Weboldal feltörés, vírus: megelőzés és óvintézkedések, azonnali megoldások – 3. rész

Korábbi írásainkból kiderült, mit jelent az, ha vírusos egy oldal és megosztottunk néhány hasznos infót arról, hogy mit lehet tenni ilyen esetben. Ha ezzel sem sikerült megoldani a problémát, íme néhány további tennivaló az oldal biztonsága értekében!

Titkosított FTP kapcsolatot használok, IP-t szűrök, még is vírusos lesz az oldalam. Mit tehetek?

Sajnos előfordulhat az a lehetőség is, hogy nem FTP-n keresztül történik a feltörés, bár ez a ritkább eset. Ez általában elavult portálrendszerek hibáiból (régi Drupal, WordPress, Joomla, stb.), vagy olyan programozási hibákból adódik, amikor olyan kód kerül leprogramozásra, amely kiskaput nyit az ezt kihasználó robotok számára. Ilyen lehet, a „php upload” függvény, amely szinte minden portálrendszernél és tartalomkezelő oldalnál megtalálható, használatával készíthetőek fájlok/egyéb PHP kódok, amik rögtön teret nyitnak a feltörésnek.

Egy ilyen feltörés feltárása komoly munkát igényel, hiszen egyenként végig kell nézni, melyik fájl vagy fájlok okozzák a feltörést. Itt mindig javasoljuk, hogy vegye fel a kapcsolatot a webfejlesztőjével, aki az oldalt készítette, hogy frissítse az adott rendszert, vagy keresse meg a hibát, vagy kérésre  biztonságtechnikával foglalkozó rendszergazda kollégáink külön díj ellenében el tudják hárítani a hibát. Külön díjről ebben az esetben azért beszélünk, mert nem maga a tárhely, hanem az arra felrakott, korábban nem általunk készített forráskódról van szó, amely hibás/elavult, ezért feltörések áldozatává válik. Természetesen díjmentesen szolgáltatunk logokat (naplófájlokat), tiltunk le fügvényt, hogy segítsük ezzel a keresést a webfejlesztő munkájának.

Nem megy a levélkiküldés, avagy a mail() fügvény, mi történt?

Névtelen4Rendszerünk folyamatosan ellenőrzi az oldalakon kiküldött levélkiküldés számát óránként, így azon oldalak, ahol a mail() fügvényben több ezer levélkiküldést lát rövid idő alatt, azt korlátozza. Ez a fajta biztonság lehetővé teszi, hogy a szerver IP címe ne kerüljön be SPAM listákba és az ügyfeleink ne károsodjanak az ebből kifolyó negatívumokból.

A vírusos oldalaknál gyakran előfordul, hogy a programkódban alattomosan elhelyezett kóddal nem az oldalt lehetetlenítik el, hanem időnként tömeges levélkiküldésre használnák fel, egyfajta átjáróként. Jó hír, hogy a szervereink védelme miatt ezt csak alig pár tucat címzettnek tudják megtenni, a rossz, hogy emiatt oldalának mail() azaz levélkiküldő fügvényét letiltja rendszerünk.

Ilyen esetben mindig értesítjük ügyfelünket a hibáról és annak megoldása után engedélyezzük a függvényt. Ha ez többször is előfordul egymás után, akkor a többi ügyfelünk érdekében a mail() függvényt letiltjuk, amíg szakértő programozót nem szerez az ügyfél, illetve ilyen esetben is állunk rendelkezésére külön programozóval.

Mikor felelős a tárhelyszolgáltató?

Abban az esetben lehet felelősségre vonni a tárhelyszolgáltatót, ha a fentieken kívül történt a megfertőződés. Nálunk jelenleg ennek az esélye gyakorlatilag 0, azaz zéró. Ennek több oka is van. Az egyik, hogy Linux operációs rendszert használunk, amelyre gyakorlatilag alig létezik vírus, emellett minden felhasználónk úgy van bekorlátozva FTP szinten, hogy nem léphet ki a mappájából, emiatt nem veszélyezteti a többi ügyfelünket. Emellett a szerver és PHP beállításaink is a megfelelő módon korlátozottak. Ha néznénk egy olyan elképzelhetetlen eseménysorozatot, amely lehetővé tenné, hogy oldala a mi hibánkból válna vírusossá, abban az esetben is van mindenről több napra visszamenő adatmentésünk.

Tartalmaim vírusosak lettek/nem visszaállíthatóak, törölték bizonyos fájlaim. Mit tegyek?

Minden fájlról van több napra visszamenő adatmentésünk, így lehet kérni részleges (csak a fájlok), ritka esetben teljes (adatbázis) visszamentést, amelyben rendszergazda kollégánk egy régebbi mentésből visszamásolja a még nem fertőzödött tartalmat.

Nagyon fontos megjegyezni viszont a továbbiakat! Ha nem teszi meg azokat az óvintézkedéseket, amiket adtunk, akkor oldala ugyanúgy vírusos lehet, vagy ha nem találta meg a rendszerében levő hibát, odlalát ugyanúgy feltörhetik, így ilyen esetben az adatmentés visszahelyezése csak tüneti kezelés.

Minden esetben ajánljuk, hogy időközönként frissítse oldalát, amennyiben portálrendszerről van szó, változtasson jelszót, készítsen saját maga számára adatmenést, megelőzve ezzel a későbbi bajokat, hisz tudja, jobb félni mint megijedni.

Megosztás: