1. Начало
  2. Сигурност и защита
  3. Сигурност на сайта
  4. Какво да правя след констатиран злонамерен достъп в сайт?

Какво да правя след констатиран злонамерен достъп в сайт?

Сигурността на онлайн приложенията е от първостепенно значение за тяхното безпроблемно функциониране и съхраняването на информацията, която съдържат. За коректната работа на даден сайт е необходимо приложенията да са максимално подсигурени и администраторът, който ги управлява, да спазва изисквания за сигурност.

Най-често се намират пролуки в сигурността на приложение (пропуски в кода), които се използват от трети, недобронамерени лица за компрометиране на сайтовете. В следващите редове сме се постарали да опишем последователността от стъпки, които трябва да се предприемат след констатиран злонамерен достъп в хостинг акаунт.

1. Сканирайте устройствата

Сканирайте за злонамерен софтуер компютрите, от които достъпвате сайта и хостинг акаунта. При наличие на злонамерен код, като например spyware, троянски коне, malware или др., то данните ви могат да бъдат прихванати и в последствие ползвани от недобронамерени лица за злоупотреба с информацията в хостинг акаунта.

2. Спрете уеб достъпа до сайта

Препоръчително е докато сканирате устройствата за злонамерен софтуер, да спрете уеб достъпа до сайта, за да не могат неоторизирани лица да променят файловете или базата данни и/или да добавят други файлове. Това можете да направите, като сложите в home директорията .htaccess файл и в него добавите следния ред:

Deny from all

Можете да добавите вашия IP адрес за достъп, докато извършите анализа.

Това можете да направите като добавите още един ред, непосредствено след първия:

Allow from xxx.xxx.xxx.xxx

Ограничаване на уеб достъпа до сайта.
Ограничаване на уеб достъпа до сайта.

Бележка: Необходимо е да заместите xxx.xxx.xxx.xxx с вашия IP адрес. В случай че не знаете кой е вашият IP адрес, можете да го видите на адрес: IP check.

3. Променете паролите

Горещо препоръчваме да промените паролите за достъп.

3.1. За контролния панел – Препоръчително е да промените паролата за контролния панел, за да се елиминира възможността неоторизирани лица да са прихванали данните и да достъпват до акаунта ви.

Задаване на нова парола.
Задаване на нова парола за cPanel.

🔗 Промяна (reset) на парола за хостинг акаунт | Help

🔗 Как да променя паролата за контролния панел cPanel? | Help

3.2. За клиентския профил – ако неоторизирани лица имат достъп до вашия клиентски профил, те може да достъпват услугите, след което да се компрометира хостинг акаунта.

Паролата за клиентския профил можете да промените от клиентския профил през Редакция на профила.

3.3. За контактния имейл адрес – ако трети лица имат достъп до вашия имейл адрес, то може да се вземат данните, след което да се компрометира хостинг акаунта.

Важно: Ако след сканирането на вашия компютър сте премахнали злонамерен код, задължително променете паролите отново.

4. Анализирайте

Преди да бъде възстановен архив на модифицираните файлове, анализирайте как е направен пробива. Това ще ви помогне да локализирате как е бил осъществен, след което ще ви даде възможност да повишите сигурността.

Откъде да започнете анализа?

4.1. Уверете се, че трети лица нямат достъп до данните за хостинг акаунта, до контактния имейл адрес, както и до администрацията на сайта. Освен паролите за хостинг акаунта, можете да промените и тези за достъп до контактния имейл адрес и до администрацията на сайта.

4.2. Проверете какъв имейл адрес е зададен в контролния панел cPanel. При изискан ресет на парола за cPanel, на зададения имейл адрес се изпраща информация. Ако е зададен имейл адрес, който не ви е познат, задължително го променете.

Информация за контакт в cPanel.
Информация за контакт в cPanel.

4.3. Проверете какви FTP акаунти има създадени в контролния панел. Препоръчително е ако има създадени допълнителни FTP акаунти, да промените паролите им. В случай че не ги ползвате – то най-добре е да ги изтриете. За контролен панел cPanel това можете да направите от меню „FTP акаунти„.

Създадени FTP акаунти в cPanel.
Създадени FTP акаунти в cPanel.

Срещу всеки FTP акаунт има опция за промяна на парола и/или изтриване.

4.4. Разгледайте какви файлове има в акаунта. Често след злонамерен достъп в акаунт, се разполагат скриптове, които дават пълен достъп до акаунта, без необходимост от потребителско име и парола, т.н. шел (shell) файлове. Дори и при наличието на един такъв файл, всяко лице може да достъпи до акаунта и да направи опит за злоупотреба.

Как да разпознаете злонамерените файлове и злонамерения код, добавен в тях?

Пример за разположен PHP файл в директория images, в която обикновено се съхраняват само изображения:

Съмнителен файл в директорията за изображенията (images)

Ето и няколко насоки:

1) Прегледайте за файлове със странни имена.

2) При влизане по FTP можете да прегледате и датата на последна модификация на файла. Ако например има разминаване в датите на файловете, то можете да разгледате съдържанието на файла за съмнителен код.

3) Злонамереният код добавен във файловете най-често съдържа:

iframе, който сочи към друг сайт/URL адрес:

Съмнителен iframe код

eval и base64_decode – php функции, които могат да се видят обикновено при редакция на файла. Изглеждат по подобен начин:

Съмнителен код

javascript код добавен в началото или в края на файла. Той може да изглежда по подобен начин:

Съмнителен javascript код

странни пренаписващи правила в .htaccess файла, които пренасочват към външен сайт, като например:

Съмнителни правила

4.5. Анализирайте логовете. Логовете за акаунта можете да намерите в хостинг акаунта.

🔗 Как мога да видя FTP лог за достъп до хостинг акаунта? | Help

🔗 Логове за уеб достъп до сайт (Raw Access Logs) | Help

В логовете е необходимо да проследите какви заявки са изпълнявани, кога и какви ресурси са достъпвани, от кои IP адреси е достъпвано.

Имайте предвид, че начините за пробив в приложение са много и най-различни. Анализирането на логовете е времеемък и трудоемък процес, който изисква детайлно познаване на приложенията.

5. Възстановете

Първо е необходимо да прегледате акаунта за файлове, които не са разполагани от вас. Ако намерите такива, трябва да ги изтриете. В случай че във файловете на сайта има инжектиран код, то трябва да го премахнете или можете да възстановите архив. Можете да ползвате и системен архив, като го свалите от контролния панел.

🔗 Възстановяване на сайт (файлове и/или база данни) от архив | Help

Най-доброто решение е да се изтрият всички файлове от акаунта, след което да се инсталира отново системата. В зависимост от самата структура или спецификата на сайта обаче това решение не винаги е лесно приложимо.

6. Обновете

Обновете всички системи до последни налични версии. В новите версии често се поправят пропуски в сигурността на система и обновяването повишава сигурността на сайта. Обновяването е необходимо да се направи и на всички допълнителни модули, компоненти и плъгини. Ако в акаунта има системи, които не се ползват, то можете да ги свалите локално при вас, за да имате архив, след което да ги изтриете.

Едва след предприемане на описаните по-горе стъпки, активирайте достъпа до сайта. Това можете да направите като изтриете добавените редове от първа точка.

7. Защитете

За да повишите сигурността:

7.1. Винаги ползвайте сложни пароли, съдържащи главни и малки букви, цифри и символи. Така ще се предпазите от налучкване на паролата ви.

🔗 Няколко съвета при избора на подходяща парола | Help

7.2. Защитете администрацията на сайта за достъп само до вашия IP адрес и/или добавете допълнителна защита с потребителско име и парола. Това можете да направите от меню „Директории защитени с парола“.

🔗 Забрана за достъп по IP в .htaccess | Help

🔗 Защита на директория с потребителско име и парола | Help

7.3. Използвайте криптирана връзка за достъп до контролния панел и криптирана връзка за достъп до FTP.

🔗 Влизане в контролен панел cPanel през SSL | Help

🔗 Как да използвам криптирана връзка за достъп посредством FTP? | Help

7.4. Обновявайте редовно всички системи, модули, компоненти и плъгини до последни версии.

7.5. Абонирайте се за бюлетините на разработчиците на системите. Когато за системата бъде пуснато обновление/нова версия или поправка на пропуск/дупка в сигурността на системата, то тези новини се публикуват на официалните сайтове на съответната система.

7.6. Архивирайте системно съдържанието на вашия акаунт.

🔗 Генериране на пълен бекъп (full backup) | Help

Вижте още: 🔗 7 лесни стъпки да защитим сайта си | Blog

Обновена: 12.10.2022
Беше ли Ви полезна тази статия?

Вижте още