Koduleht häkitud! Mis saab edasi?

 

1.

Kuidas ära tunda lahti häkitud kodulehte?

 

  • Teie kodulehe sisu on täielikult asendatud propaganda või reklaamiga
  • Koduleht suunab külastajad edasi Teiega mitte seotud lehtedele
  • Kodulehele ilmuvad lingid ja reklaamid, mida Teie ei ole sinna pannud. (v.a. kommentaarid)
  • Google Chrome või teised veebilehitsejad näitavad Teie kodulehe asemel hoiatust
  • Teie kodulehe juures Google otsingus kuvatakse hoiatus, et leht võib olla häkitud
  • Olete saanud kirja meilt või cert.ee meeskonnalt, et teie koduleht on häkitud

 

2.

Miks ja kuidas koduleht lahti häkiti? 

Enamus häkkerite sellistest rünnakutest ei ole suunatud mingi konkreetse isiku või organisatsiooni vastu. Häkkerid kasutavad spetsiaalseid roboteid, mis sarnaselt Google otsimootorile, kammivad Internetti läbi otsides vananenud sisuhaldustarkvaraga kodulehti.

Sisuhaldussüsteemidest nagu Wordpress, Joomla, Magento jms leitakse pidevalt turvaauke millele samas tulevad ka pidevad uuendused ja vigade parandused. Need ei jõua automaatselt kodulehtedele. Paranduste jõustumiseks tuleb kodulehte ise regulaarselt uuendada. Kui Teie koduleht on leitav Googles, leiavad varem või hiljem selle üles ka häkkerid. Kui uuendused jäävad tegemata, on vaid aja küsimus, millal see lahti murtakse.

Sissemurdmise põhjuseks võib olla nõrk paroolipoliitika, näiteks on lekkinud veebi haldamise salasõnad.

Miks üldse kodulehti lahti murtakse? Häkkerite motivatsioonid võivad olla erinevad. Lahti murtud koduleht pannakse tavapäraselt laiali saatma rämpsposti. Neid võib ära kasutada Teiste kodulehtede ja serverite ründamisel (botnet) ja paroolide õngitsusel (Phishing) pankadest ja finantsasutustest. Tihtipeale häkkerid näotustavad kodulehti, pannes sinna ülesse erinevat propagandat nagu näiteks teeb Islamiriigi küberkalifaat.

 

3.

Kuidas edasi toimida?

 

  • Kui WaveCom ei ole juba piiranud ligipääsu kodulehele, tuleks seda kahjude minimaliseerimiseks koheselt teha.
  • Vahetada tuleb kõik majutusteenusega seotud paroolid (cPanel, maili, FTP ja webdiski kontod)
  • Puhastada koduleht häkkerite koodist
  • Veendu, et häkker ei ole jätnud majutuskontole endast jälge. Kontrolli, et majutuskontol ei oleks üleliigseid cron job’e, cgi skripte, alamdomeene või FTP/Webdisk kasutajaid
  • Asendada häkitud koduleht uuega
  • Muuta igaks juhuks uuesti kõik paroolid

 

4.

Kodulehe ajutiseks sulgemiseks cPanel'i "File Manager'iga" vajutage nupule "Permissions"


Avanenud aknas eemaldage kõik linnukesed. Alumisele "Permission" reale peavad jääma numbrid 0 0 0.


Pärast muudatuste sisseviimist Teie kodulehele internetis enam ligi ei pääse. Samuti ei saa häkkerid seda enam kasutada oma kuritegude sooritamiseks.

 

5.

Kui saite häkkimisele koheselt jälile, saate taastada häkkimata kodulehe meie varukoopiatelt. (Säilitame viimase kümne päeva varukoopiad) Juhend varukoopiate kohta asub siin.

Pärast varukoopialt taastamist peate koheselt uuendama sisuhaldussüsteemi ja selle pluginad. Nii eemaldate turvaaugu, mille kaudu häkker sisse pääses. Vastasel juhul häkitakse Teie leht kohe uuesti lahti.

 

6.1

Meie soovitame võimaluse korral alati luua uus koduleht. Vana lehe puhastamine on pahatihti vägagi keeruline tegevus. Oleneb täiesti häkkeri oskustest kui palju erinevaid tagauksi ta Teie lehele ära on peitnud. Võib kulutada päevi proovides leida üles kõik tagauksed, aga piisab vaid ühest kahe silma vahele jäänud koodijupist, et häkker saaks jälle kodulehe üle kontrolli tagasi.

Seega on enamus juhtudel oluliselt lihtsam alustada puhtalt lehelt. Kasutusele tuleks võtta sisuhaldussüsteemi ja selle plugin’ate kõige uuemad versioonid. Samas võib aga kasutada täpselt sama välimust ja struktuuri. Lahti häkitud kodulehelt on samuti võimalik eksportida/importida kogu sisu ja pildid.

 

6.2.

Sisu ja pilte importides tuleb need kõik kindlasti enne ükshaaval üle vaadata. Kahtlase sisuga pildid, mida Teie ei ole lisanud tuleb koheselt kustutada. Samuti tuleb kõik võõras kustutada postitustest. Otsida tasuks selliseid sõnu nagu iframes, noscript ja display:none. Sellise sisu otsing on võimalik ka MySQL päringuga automatiseerida.

 

6.3

Kindlasti tuleb ka veenduda, et internetist laetud disain/template ei sisaldaks juba häkkerite koodi. Väga levinud meetodina kodulehtede nakatamiseks pannakse tasuta alla laadimiseks muidu tasulised disainid. Neid on aga salaja „täiendatud“ häkkerite koodiga, mis laseb nad kohe Teie kodulehele ligi.

Lisame siia ingliskeelse teksti, mis räägib just sellest kuidas selliseid nakatanud disaine vältida:
http://www.wpstuffs.com/detect-malicious-code-wordpress-themes-plugins/

 

7.

Toome siin ära ingliskeelsed juhendid enamlevinud sisuhaldussüsteemide puhastamise kohta.
 

Wordpress: https://codex.wordpress.org/FAQ_My_site_was_hacked
Joomla: https://docs.joomla.org/Security_Checklist/You_have_been_hacked_or_defaced
Drupal: https://www.drupal.org/node/2365547