GSWtech BLOG

Moja strona jest zawirusowana / zhakowana - co robić?

Paweł Gawkowski

Co pewien czas dostajemy zapytanie o usługę przywrócenia strony internetowej po ataku hakera lub usunięcie wirusa ze strony. Co należy zrobić w takim przypadku?

Czy macie Państwo kopie zapasowe?

To pierwsze pytanie, które zadajemy w takim przypadku. Niestety zazwyczaj klienci odpowiadają na nie "Nie, nie mam kopii" albo "Oczywiście, ale jest trochę stara". Oczywiście nie wszystkie firmy w swoich produktach umożliwiają tworzenie takich kopii bezpieczeństwa i zarazem nie przechowują też kopii projektów w swoich archiwach (nasze systemy wyposażamy w system kopii zapasowych, jak również przechowujemy wszystkie projekty w naszych archiwach bezterminowo).

Gdy mamy kopię zapasową wszystko powinno pójść gładko, czasem nawet stara kopia zapasowa jest już jakąś podstawą do uzyskania szybkich efektów.

Kopii zapasowych brak - co wtedy?

I tu zaczynają się prawdziwe schody. Bez kopii pozostaje nam tylko i wyłącznie szukanie złośliwych skryptów i próby odbudowywania strony. Jeśli strona jest oparta o ogólnie dostępny OpenSource wtedy możemy próbować nadpisać pliki plikami z takiego systemu. Gdy strona jest całkowicie dedykowana, niestety bez pomocy jej twórcy raczej niewiele możemy zrobić.

Jakie kroki powinno się podjąć?

Najważniejsze jest, aby stronę skopiować i pracować na jej kopii - wtedy mamy pewność, że kasując lub zmieniając jakiś plik zawsze mamy możliwość powrotu do oryginału.

Po zrobieniu lokalnej kopii należy przeskanować pliki przy pomocy programu antywirusowego - polecamy ClamAV ze względu na fakt, że poszukuje on charakterystycznych plików źródłowych m.in. napisanych w PHP lub modyfikowanych plików obrazów, które również mogą zawierać złośliwy kod wykonywalny.

Jeżeli takie pliki zostały odnalezione - zazwyczaj wymagane jest ich skasowanie, gdyż atak przeprowadzany jest zazwyczaj według charakterystycznego scenariusza:


  1. osoba atakująca wgrywa swoje oprogramowanie poprzez formularza lub inną lukę bezpieczeństwa
  2. oprogramowanie następnie modyfikuje główne pliki takie jak pliki index.php oraz .htaccess
  3. oprogramowanie ściąga kolejne złośliwe kody

Pliki index.php oraz .htaccess są zazwyczaj stosunkowo łatwe do przywrócenia - pozostałe to w większości przypadków pliki, których wcześniej nie było.

Kolejnym krokiem jest sprawdzenie czasu modyfikacji plików i przyjrzenie się plikom, które były modyfikowane po ostatnich znanych zmianach - zazwyczaj są one wysoce podejrzane.

Następnie przeszukujemy pliki w poszukiwaniu wywołań komend (w przypadku zarażenia z wykorzystaniem języka PHP, których jest najwięcej): eval, exec, base64_encode - są to najczęściej stosowane komendy w plikach stanowiących zagrożenie.

Jeżeli wszystkie pliki zostały już naprawione lub usunięte, a strona działa prawidłowo należy zająć się jej zabezpieczeniem - aktualizacja, jeśli jest to możliwe, a jeśli nie, to należy poszukać luki bezpieczeństwa. Jest to bardzo ważne, ponieważ nie chcemy robić ponownego czyszczenia następnego dnia lub nawet za 10 minut.

Strona wyczyszczona, luka znaleziona i usunięta, ale strony w rankingu Google dalej nie ma.

Atak na stronę może mieć bardzo duży wpływ na wyświetlanie strony w rankingu Google. Google często usuwa zarażone strony z wyników wyszukiwania, lub przesuwa je na dalsze pozycje i jest to naszym zdaniem naturalne i "zdrowe". Nie chcemy przecież, wchodzić na takie strony.

Po wyczyszczeniu strony i jej odpowiednim zabezpieczeniu, należy wejść do Narzędzi dla Webmasterów Google, usunąć mapę strony (jeśli taka została wgrana) i dodać nową mapę. Jeżeli mapy nie ma, warto usunąć i dodać stronę ponownie.

Następnie należy przejść w panelu witryny do "Indeksowanie", a następnie do "Pobierz jako Google". Tam klikamy "Pobierz" - najlepiej bez wpisywania adresu, wtedy pobierzemy stronę główną. Po pobraniu strony klikamy na "Prześlij do indeksu". To poinformuje Google, że na stronie zaszły zmiany, a jeśli Google nie znajdzie już złośliwego oprogramowania ranking powinien się poprawić lub zostać przywrócony.

To dużo pracy i nie wiem czy sobie dam z tym radę...

Tak, to faktycznie dużo pracy. Dlatego możesz zlecić to zadanie nam - specjalistom, a może przy okazji zaktualizujemy stronę i wprowadzimy do niej nieco świeżości? Ty zdecydujesz :)

GSWtechul. Szybowcowa 51, Szczecin woj. zachodniopomorskie+48 505 84 84 56