Oczyść i zabezpiecz witrynę

Aby zadbać o czystość witryny i zapobiec atakom hakerów w przyszłości, będą Ci potrzebne:

  • dostępu administratora do powłoki lub terminala serwerów witryny: internetowego, pliki
  • znajomości poleceń powłoki lub terminala;
  • umiejętności czytania kodu (np. PHP lub JavaScript);
  • miejsce na kopie zapasowe witryny, w tym pliki, bazy danych i obrazów

Następne działania

Na tym etapie omawiamy kilka spraw:

  • Gdzie znaleźć dodatkowe materiały, jeśli uważasz, że haker zamierzał pozyskiwania użytkowników danych osobowych (np. stronach wyłudzających informacje).
  • Opcja Usuń adresy URL w Search Console, by przyspieszyć usuwanie zupełnie nowych, niepożądanych widoczne dla użytkowników adresy URL utworzone przez hakera, których nie chcesz ujawniać w wynikach wyszukiwania Google.
  • Opcja Zgłaszanie do Google prośby o ponowne zindeksowanie adresów URL w Search Console, by przyspieszyć przetwarzanie przez Google nienaruszonych stron – czyli nowych lub niedawno zaktualizowanych stron, pojawiać się w wynikach wyszukiwania Google.
  • Instalacja najnowszej i najbezpieczniejszej wersji oprogramowania.
  • usunięcie niepotrzebnych lub nieużywanych aplikacji i wtyczek, które mogą powodować, może być bardziej podatna na ataki.
  • Przywrócenie dobrych treści i eliminacja treści hakera.
  • Usunięcie głównej przyczyny luki w zabezpieczeniach, którą wykorzystał haker.
  • Zmieniam wszystkie hasła.
  • Zaplanowanie, by zapewnić bezpieczeństwo witryny.

1. Znajdowanie zasobów pomocy

Jeśli z Twojej witryny pochodziły poufne dane o użytkownikach (na przykład ponieważ było ono częścią ataku phishingowego), możesz rozważyć obowiązki biznesowe, regulacyjne i prawne, zanim zaczniesz sprzątanie, witryny lub usunięcie plików. W przypadku phishingu antiphishing.org zawiera przydatne materiały, takie jak: jego dokument Co zrobić, jeśli witryna została zaatakowana przez wyłudzaczy informacji.

2. Rozważ szybsze usunięcie nowych adresów URL utworzonych przez hakera

Jeśli haker utworzył zupełnie nowe adresy URL widoczne dla użytkowników, możesz je zmienić strony można szybciej usuwać z wyników wyszukiwania Google za pomocą Usuwanie adresów URL w Search Console. Ten krok jest opcjonalny. Jeśli usuniesz tylko strony a potem skonfigurować serwer, by zwracał stan 404 , po pewnym czasie strony w naturalny sposób znikną z indeksu Google.

  • Decyzja o użyciu funkcji Usuń adresy URL zależy zwykle od liczby nowych, Powstały niechciane strony (dodanie zbyt wielu stron może być kłopotliwe Usuń adresy URL), a także potencjalne szkody, jakie mogą one wyrządzić użytkownikom. Aby strony zgłoszone w ramach funkcji usuwania adresów URL nigdy nie pojawiały się w w wynikach wyszukiwania, upewnij się, że strony są tak skonfigurowane, aby zwracać błąd 404 Odpowiedź „Nie znaleziono pliku” dotycząca niechcianych i usuniętych adresów URL.
  • Nie używaj tego narzędzia, aby poprosić o usunięcie stron, które były wcześniej tylko haker Chcesz, aby te strony pojawiały się w: w wynikach wyszukiwania po ich wyczyszczeniu. Usuwanie adresu URL dotyczy tylko stron w wynikach wyszukiwania.

3. Rozważ przyspieszenie przetwarzania nienaruszonych stron przez Google

Jeśli masz nowe lub zaktualizowane strony, na których nie ma błędów, możesz Zgłaszanie do Google prośby o ponowne zindeksowanie adresów URL w Search Console, aby przesłać te strony do indeksu Google. To jest opcjonalnie; jeśli pominiesz ten krok, nowe lub zmodyfikowane strony prawdopodobnie i przetwarzane z upływem czasu.

4. Zacznij oczyszczać serwery

Nadszedł czas, by rozpocząć oczyszczanie witryny na podstawie zrobionych notatek podczas oceniania szkód, Znajdź lukę w zabezpieczeniach dostępna na tym etapie ścieżka zależy od dostępnego typu kopii zapasowej:

  • Nienaruszona i aktualna kopia zapasowa
  • Nienaruszona, ale przestarzała kopia zapasowa
  • Brak dostępnej kopii zapasowej

Najpierw sprawdź, czy kopia zapasowa została utworzona przed atakiem hakerów na witrynę.

Nienaruszona i aktualna kopia zapasowa

  1. Przywróć kopię zapasową.
  2. Zainstaluj wszystkie dostępne uaktualnienia do nowszej wersji, aktualizacje i poprawki oprogramowania. Obejmuje to m.in. systemu operacyjnego, jeśli masz kontrolę nad serwerem, a wszystkie aplikacje, takich jak system zarządzania treścią, platforma e-commerce, wtyczki czy szablony.
  3. Rozważ usunięcie z serwera oprogramowania, którego witryna już nie używa (np. widżety, wtyczki i aplikacje) .
  4. Usuń lukę w zabezpieczeniach.
  5. Upewnij się, że wszystkie problemy wykryte na etapie Oceń szkody i je wyeliminować.
  6. Ponownie zmień hasła do wszystkich kont powiązanych z witryną (np. loginy do FTP, bazy danych, administratorów systemu kont systemu zarządzania treścią). W systemie typu Unix użyj polecenia:
passwd admin1

Nienaruszona, ale przestarzała kopia zapasowa

  1. Utwórz obraz dysku witryny, która jest wciąż zainfekowana. Ta kopia jest tylko dla bezpieczeństwa. Oznacz kopię jako zainfekowaną, aby ją odróżnić od pozostałych. W systemie typu Unix obraz dysku możesz utworzyć tak:
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
  1. Utwórz kopię zapasową systemu plików na serwerze, w tym obrazów i multimediów . Jeśli korzystasz z bazy danych, utwórz także jej kopię.
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
  1. Przywróć nienaruszoną, ale przestarzałą kopię zapasową na serwer.
  2. Zastanów się, czy możesz usunąć z serwera oprogramowanie (np. widżety, wtyczek ani aplikacji), których witryna już nie używa.
  3. uaktualnić całe oprogramowanie, w tym system operacyjny, jeśli masz kontrolę nad serwerem; wszystkie aplikacje, takie jak system zarządzania treścią, platformę handlu elektronicznego, wtyczki i szablony. Sprawdź i zainstaluj dostępnych aktualizacji i poprawek zabezpieczeń.
  4. Usuń lukę w zabezpieczeniach.
  5. Wykonaj w witrynie diff ręcznie lub automatycznie – między czystą kopią zapasową a bieżącą zainfekowaną kopią.
diff -qr www/ backups/full-backup-20120124/
  1. Prześlij wszelkie nowe, nienaruszone treści, które chcesz zachować, z zainfekowanej kopii na uaktualnionym serwerze.
rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
  1. Upewnij się, że każdy adres URL wymieniony w sekcji Oceń szkody zostały poprawione.
  2. Ponownie zmień hasła do wszystkich kont powiązanych z witryną (np. loginy do FTP, bazy danych, administratorzy i konta systemu CMS). W systemie typu Unix użyj polecenia:
$passwd admin1

Brak dostępnej kopii zapasowej

Zrób dwie kopie zapasowe witryny, mimo że nadal jest ona zainfekowana. Dodatkowy dodatek kopia zapasowa pomoże odzyskać przypadkowo usunięte treści lub pozwoli Ci przywrócić ponownie, jeśli coś pójdzie nie tak. Każdą kopię oznacz etykietą „zainfekowana”, by nie pomylić ich z innymi.

Pierwsza kopia zapasowa to obraz dysku – „sklonowana wersja” witryny. Ten jeszcze bardziej ułatwia przywracanie treści. Możesz zostawić obraz dysku w nagłych wypadkach. W systemie typu Unix użyj poniższego kodu, aby utworzyć dysk obraz:

dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz

Druga kopia zapasowa to kopia systemu plików na serwerze, w tym obrazów i multimedialnych. Jeśli korzystasz z bazy danych, utwórz także jej kopię zapasową.

tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql

Jeśli nie masz obrazu dysku, utwórz dwie kopie zapasowe bazy danych i dwie w systemie plików.

Aby wyczyścić zawartość witryny w nowej kopii systemu plików kopii zapasowej (nie na serwerze) ), wykonaj te czynności:

  1. Jeśli podczas wcześniejszej kontroli okazało się, że uprawnienia do plików są zbyt szerokie, przejdź dalej i je poprawić. Upewnij się, że robisz to w kopii zapasowej, a nie na serwerze
  2. Także w kopii zapasowej oczyść wszystkie pliki powiązane z wykrytymi adresami URL. przejęte w sekcji Oceń szkody. Te mogą to być pliki konfiguracji serwera, JavaScript, HTML lub PHP.
  3. Pamiętaj, aby usunąć też (wyświetlić odpowiedź 404) dla nowych plików tworzonych przez haker zgłoszonego za pomocą narzędzia do usuwania adresów URL w Search Console.
  4. Usuń lukę w zabezpieczeniach – w razie potrzeby popraw kod lub zmień złamane hasła. Mogą w tym pomóc biblioteki do weryfikacji wprowadzanych danych i audyty bezpieczeństwa.
  5. Jeśli witryna ma bazę danych, zacznij czyścić zmienione przez hakera rekordy w Twojej kopii zapasowej. Zanim uznasz, że wszystko jest gotowe, sprawdź jeszcze raz , aby upewnić się, że baza danych wygląda na czystą.
  6. Ponownie zmień hasła do wszystkich kont powiązanych z witryną (na loginy do FTP, bazy danych, administratorów systemu kont systemu zarządzania treścią). W systemie typu Unix użyj tego kodu:
$passwd admin1

W tym momencie kopia zapasowa, która wcześniej była zainfekowana, powinna zawierać oczywiście dane. Zachowaj ją na później i przejdź do punktu 5.

5. Usuń niepotrzebne oprogramowanie

Zastanów się, czy możesz usunąć z serwera oprogramowanie, takie jak widżety, wtyczek ani aplikacji, których witryna już nie używa. Może to zwiększyć i upraszczania obsługi w przyszłości.

6. Oczyść wszystkie serwery

  1. Zainstaluj wszystko od nowa zamiast uaktualniać. Licencje mogą pozostawiać pliki w porównaniu do poprzedniej wersji. Jeśli na serwerze pozostanie zainfekowany plik, może zostać ponownie zaatakowany.
    • Nowa instalacja powinna obejmować system operacyjny, jeśli masz kontrolę nad serwera i wszystkich aplikacji, takich jak pliki system zarządzania, platforma e-commerce, wtyczki i szablony. Upewnij się, aby sprawdzić, czy są dostępne aktualizacje i poprawki zabezpieczeń.
  2. Przenieś dobrą treść z czystej kopii systemu plików kopii zapasowej do nowo zainstalowane serwery Przesyłaj i przywróć tylko znane, czyste konta plików lub bazy danych. Pamiętaj, by ustawić odpowiednie uprawnienia do plików i nie zastępuj nowo zainstalowanych plików systemowych.
  3. Ostatni raz zmień hasła do wszystkich kont powiązanych z (np. loginy do FTP, bazy danych, administratorzy systemu, i konta CMS). W systemie typu Unix użyj tego kodu:
passwd admin1

7. Utwórz długoterminowy plan zarządzania

Zdecydowanie zalecamy wykonanie tych czynności:

  • Rób regularne, automatyczne kopie zapasowe witryny.
  • Pamiętaj o aktualizowaniu oprogramowania.
  • Zapoznaj się z zasadami dotyczącymi bezpieczeństwa wszystkich aplikacji, wtyczek i innych oprogramowania innej firmy. Papier wartościowy lukę w zabezpieczeniach jednej aplikacji może zagrażać bezpieczeństwu całą witrynę.
  • Wymagaj tworzenia silnych haseł.
  • Zabezpiecz wszystkie urządzenia używane do logowania się na komputerze (aktualizacja systemu i przeglądarki).

8. Dokładnie sprawdź, czy wszystkie elementy zostały oczyszczone

Sprawdź, czy możesz odpowiedzieć „tak” na te pytania:

  • Czy jeśli haker uzyskał dostęp do witryny, osobiste informacji?
  • Czy oprogramowanie witryny zostało zaktualizowane do najnowszej i najbezpieczniejszej wersji?
  • Czy wszystkie niepotrzebne lub nieużywane aplikacje i wtyczki, które mogłyby może sprawić, że moja witryna będzie w przyszłości bardziej podatna na ataki?
  • Czy udało mi się przywrócić moje treści i wyeliminować zmiany wprowadzone przez hakera?
  • Czy główna luka w zabezpieczeniach, która pozwoliła hakerom zaatakować witrynę, została usunięta?
  • Czy masz plan zabezpieczenia witryny na przyszłość?

Możesz teraz ponownie udostępnić swoją witrynę online.