Nulaužta jūsų svetainė. Ka daryti?

Visų pirma susitarkime dėl sąvokų. Sakydamas “nulaužta svetainė” aš turiu galvoje, kad piktadariai sugebėjo pakeisti Jūsų interneto svetainės failus, įkelti naujus įrašus pakeisti duombazės įrašus ir pan. Be to, nesigilindami į visokius specifinius serverių nulaužimus tarkime, kad nulaužimas įvyko per svetainės programinės įrangos klaidą arba per FTP. Ir kalbame apie LAMP architektūrą.

Nulaužta interneto svetainė nėra toks jau retas nutikimas. Neretai svetainės nulaužiamos dideliais kiekiais automatizuotu būdu ir 80% atvėjų įsilaužėliai nepridaro labai didelių problemų. Be abejonės tai nereiškia, kad galima ramiai nieko neveikti. Reaguoti reiktų kaip įmanoma greičiau, nes nulaužtą svetainę būna naudojama įvairiais piktais tikslais. Tai reiškia, kad nieko nedarant seka svetainės patekimas į juoduosius sąrašus (google ar spam, ar kitus).

Kadangi kolkas nežinome, kaip įsilaužėliai pateko į svetainę, tai pirmasis tikslas bus pasistengti tai išsiaiškinti. Jei neišsiaiškinsim ir tiesiog pabandysime sutvarkyt pravalydami užkrėstus failus arba atstatydami iš atsarginės kopijos (kurią greičiausiai turite :), tai būsitė nulaužti vėl. Todėl aš paprastai prisijungiu prie FTP serverio ir surandu modifikuotus (pažeistus) failus. Žinodami modifikavimo datą galime talpinimo paslaugų tiekėjo užklausti kada paskutinius kelis kartus buvo jungiamasi prie svetainės naudojantis FTP. Ir jei matome, kad failai įkelti per FTP vadinasi greičiausiai kažkuris žmogus turintis prieiga prie Jūsų serverio užsikrėtęs virusu ir tokiu būdu nutekėjo FTP slaptažodis. Galime švesti, beliko sutvarkyti pažeistus failus ir pasikeisti slaptažodžius.

ftp

Deja taip paprasta būna retai. Dažniau įsilaužimai būna ivykdomi pasinaudojus programinės įrangos spragomis. Aišku dėl to noras išsiaiškinti kaip įsilaužta nemažėja. Todėl pereinam prie log failų analizės. Jei mes radom pažeistą failą ir žinom jo redagavimo tikslų laiką, tai tuo ir pasinaudokime.

Reikia atsisiųsti web serverio log failus. Tokiuose failuose fiksuojami visi kreipiniai į Jūsų serverį. Turint tuos failus windows aplinkoje juos gana sunku peržiūrėti, todėl aš naudoju “Apache logs viewer” programą (nemokamai galima atsisiųsti trial’ą). Atsidarome failus šia programa ir bandome peržiūrėti tuo metu vykusius kreipinius kada buvo modifikuotas kažkuris iš pažeistų failų. Tokiu būdu identifikuosite vieną ar kelis IP adresus iš kurių vyko įsilaužimas. Dabar galėsite programoje prafiltruoti tik Jus dominančius IP adresus ir matysite, kaip vyko ataka. Deja tokia log bylų analizė reikalauja nemažai specifinių žinių, be to kartais užklausų būna nemažai ir gana sunku susigaudyti jų gausoje. Bet įsilaužimo momentą pastebėti iš log failų tikrai galima. Ir iš čia galime atpažinti ir kokia spraga įsilaužėlis pasinaudojo. Ir jei jau radome kaip pavyko įsilaužti, kogero pavyks ir ištaisyti klaidą.

apache_log_viewer

Tikslumo dėlei reiktų nepamiršti, kad įsilaužiant dažnai naudojami proxy serveriai ir galimai kiekviena užklausa gali būti daroma iš skirtingo IP adreso. Tokiu atvejų mano aprašytą analizę atlikti bus kurkas sudėtingiau. Tiesa taip turbūt daro labiau profesionalūs įsilaužėliai ir jei taip atsitiko Jūsų projektui, greičiausiai net nepastebėjot. 🙂

Čia pateikiau labai suprimityvintą veiksmų seką, bet gal kažkam tai bus atspirties taškas. Dar verta paminėti, kad visada, prieš atliekant modifikacijas, reikia pasidaryti atsarginę kopiją. Net ir nulaužtos svetainės.

Be to, sena Turinio valdymo sistemos(TVS) versiją įsilaužėliams gyvenimą gali palengvinti kartais. Todėl šiandien puiki proga atnaujinti Jūsų svetainės TVS.