V poslední době jsme zaznamenali zvýšený počet útoků na webové stránky, které byly bohužel mnohdy úspěšné. Útoky spočívají v napadení webových stránek škodlivým kódem, který skrze ně potom útočí mimo náš server. To poškozuje nás i naše klienty a jsme nuceni jednat.
Jelikož tyto útoky se zabezpečním našich serverů, nebo s naším nastavením, nijak nesouvisí, nemůžeme páchání škod nijak zabránit. Ve většině případů vás na problém upozorníme, ale v extrémních případech musíme napadený web i odstavit.
Příčina napadení
Jednou z nejčastějších příčin úspěšnosti útoku je zastaralost redakčních systémů. Vždy si vaše CMS udržujte aktuální. Staré verze mohou obsahovat různé bezpečnostní chyby, které nové verze opravují. Některé CMS (např. WordPress) umožňují aktualizaci na novější verzi přímo z uživatelského rozhraní jedním kliknutím. Využijte toho a aktualizujte.
Škodlivý kód se k vám může dostat i přes FTP klienta, například velmi rozšířený Total Commander. Návod, jak se proti takovému viru bránit, najdete zde.
Řešení
- Ujistěte se, že počítač, ze kterého přistupujete na FTP, není sám infikovaný (použijte antiviru a antispyware)
- Projděte FTP a kód webu a eliminujte škodlivé kódy a soubory, které tam dříve nebyly a nemají tam co dělat. Vodítkem mohou být data poslední změny souborů, podezřelé názvy souborů, dlouhé řetězce zdánlivě nesmyslných posloupností znaků v kódu apod. Škodlivý kód často začíná takto:
(base64_decode('aWYoZnVuY3Rpb25fZXhpc3R...
- Aktualizujte CMS – Joomla, WordPress…
- Aktualizujte všechny pluginy redakčního systému
Pro jistotu změňte heslo k FTP a nikam ho neukládejte. Pamatujte si ho. Umožňuje-li to váš FTP klient, použijte hlavní (master) heslo.
Prevence
- používejte dlouhá a nepředvídatelná hesla, nikam je neukládejte, nikomu je neříkejte, používejte ideálně pro každou službu jiné heslo
- neustále udržujte všechny CMS aktuální
- jednou za čas dělejte zálohu webu
- poznejte svůj web – měli byste vědět, co do kódu patří a co tam naopak nemá co dělat
Pár útoků jsem zaznamenal i u jiných hostingů takže asi někdo opravdu nemá, co dělat :). Pokud to tedy není nějaký robot, což by se u využívání chyb v CMS dalo čekat.
Doporučit také zablokovat přístup do CMS (povolit jen svou IP) či třeba zamknout FTP, když ho člověk nepotřebuje. Pochybuji, že by se pak s takovým webem někdo dělal a snažil se do něj dostat.