Co dělat, když Vám web napadne hacker?

V dnešním článku se budeme věnovat situaci, kdy je Váš web napaden hackerem. Ukážeme Vám projevy, příčiny a způsob řešení takového problému.

Případ Cleverstore.cz

Klientka se na nás obrátila s žádostí o pomoc. Ve vyhledávači Google se u názvu jejího e-shopu objevila hláška, že stránky mohou být napadeny hackerem:


Tyto hlášky zobrazuje Google díky sofistikovanému systému rozpoznávání škodlivého obsahu. Tím může být např. stránka, vydávající se za jinou, nebo kód, který odesílá informace o návštěvníkovi stránek třetí straně.
Tento problém většinou nastává ve dvou případech:

• Slabé heslo: Klient má v administraci webu nastaveno velmi slabé heslo, které je snadno prolomitelné běžnými útoky. Útočník po prolomení hesla následně nahraje škodlivý obsah. Heslo v tomto případě nastavil předchozí vývojář na „1234“. Asi se mu dobře pamatovalo…
• Stará verze administrace (CMS) / jiné služby: V případě, že klient využívá dlouho neaktuální verzi nějakého systému, může dojít k tomu, že se útočník dostane na web skrze známou bezpečnostní díru (v nové verzi již opravenou). Typickým příkladem může být HTML WYSIWYG editor TinyMCE, jenž dlouho obsahoval bezpečnostní díru při nahrávání souborů.

Následky

V tomto případě šlo o „podstrčenou“ produktovou stránku na Amazonu, která na první pohled na web nepatří.
Došlo tedy k cizímu zásahu do webu, který s sebou nese například tato rizika:

• odcizení dat (např. seznamu zákazníků)
• změnu platební brány e-shopu (platby začnou chodit na jiný účet)
• podstrčení závadných stránek nebo škodlivého (a škodolibého) obsahu na stránky
• samotné odrazení potenciálního zákazníka, který se e-shopu raději vyhne při spatření hlášky na Google
• poškození dobrého obchodního jména e-shopu

Řešení

Klientka z těchto důvodů potřebovala co nejrychlejší vyřešení celé situace. Nejprve bylo nutné web stáhnout přes FTP a prohledat antivirovým programem. Poté došlo k vytipování škodlivých souborů, kde velmi pomohla tzv. Google Konzole, která shromažďuje právě detailní data o škodlivém obsahu, pomocí nichž lze pochybné soubory dohledat:

V tomto případě nebyly škody rozsáhlé (napadeno bylo cca 20 souborů v 6 složkách), a protože nebyly zasaženy žádné důležité soubory pro chod e-shopu, bylo možné infikované soubory vymazat a vyčištěný obsah opět nahrát na FTP.
Po provedení těchto změn bylo nutné opět otevřít Google Konzoli a společně se stručným popisem procesu odstranění cizích souborů potvrdit, že je web opět v pořádku. Následně trvalo cca týden, než vzal Google změny na vědomí, hláška zmizela a web byl opět považován za bezpečný.

Zhodnocení

Celý problém nastal pouze kvůli velmi slabému heslu v redakčním systému webu. Stačilo se tedy řídit obecnými doporučeními na bezpečnost hesel.
Proces analýzy problému, dohledání souborů, vyčištění a opětovná obnova provozu e-shopu vyšla celkem asi na 4 hodiny času, ovšem následky mohly být v tomto případě daleko horší. Pokud by se nejednalo pouze o podstrčený kód, ale např. o infekci klíčových souborů pro chod e-shopu, mohlo se stát, že bude potřeba e-shop naprogramovat znovu.