siti informatici vengono violati ogni giorno e le conseguenze di tali azioni possono essere devastanti. Dalla rimozione di intere sezioni dei siti, alle infezioni da virus e il furto di dati sensibili trovato in esso. Tuttavia, in molti casi, le intrusioni potrebbero essere fatte in modo sottile che sia i proprietari ed i visitatori possono non sapere che il sito è veramente stato dirottato da criminali. Questa guida offre una ricca lista dei migliori raccomandazioni che vi guiderà sul ripristino dei siti potenzialmente interessati e l'eliminazione di qualsiasi trovato codice malware in loro.
Come controllare se il vostro sito è stato violato?
specialisti della sicurezza di notare spesso che uno dei fattori più importanti per quanto riguarda un restauro di successo è tempo - Questo riassume non solo il tempo della scoperta dell'incidente, ma anche quanto velocemente gli amministratori del sito in grado di gestire il problema.
Ci sono diversi modi che i proprietari del sito possono scoprire se il loro sito è stata letta da un intruso. Normalmente i passi saranno differenti a seconda del provider di hosting esatto e la quantità di accesso ai server. La prima fermata sarebbe controlla la dettagliata file di log di accesso per qualsiasi attività insolite. Gli amministratori possono controllo incrociato qualsiasi comportamento strano come frequenti tentativi di accesso o ripetute richieste per scaricare una certa pagina o sezione della pagina.
Queste due attività sono segni di brute-force tentativi che utilizzano algoritmi e toolkit di hacking diverso al fine di tentare di autenticarsi come utente o l'amministratore del sito. Questo è molto comune dei siti web hanno una sorta di campi interattivi. Saranno presi di mira automaticamente mentre eseguono richiesta al backend. Gli attacchi sono molto più probabilità di essere condotto su siti che utilizzano popolare sistemi di content management come WordPress, Drupal e Joomla. Essi utilizzano un sacco di contenuti ricchi che possono essere facilmente sfruttata - temi, plugins ed ecc.
D'altra parte le richieste di rete ripetute contro una pagina interattiva o di un certo oggetto di script web può risultare in particolare sfruttamento vulnerabilità - carenze nel modo in cui gli script vengono elaborati possono portare a problemi del sito che può iniettare codice o errori nelle opere di autenticazione modo. Di conseguenza i criminali saranno in grado di penetrare i sistemi. Inoltre i controlli di sicurezza possono essere escluse se sono isolati e denial-of-service attacchi sono fatti contro di loro. In questo caso gli hacker inoltre funzionalità chiave disabilitazione nel processo di dirottare sito.
Ultimi ransomware Infezioni & In corso del sito web Malware Campagne
Un metodo molto pericoloso di diffusione ransomware è da exploit lancio portano a infezioni ransomware ai server web reali che alimentano i siti. Anche se questo è considerato molto difficile e rara occasione alcune delle più recenti infezioni ransomware può essere molto efficace in questo senso. L'approccio tipico realizzati dalla maggioranza di essi sarà il seguente:
- Lookup Network - Il primo passo sarebbe quello di scoprire quale è l'ospite dietro i siti ospitati che i criminali vogliono abbattere e / o infettare con ransomware. Questo viene fatto eseguendo numerosi controlli manuali ei controlli incrociati i risultati. In questa fase gli hacker potranno elencare che tipo di servizi sono in esecuzione su una macchina e fare un elenco di possibili punti deboli che si può avere come bersaglio.
- attacco Preparazione - Questa è la fase più complessa in cui gli hacker avranno bisogno per programmare i loro toolkit con il codice necessario. Ulteriori ricerche e le informazioni possono essere raccolte da attacchi precedenti o esperienze condivise sul forum sotterranee.
- Intrusione e l'infezione Tentativi - Il passo finale è quello di effettuare l'infezione e scoprire in quale misura il danno è stato fatto. Nella maggior parte dei casi questo viene fatto con funzionalità di controllo remoto che permetterà agli hacker di cadere ransomware e troiani.
Il motivo per cui questo è fatto in modo è perché se il server di alimentazione dei siti web è influenzato darà hacker per capacità di incidere non solo tutti i siti web scaricata su di loro, ma anche per le risorse limitate. Ciò significa che gli hacker saranno in grado di ricatto sia gli amministratori del sito, così come il fornitore di hosting.
Quali sono i sintomi più comuni che il sito è stato violato
Ci sono alcuni sintomi ben noto che i siti già colpiti possono presentare. Se qualcuno di loro sono puntati poi gli amministratori devono eseguire un controllo verifica approfondita per qualsiasi attività dannosa. La maggior parte delle infezioni può essere facilmente individuato guardando i contenuti ospitati - la maggior parte del malware inserirà automaticamente il codice pericoloso nei file di testo e multimediali mostrate con l'obiettivo di infettare i visitatori con diversi tipi di virus.
Le modifiche ai contenuti del sito possono includere qualsiasi dei seguenti:
- Nuovo inserimento contenuti - Uno dei cambiamenti più frequenti fatti sono quelli per il contenuto del testo già poste. Gli hacker istituirà reindirizzare il codice a un altro sito di hacker controllato o sarà direttamente posizionare file di virus di malware al posto dei link di download o software legittimo.
- Nuovi elementi Introduzione - Le azioni dannose istituiti dagli hacker possono includere l'aggiunta di nuovi elementi dannosi - Banner, pop-up e gli annunci anche. Essi possono essere invadenti e persistente e non servono solo per infettare gli utenti, ma anche di generare entrate per gli hacker, fornendo promosso e contenuti di affiliazione.
- contenuto Sabotage - La tecnica usata spesso nota come defacement serve a sabotare i siti ospitati. Sarà rimuovere contenuti (parzialmente o completamente) o sostituirli con avvertimento pagine e crediti al team di hacking.
- Minatori criptovaluta - Questa è una tattica popolare negli ultimi tempi in cui i siti compromessi saranno iniettati con gli script minatore criptovaluta pericoloso. Si tratta di campioni di piccole dimensioni che, quando aperto dai browser vittima scaricherà una sequenza di attività ad alta intensità di hardware che metterà un pesante pedaggio sulle prestazioni dei computer. Questo include la CPU, memoria, spazio su disco e velocità di rete. Questi compiti vengono eseguiti in successione e per ogni attività completata gli hacker saranno ricompensati con criptovaluta che verrà collegato direttamente ai loro portafogli digitali.
l'attività malware ha anche un impatto pericoloso sulla ricerca classifica di siti ad alto traffico. Questo può essere deliberata, ci sono diversi casi in cui sono ritenuti concorrenti di aver pagato gli hacker al fine di “derank” altri siti. Il modo più semplice per individuare un infezione da malware su siti ad alto traffico è quando un viene rilevato un calo inatteso nel traffico. Le analisi e strumenti SEO dimostreranno che l'attività insolita è dovuta a cambiamenti di contenuto. Valutando il codice delle pagine frammenti di malware possono essere trovate. Ci sono molti posti in cui le infezioni potenziali possono essere alloggiati:
- pagine del sito - Questi sono di gran lunga il più popolare e più facile da individuare le sezioni dei siti vittima in cui il codice pericoloso può essere incluso.
- Banche dati - Molti attacchi sono fatte usando il cosiddetto SQL Injection Metodo di infezione. Questo viene fatto prendendo di mira le installazioni più vecchie che sono privo di patch per le vulnerabilità che permettono che questo accada. Il malware database può essere più difficile da rintracciare e può avere un impatto devastante su siti interattivi in quanto dipendono da esso per funzionare normalmente.
- File Caricati - Gli hacker possono anche sostituire, aggiungere o rimuovere i file esistenti caricati sui siti. Possono ospitare tutti i tipi di malware, tra cui trojan, ransomware, browser hijacker, minatori e ecc.
Ecco cosa fare se si scopre malware sul tuo sito
Se siete stati in grado di scoprire un'infezione da malware utilizzando metodi manuali, uno strumento automatico o di un sistema di monitoraggio (come ad esempio un sistema di rilevamento intrusione) una delle prime cose che dovete fare è Non farsi prendere dal panico. Finché è possibile identificare quali aree hanno il codice malware allora si può iniziare a recuperare il tuo sito dalla infezione. A differenza dei virus tradizionali delle infezioni del sito web sono gestite in modo diverso - essi richiedono un controllo molto accurato che assicura che tutto il codice pericoloso viene rimosso. Di solito se una minaccia virus viene rimosso da una sezione del sito che può essere collegato in un altro.
Se gli utenti sono in esecuzione di un sistema di gestione dei contenuti allora avranno bisogno di valutare tutte le aggiunte installati per il motore di base - i plugin, temi, codice personalizzato ed ecc. In molti casi gli utenti sono tenuti ad applicare pulizie aggiuntive, aggiornamenti e aggiornamenti rapidi. Si noti che l'installazione del CMS sono spesso bersaglio di vulnerabilità zero-day, in questi casi ci sono pochi meccanismi in grado di fornire una protezione adeguata
La miglior difesa è quella di ricerca l'infezione al fine di scoprire la grandezza della intrusione. Se i proprietari del sito possono scoprire qualsiasi stringhe di identificazione che può rivelare informazioni sul gruppo hacking o la campagna attacco corrente. Questo può essere sotto forma di file di testo che vengono lasciati sui server che ospita il sito, stringhe di testo specifici o immagini pubblicate.
Si può sempre contare su backup regolari che vengono creati automaticamente per i proprietari del sito. Verificare con il proprio provider di hosting per vedere la frequenza delle copie. Facendo il confronto tra le immagini (il cosidetto metodo diff) gli amministratori possono vedere il punto in cui l'infezione è stata fatta. Questo può servire come un puntatore che dà informazioni su come esattamente è stato fatto delle informazioni.
Non appena il codice malware è isolato l'amministratore dovrà modificare tutte le credenziali di account seguendo le regole per le password forti. Molti esperti di sicurezza consigliano anche proprietari di alto traffico e siti dinamici per creare un backup del database separata in aggiunta a quello principale.
Assicurati di rivedere anche i seguenti file:
- I file nella cartella “public_html”
- wp-config.php (file di configurazione principale di WordPress)
- Qualsiasi file sospetti Linked
- Risorse Tema e Plugin
Uno dei migliori consigli che viene spesso dato ai proprietari dei siti colpiti è quello di informare l'host. Essi possono avere soluzioni di sicurezza personalizzato che può aiutare a ripristinare il sito in modo più veloce. Anche se il sito è ospitato su un server condiviso la notifica può aiutare a prevenire le infezioni ad altri siti web.