Az utóbbi pár évben eléggé elterjedtek és gyakran előfordulnak a tömeges weboldal feltörések, weboldal vírusok. Nálunk eddig minden esetben a felhasználói oldalról történt a hiányosság, mindez persze akaratlanul, de ez a cikk segít abban, hogy a jövőben megelőzhetőek legyenek a feltörések és segítséget nyújt akkor, ha most éppen ilyen problémával küzd az oldala.

Mit is jelent a feltörés/vírus pontosan?

Az esetek nagy részében FTP-n keresztül kerül fel a „vírus”, azaz valójában egy általában külföldi IP-ről csatlakozó ún. robotról van szó, amely kártékony kódokat helyez el a webtárhelyen, sok esetben kicseréli az index.html vagy index.php fájlokat, vagy csak az adott forráskódba helyezi el sajátját, más esetben az egész weboldal feltörése a robot célja és annak ellehetetlenítése (deface), vagy adathasználattal (phising) kísérletezés, amelynek komoly következményei is lehetnek.

Tény: A weboldalak feltörése 99.9%-ban NEM az ügyfél vagy weboldala ellen irányul, teljesen véletlenszerű, célja az ellehetetlenítés vagy a reklám/spamelés, adathalászat, stb.

Sokszor kérdezik ügyfeleink, hogy ők viszont nem adták ki soha az FTP kódot másnak, ill. Total Commanderen használják már évek óta a feltöltést, így nem lehet FTP-s feltörésről beszélni. Ez sajnos az egyik leggyakoribb hiba, a Total Commander egyszerűségben verhetetlen, de titkosítatlan kapcsolata miatt nagyon sebezhető, ezért könnyen ki tudják lopni belőle a jelszót. De hogyan kerül ki a jelszó valójában? A válasz igen egyszerű, minden esetben egy vírusfertőzött gépről van szó (és ez 99.9%-ban Windows operációs rendszerrel rendelkezik), amin trójai (backdoor) program fut a háttérben, gyűjti ki a jelszavakat és küldi el egy szerverre, amely időszakonként végigpásztázza az ott kinyert címeket, és belépve azokra felteszi a „vírust”. Így történik meg maga az oldal megfertőződése, és ha ez ellen nem tesz semmit, akkor a robot a felhasználói név/jelszó páros ismeretében, folyamatosan megfertőzi az oldalát.

A esetek másik részében a weboldal kódjában levő (általában elavult és nem frissített portálrendszer) hibás PHP kódját kihasználva töltenek fel saját futtatható fájlokat, amelyekkel tömeges hírlevelet küldenek ki, kihasználva a mail() fügvényt, vagy .htaccess fájlal URL átirányítást állítanak be az oldalon, ellehetetlenítve az oldalt vagy saját reklámoldalaikra irányítják. Ezek az esetek 99.9%-ban külföldi oldalak, sok esetben maguk az oldalak is vírusosak.

Kövesd blogunkat, mert hamarosan jelentkezünk a folytatással, melyben azt tudhatod meg, mit lehet olyankor tenni, ha már megvan a baj?