https://help.superhosting.bg/secure-site-after-abuse.html
  • bg

Хостинг, Домейни, Cloud, Виртуални сървъри (VPS), Managed VPS, SSL сертификати

Какво да правя след констатиран злонамерен достъп в сайт?

Сигурност
злонамерен достъп, сайт, компрометиран акаунт, хакнат сайт, hacked site, site was hacked, вирус в сайта

Сигурността на онлайн приложенията е от първостепенно значение за тяхното безпроблемно функциониране и съхраняването на информацията, която съдържат. За коректната работа на даден сайт е необходимо приложенията да са максимално подсигурени и администраторът, който ги управлява, да спазва изисквания за сигурност.

Най-често се намират пролуки в сигурността на приложение (пропуски в кода), които се използват от трети, недобронамерени лица за компрометиране на сайтовете. В следващите редове сме се постарали да опишем последователността от стъпки, които трябва да се предприемат след констатиран злонамерен достъп в хостинг акаунт.

Съдържание

1. Сканирайте

Сканирайте за злонамерен софтуер компютрите, от които достъпвате сайта и хостинг акаунта. При наличие на злонамерен код, като например spyware, троянски коне, malware или др., то данните ви могат да бъдат прихванати и в последствие ползвани от недобронамерени лица за злоупотреба с информацията в хостинг акаунта.

2. Докато се сканират компютрите, спрете уеб достъпа до сайта

Препоръчително е да спрете уеб достъпа до сайта, за да не могат неоторизирани лица да променят файловете или базата данни и/или да добавят други файлове. Това можете да направите, като сложите в home директорията .htaccess файл и в него добавите следния ред:

Deny from all

Можете да добавите вашия IP адрес за достъп, докато извършите анализа.

Това можете да направите като добавите още един ред, непосредствено след първия:

Allow from xxx.xxx.xxx.xxx

Бележка: Необходимо е да заместите xxx.xxx.xxx.xxx с вашия IP адрес. В случай, че не знаете, кой е вашия IP адрес, можете да го видите на адрес: http://showip.net

Разрешаване на достъп за конкретен IP адрес

3. Променете паролите

Горещо препоръчваме да промените паролите за достъп.

3.1. За контролния панел - Препоръчително е да промените паролата за контролния панел, за да се елиминира възможността неоторизирани лица да са прихванали данните и да достъпват до акаунта ви.

Промяна (reset) на парола за хостинг акаунт

Как да променя паролата за контролния панел cPanel?

Промяна на парола за контролен панел cPanel

3.2. За клиентския профил - ако неоторизирани лица имат достъп до вашия клиентски профил, то може да се достъпват услугите, след което да се компрометира хостинг акаунта.

Промяната на паролата можете да промените от клиентския профил от меню "Редакция на профила".

Промяна на парола за клиентски профил

3.3. За контактния имейл адрес - ако трети лица имат достъп до вашия имейл адрес, то може да се вземат данните, след което да се компрометира хостинг акаунта.

info-iconВажно: Ако след сканирането на вашия компютър сте премахнали злонамерен код, задължително променете паролите отново.

4. Анализирайте

Преди да бъде възстановен архив на модифицираните файлове, анализирайте как е направен пробива. Това ще ви помогне да локализирате как е бил осъществен, след което ще ви даде възможност да повишите сигурността.

Откъде да започнете анализа?

4.1. Уверете се, че трети лица нямат достъп до данните за хостинг акаунта, до контактния имейл адрес, както и до администрацията на сайта. Освен паролите за хостинг акаунта, можете да промените и тези за достъп до контактния имейл адрес и до администрацията на сайта.

4.2. Проверете какъв имейл адрес е зададен в контролния панел cPanel. При изискан ресет на парола за cPanel, на зададения имейл адрес се изпраща информация. Ако е зададен имейл адрес, който не ви е познат, задължително го променете.

Промяна на имейл адрес в cPanel

4.3. Проверете какви FTP акаунти има създадени в контролния панел. Препоръчително е ако има създадени допълнителни FTP акаунти, да промените паролите им. В случай, че не ги ползвате - то най-добре е да ги изтриете. За контролен панел cPanel това можете да направите от меню "FTP акаунти". При зареждане на страницата ще видите подобен екран:

Списък с FTP акаунти в cPanel

Срещу всеки FTP акаунт има опция за промяна на парола и/или изтриване.

4.4. Разгледайте какви файлове има в акаунта. Често след злонамерен достъп в акаунт, се разполагат скриптове, които дават пълен достъп до акаунта, без необходимост от потребителско име и парола, т.н. шел (shell) файлове. Дори и при наличието на един такъв файл, всяко лице може да достъпи до акаунта и да направи опит за злоупотреба.

Как да разпознаете злонамерените файлове и злонамереният код добавен в тях?

Пример за разположен PHP файл в директория images, в която обикновено се съхраняват само изображения:

Съмнителен файл в директорията за изображенията (images)

Ето и няколко насоки:

1) Прегледайте за файлове със странни имена.

2) При влизане по FTP можете да прегледате и датата на последна модификация на файла. Ако например има разминаване в датите на файловете, то можете да разгледате съдържанието на файла за съмнителен код.

3) Злонамереният код добавен във файловете най-често съдържа:

- iframе, който сочи към друг сайт/URL адрес:

Съмнителен iframe код

- eval и base64_decode - php функции, които могат да се видят обикновено при редакция на файла. Изглеждат по подобен начин:

Съмнителен код

- javascript код добавен в началото или в края на файла. Той може да изглежда по подобен начин:

Съмнителен javascript код

- странни пренаписващи правила в .htaccess файла, които пренасочват към външен сайт, като например:

Съмнителни правила

4.5. Анализирайте логовете. Логовете за акаунта можете да намерите в хостинг акаунта.

Как мога да видя FTP лог за достъп до хостинг акаунта?

Логове за уеб достъп до сайт (Raw Access Logs)

В логовете е необходимо да проследите какви заявки са изпълнявани, кога и какви ресурси са достъпвани, от кои IP адреси е достъпвано.

Имайте предвид, че начините за пробив в приложение са много и най-различни. Анализирането на логовете е времеемък и трудоемък процес, който изисква детайлно познаване на приложенията.

5. Възстановете

Първо е необходимо да прегледате акаунта за файлове, които не са разполагани от вас. Ако намерите такива, трябва да ги изтриете. В случай, че във файловете на сайта има инжектиран код, то трябва да го премахнете или можете да възстановите архив. Можете да ползвате и системен архив, като го свалите от контролния панел.

Възстановяване на сайт (файлове и/или база данни) от архив

Най-доброто решение е да се изтрият всички файлове от акаунта, след което да се инсталира отново системата. В зависимост от самата структура или спецификата на сайта обаче това решение не винаги е лесно приложимо.

6. Обновете

Обновете всички системи до последни налични версии. В новите версии често се поправят пропуски в сигурността на система и обновяването повишава сигурността на сайта. Обновяването е необходимо да се направи и на всички допълнителни модули, компоненти и плъгини. Ако в акаунта има системи, които не се ползват, то можете да ги свалите локално при вас, за да имате архив, след което да ги изтриете.

Едва след предприемане на описаните по-горе стъпки, активирайте достъпа до сайта. Това можете да направите като изтриете добавените редове от първа точка.

7. Защитете

За да повишите сигурността:

7.1. Винаги ползвайте сложни пароли, съдържащи главни и малки букви, цифри и символи. Така ще се предпазите от налучкване на паролата ви.

Няколко съвета при избора на подходяща парола

7.2. Защитете администрацията на сайта за достъп само до вашия IP адрес и/или добавете допълнителна защита с потребителско име и парола. Това можете да направите от меню "Директории защитени с парола".

Забрана за достъп по IP в .htaccess

Защита на директория с потребителско име и парола

7.3. Използвайте криптирана връзка за достъп до контролния панел и криптирана връзка за достъп до FTP.

Влизане в контролен панел cPanel през SSL

Как да използвам криптирана връзка за достъп посредством FTP?

7.4. Обновявайте редовно всички системи, модули, компоненти и плъгини до последни версии.

7.5. Абонирайте се за бюлетините на разработчиците на системите. Когато за системата бъде пуснато обновление/нова версия или поправка на пропуск/дупка в сигурността на системата, то тези новини се публикуват на официалните сайтове на съответната система.

7.6. Архивирайте системно съдържанието на вашия акаунт.

Генериране на пълен бекъп (full backup)

Допълнителна информация можете да намерите и в категория "Сигурност".

500px270px
SuperHosting.BG
    Сигурност
  • cPanel - Имейл нотификация при достъп до имейл акаунт
    В контролния панел cPanel се поддържа опция за изпращане на имейл нотификация, при засечен успешен достъп в пощата през Webmail или имейл клиент. За да активирате или деактивирате опцията, влезте през... »
  • cPanel - Имейл нотификация при достъп до cPanel
    В контролния панел cPanel може да се активира опция за изпращане на имейл нотификация, при засечен успешен достъп до cPanel. По подразбиране тази функционалност е деактивирана. Активиране на имейл нотификациите се... »
  • Интелигентна спам защита
    Към всички хостинг планове и Managed VPS сървърите, предлагани от СуперХостинг.БГ, е включена стандартна защита от спам имейл съобщения. Към планове СуперПро и СуперХостинг, както и всички Managed VPS услуги, се... »
  • Какво е DDoS?
    DDoS (Distributed Denial of Service) е разпространена атака за отказ (блокиране) на услуга. Реализира се в глобалната компютърна мрежа (интернет) и е насочена към услуги предоставяни във виртуалното пространство. Такива... »
  • Проверки за сигурност - WordPress Manager by SuperHosting
    WordPress е една от най-използваните системи в Уеб, за създаване на уеб сайт. Това я прави и една от системите, към която има голям интерес от страна на злонамерени лица,... »
Всички права запазени © 2005-2017 , www.superhosting.bg