Πώς να επαναφέρεις το hacked site σου σε 5 βήματα!

19 Νοεμβρίου 2013, από

Πώς να επαναφέρεις το hacked site σου σε 5 βήματα!

[Updated 24/06/2015]

Ανοίγεις μία μέρα το site σου και αντί του αναμενόμενου περιεχομένου, βλέπεις στον browser μία ενημέρωση που προειδοποιεί τους επισκέπτες ότι η συγκεκριμένη ιστοσελίδα περιέχει βλαβερό περιεχόμενο. Ή μπορεί να δεις το περιεχόμενο της σελίδας σου να έχει απλά αντικατασταθεί με κάποιο μήνυμα, που λίγο πολύ αναφέρει το προφανές “Your site has been hacked!”.

Δυστυχώς, και στις δύο περιπτώσεις αυτό σημαίνει ότι μόλις έγινες και εσύ ένας από τους χιλιάδες ιδιοκτήτες site που αντιμετωπίζουν το συγκεκριμένο πρόβλημα καθημερινά.

Στο παρόν post θα δούμε ποια είναι τα βήματα που μπορείς να ακολουθήσεις αν έρθεις αντιμέτωπος με αυτό το ενδεχόμενο, αλλά και τρόπους για το πώς μπορείς να το αποφύγεις μελλοντικά.

Καταρχήν ας δούμε τι σημαίνει ότι το site μου έχει γίνει hacked.

Σημαίνει ότι το site σου παρουσιάζε κάποιο κενό ασφαλείας, το οποίο επέτρεψε σε ένα τρίτο μη εξουσιοδοτημένο χρήστη να το εκμεταλλευτεί και να αποκτήσει διαχειριστικά δικαιώματα, με αποτέλεσμα να προσθέσει κακόβουλο περιεχόμενο στον κώδικα της σελίδας σου.

Γιατί έγινε hacked;

Συνοπτικά ο τρόπος που συνήθως λειτουργούν οι hackers είναι ο εξής:
αρκετά συχνά οι εταιρίες που παρέχουν web εφαρμογές και plugins, όπως π.χ. WordPress, Joomla! κ.λπ, εκδίδουν ανακοινώσεις για κενά ασφαλείας που παρουσιάζουν οι διαθέσιμες εκδόσεις τους. Παράλληλα, προσφέρουν νέα ενημερωμένα updates και patches, τα οποία μπορούν να επιλύσουν τα συγκεκριμένα κενά.

Μετά από τέτοιου είδους ανακοινώσεις, οι hackers αναζητούν στον παγκόσμιο ιστό ποια sites είναι αυτά που χρησιμοποιούν την έκδοση της εφαρμογής ή του plugin με την ευπάθεια. Αν το δικό σου site είναι ένα από αυτά που θα εντοπίσουν οι hackers, τότε γίνεται κατευθείαν υποψήφιο να υποστεί επίθεση hacking. Σε περίπτωση που ο εισβολέας επιλέξει τελικά το site σου και καταφέρει να έχει πρόσβαση στον κώδικα, συνήθως πραγματοποιεί τις εξής ενέργειες:

  • προσθέτει στον κώδικα του site σου spam links, τα οποία στέλνουν τους επισκέπτες σε κάποιο url που θα έχει ο ίδιος υποδείξει ή
  • εγκαθιστά κάποιο malware (worms, spyware, keyloggers, trojans) στον υπολογιστή σου, το οποίο θα μπορεί να προσβάλει στη συνέχεια τους υπολογιστές των χρηστών, που θα επισκεφθούν το site σου.

Eπειδή στόχος ενός hacker είναι να στείλει όσους περισσότερους επισκέπτες μπορεί σε δικά του spam urls ή να προσβάλλει τους περισσότερους δυνατούς χρήστες, συνήθως επιλέγει σελίδες με αυξημένη επισκεψιμότητα. Αν κρίνει επομένως με βάση την αναζήτηση ότι η σελίδα σου ανήκει σε αυτή την κατηγορία, είναι πολύ πιθανό ότι θα την επιλέξει για να πραγματοποιήσει την επίθεσή του!

Το site μου έγινε hacked. Και τώρα;

Αν τo site σου δέχθηκε τελικά την επίθεση hacker, υπάρχουν 5 βήματα, τα οποία μπορείς να ακολουθήσεις για να επαναφέρεις τη λειτουργία του. Ας τα δούμε λοιπόν:

1. Θέσε το site σου offline
Ενώ υπάρχει η επιλογή να ρυθμίσεις το site σου να εμφανίζει μία σελίδα “υπό συντήρηση” μέχρι να το αποκαταστήσεις, προτείνεται να το θέσεις τελείως εκτός λειτουργίας. Με αυτό τον τρόπο προστατεύεις τους χρήστες που θα εξακολουθούν να το επισκέπτονται, ενώ παράλληλα θα έχεις τη δυνατότητα να ολοκληρώσεις τη διαχείριση, αποκόπτοντας τον hacker από οποιαδήποτε δυνατότητα να παρέμβει. Μην ανησυχείς για τα αποτελέσματα κατάταξης του site στις μηχανές αναζήτησης! Δεν πρόκειται να επηρεαστούν από ένα προσωρινό downtime.

2. Άλλαξε όλους τους κωδικούς πρόσβασης
Θα πρέπει να αλλάξεις τους κωδικούς πρόσβασης του Panel διαχείρισης της φιλοξενίας σου (π.χ. Plesk, cPanel), του FTP, των βάσεων δεδομένων, αλλά και του CMS (WordPress, Joomla!, Drupal κ.λπ.) που ενδεχομένως χρησιμοποιείς. Αν αντιμετωπίζεις πρόβλημα με τις παραπάνω διαδικασίες, επικοινώνησε με τον hoster σου, ώστε να σε βοηθήσει με τις παραπάνω ενέργειες. Επίλεξε passwords με αυξημένη δυσκολία, τα οποία συνδυάζουν πεζούς, κεφαλαίους χαρακτήρες, που εναλλάσσονται με αριθμούς και σύμβολα.

3. Eντόπισε την αιτία που προκάλεσε την επίθεση hack
Ακόμα και αν ο κώδικας απαλλαχθεί από το κακόβουλο περιεχόμενο, αυτό που θα πρέπει να αντιμετωπιστεί από τη ρίζα του, είναι το πρόβλημα που προκάλεσε την επίθεση. Σε διαφορετική περίπτωση, είναι θέμα χρόνου να αντιμετωπίσεις ξανά μία επίθεση hack μελλοντικά. Μερικές από τις βασικές αιτίες hack επιθέσεων είναι οι εξής:

Μη ενημερωμένη έκδοση της εφαρμογής που χρησιμοποιείς. Η χρήση παλιών εκδόσεων αποτελούν μία από τις μεγαλύτερες τρύπες ασφαλείας στο hosting.
Τip: Aν χρησιμοποιείς κάποια web εφαρμογή, π.χ. WordPress, σου προτείνουμε να κάνεις συχνό update στην πιο πρόσφατη διαθέσιμη έκδοση μέσα από το περιβάλλον διαχείρισης της εφαρμογής. Μάλιστα, από την έκδοση 3.7 και μετά, το WordPress διαθέτει αυτόματο μηχανισμό update των εκδόσεων ασφαλείας, χωρίς να χρειάζεται να κάνεις εσείς κάποια ενέργεια. Πριν εφαρμόσεις το update, επιβεβαίωσε ότι έχεις στο site σου μια καθαρή έκδοση, που να μην είναι hacked, όπως περιγράφεται στο βήμα 4. Αν η έκδοση που χρησιμοποιούσες ήταν αρκετά παλιά, προτείνεται να μην ακολουθήσεις τη διαδικασία του update, αλλά να προχωρήσεις σε clean installation της πιο πρόσφατης. Θα είναι πιο γρήγορο και αποτελεσματικό!

Μη ενημερωμένα themes, plugins & widgets που συνοδεύουν την εφαρμογή που χρησιμοποιείς. Οι περισσότερες εφαρμογές συνοδεύονται από προεγκατεστημένα πρόσθετα. Η συνδυαστική τους χρήση με παλιά έκδοση της εφαρμογής, αποτελούν εύφορο έδαφος για ένα hacker, ώστε να προσβάλλει την ιστοσελίδα σου.
Τip: Προχώρησε σε απεγκατάσταση των themes και plugins που δεν είναι σε χρήση και αναβάθμισε στην τελευταία τους έκδοση αυτά που είναι απαραίτητα για τη λειτουργικότητα της εφαρμογής σου. Πριν κάνεις αυτή την ενέργεια, επιβεβαίωσε ότι έχεις στο site σου μία καθαρή έκδοση, που δεν είναι hacked, όπως περιγράφεται στο βήμα 4.

Χρήση 777 δικαιωμάτων σε αρχεία και φακέλους του site σου. Η εφαρμογή δικαιωμάτων με πλήρη δυνατότητα ανάγνωσης, εκτέλεσης και εγγραφής από οποιονδήποτε χρήστη, αποτελεί επίσης ένα από τα μεγαλύτερα κενά ασφαλείας.
Τip: Μπορείς να απευθυνθείς στα security tips που παρέχονται στο επίσημο site της εφαρμογής σου και στη συνέχεια ανάθεσε τα προτεινόμενα δικαιώματα στους δικούς σου φακέλους και αρχεία, ώστε να εξασφαλίσεις τη μέγιστη δυνατή ασφάλεια.

Aδύναμα passwords, τα οποία μπορεί εύκολα να αποκωδικοποιήσει ένας hacker ή passwords που επαναλαμβάνονται στους λογαριασμούς διαχείρισης.
Τip: Χρησιμοποίησε σε όλους τους κωδικούς που σχετίζονται με το hosting σου (control panel, CMS, databases, FTP), εναλλασσόμενα αλφαριθμητικά, με πεζούς και κεφαλαίους χαρακτήρες. Επίσης, μην επαναλαμβάνεις ένα κωδικό σε διαφορετικούς λογαριασμούς. Αυτό απλά διευκολύνει ένα hacker να αποκτήσει πρόσβαση σε όλα τα accounts σου!

Mολυσμένος υπολογιστής, μέσω του οποίου κάνεις τη διαχείριση του hosting σου. Είναι πιθανό να έχει εγκατασταθεί κακόβουλο λογισμικό στον υπολογιστή σου, το οποίο έδωσε τη δυνατότητα σε μη εξουσιοδοτημένους χρήστες να υποκλέψουν τους κωδικούς και τα στοιχεία πρόσβασης του FTP ή του Control Panel διαχείρισης.
Τip: Έλεγχε συχνά με κάποιο πρόγραμμα για malware και ιούς, σε τι κατάσταση βρίσκεται ο υπολογιστής ή η συσκευή μέσω της οποίας συνδέεσαι για να διαχειρίζεσαι τη φιλοξενία σου. Στη συνέχεια προχώρα σε  αφαίρεση trojans, keyloggers, worms και οποιουδήποτε malware εντοπιστεί.

Σπασμένη έκδοση FTP, μέσω της οποίας αποστέλλονται στους hackers οι κωδικοί FTP. Αρκετά συχνά, οι σπασμένες εκδόσεις FTP εφαρμογών περιέχουν κώδικα ο οποίος στέλνει τους κωδικούς πρόσβασης FTP στους hackers.
Τip: Κάνε απεγκατάσταση σε περίπτωση που εντοπιστούν τέτοιες εφαρμογές στον υπολογιστή σου. Αγόρασε μία νόμιμη έκδοση FTP client ή κατέβασε κάποια αξιόπιστη που παρέχεται δωρεάν, όπως το Filezilla.

4. Κάνε επαναφορά των αρχείων στο hosting σου
Αφού έχεις επιβεβαιώσει ποια ήταν η αιτία που προκάλεσε την hack επίθεση, μπορείς να προχωρήσεις στις απαραίτητες διαδικασίες επαναφοράς.

α) Ο πιο εύκολος τρόπος γι’ αυτό, είναι να κάνεις απλά restore του πιο πρόσφατου καθαρού backup που είχες κρατήσει. Στην TopHost υπάρχει μηχανισμός αυτόματου backup, που πραγματοποιεί περιοδικά backups (διαχείριση αντιγράφων μέσω myTophost Backup εργαλείoυ). Τέλος, βεβαιώσου ξανά ότι μετά το restore έχεις εφαρμόσει όλες τις ενέργειες που περιγράφονται στο βήμα 3, όπως π.χ. ότι γίνεται χρήση της τελευταίας έκδοσης των plugins κ.λπ.

β) Υπάρχει η περίπτωση το backup που διαθέτεις, να είναι αρκετά παλιό ή είναι πιθανό να μην έχεις καθόλου αντίγραφο ασφαλείας. Σε αυτή την περίπτωση προτείνεται:

1. να κάνεις export όλα τα δεδομένα από την εφαρμογή web
2. να εγκαταστήσεις από την αρχή την τελευταία έκδοση σε εφαρμογή, plugins και themes,
3. να προχωρήσεις σε επαναφορά των δεδομένων μέσω της διαδικασίας restore.

5. Κάνε το site σου de-list
Κατά τον αρχικό χαρακτηρισμό του site σου ως κακόβουλο, καταχωρείται αυτόματα σε αντίστοιχες λίστες, έτσι ώστε να προστατεύει και να ενημερώνει τους επισκέπτες, όταν προσπαθούν να μεταβούν σε αυτό. Αφού έχεις λοιπόν αποκαταστήσει τη σελίδα σου, είναι απαραίτητο να αποστείλεις αίτημα να γίνει de-list από τις λίστες με κακόβουλα sites μέσω εργαλείων, όπως το Webmasters Tool ή το McAfee SiteAdvisor.

Αυτό ήταν. Είσαι έτοιμος!

Το site μου είναι καθαρό, αλλά πώς μπορώ να αποφύγω να πέσω θύμα hack επίθεσης μελλοντικά;

Ένα hacked site είναι μία πιθανότητα που κανένας ιδιοκτήτης site δε θέλει να αντιμετωπίσει. Κι αυτό, γιατί το ουσιαστικό πρόβλημα είναι ότι μπορεί να προκαλέσει αρνητικό αντίκτυπο στη φήμη της σελίδας ή στην επισκεψιμότητά της, αποτρέποντας τους online χρήστες από το να το επισκεφθούν. Αν συμβεί και σε σένα, υπάρχει λύση. Ο καλύτερος τρόπος προστασίας όμως, είναι η πρόληψη. Πώς μπορείς να προλάβεις ένα τέτοιο ενδεχόμενο:

  • Προτείνεται να ακολουθείς γενικά τα tips που προαναφέρθηκαν στο βήμα 3.
  • Αν έχεις shared hosting, επιβεβαίωσε ότι η εταιρία που σε φιλοξενεί, παρέχει τις πιο πρόσφατες και ενημερωμένες εκδόσεις στις υποδομές της. Ακόμα και αν η εταιρία, όμως, κάνει τις συγκεκριμένες αναβαθμίσεις, είναι υποχρεωτικό να παρακολουθείς τις ανακοινώσεις για τα πιο πρόσφατα versions των εφαρμογών που χρησιμοποιείς στο site σου και να τα εγκαθιστάς.
    Στην TopHost, για να σε διευκολύνουμε στη διαδικασία παρακολούθησης, σου παρέχουμε δωρεάν την υπηρεσία Security Guard Alert System, η οποία πραγματοποιεί περιοδικούς ελέγχους στα sites που φιλοξενείς σε εμάς και σου αποστέλλει αυτοματοποιήμενες ειδοποιήσεις για τα κενά που έχει εντοπίσει και που προτείνεται να διορθώσεις.
  • Να λαμβάνεις συχνά backup του site σου, ώστε να έχεις διαθέσιμα πάντα τα πιο πρόσφατα αντίγραφα ασφαλείας. Σε περίπτωση που φιλοξενείσαι στην TopHost, μπορείς να χρησιμοποιείς το myTophost Backup εργαλείο για τη λήψη τους.
  • Eνεργοποίησε κάποιο firewall για την εφαρμογή σου (π.χ. WordPress firewall) το οποίο θα σου αποστέλλει αυτόματα email ειδοποιήσεις, σε περίπτωση που προσπαθεί κάποιος να εισβάλει στο site σου ή κάποια online υπηρεσία η οποία μπορεί να παρακολουθήσει αν υπήρξε αλλαγή στον κώδικα της σελίδας σου, που δεν προήλθε από δική σου επέμβαση.
  • Ενημερώσου από το σχετικό μας post για την ασφάλεια στο WordPress για τις ενέργειες που πρέπει να ακολουθήσεις ώστε να κρατάς προστατευμένο το site σου!

Φρόντισε από πριν, για να έχεις μελλοντικά!

Σου άρεσε αυτό το blog post;

Τότε σίγουρα θα λατρέψεις τα επόμενα! Συμπλήρωσε το email σου για να μη χάσεις ούτε ένα.;

Κάνε δωρεάν την εγγραφή σου και στο εξής θα λαμβάνεις ενημερώσεις για τα νέα post του Τοp.Host Blog. Οποιαδήποτε στιγμή θελήσεις μπορείς να αφαιρέσεις το email σου από τη λίστα παραληπτών. Μάθε περισσότερα στην Πολιτική Απορρήτου.

Μπες στη συζήτηση

Πες μας τη γνώμη σου!