, dodatki pobierać lub kupować na sprawdzonych stronach, logować się do panelu admin z bezpiecznych komputerów i oczywiście mieć bezpieczne różne hasła dla różnych stron/serwisów.

Jeżeli nie chcesz martwić się o bezpieczeństwo strony, a po prostu korzystać z najlepszego panelu admin dla hostingu cPanel oraz rozszerzenia ImunifyAV+, które skanuje wszystkie pliki konta czas od czasu na wirusy – zapraszamy do zapoznania się z naszym Hostingiem SSD, z kodem RABATNABLOG dostaniesz 15% na dowolną płatność za hosting.