Computer sites worden elke dag gehackt en de gevolgen van dergelijke acties kunnen worden verwoestende. Verwijderen van grote delen van de sites, virusinfecties en diefstal van gevoelige gegevens daarin gevonden. Maar in veel gevallen de inbraken kan zo subtiel gedaan worden dat zowel de eigenaren en de bezoekers niet kan vinden dat de site is echt gekaapt door criminelen. Deze gids biedt een uitgebreide lijst van aanbevelingen die u zal begeleiden op het herstellen van potentieel getroffen sites en met weglating van alle gevonden malware code in hen.
Hoe te controleren of uw site is gehackt?
Security specialisten merken vaak dat een van de belangrijkste factoren met betrekking tot een succesvolle restauratie tijd - dit vat niet alleen de tijd van de ontdekking van het incident, maar ook hoe snel de sitebeheerders de kwestie kan omgaan.
Er zijn verschillende manieren waarop de site-eigenaren kunnen erachter te komen of hun site is benaderd door een indringer. Normaal gesproken is de stappen zal verschillen afhankelijk van de exacte hosting provider en het bedrag van de toegang tot de servers. De eerste stop zou zijn om de gedetailleerde controleren toegang logbestanden op ongewone activiteit. Beheerders kunnen kruiscontrole geen vreemd gedrag zoals frequent inlogpogingen of herhaalde verzoeken naar een bepaalde pagina of sectie van de pagina te downloaden.
Deze twee activiteiten zijn tekenen van brute-force pogingen dat het gebruik verschillende algoritmes en hacking toolkits om te proberen te loggen als een gebruiker of sitebeheerder. Dit is heel gebruikelijk van de websites hebben een soort van interactieve velden. Ze zullen automatisch worden gericht omdat ze verzoek aan de backend uit te voeren. Aanvallen hebben veel meer kans om te worden uitgevoerd op sites die populair gebruiken content management systemen zoals WordPress, Drupal en Joomla. Ze gebruiken een heleboel rijke inhoud die gemakkelijk kan worden uitgebuit - thema's, plugins en etc.
Aan de andere kant de herhaalde netwerk verzoeken tegen een interactieve pagina of een bepaalde webpagina script object kan resulteren in specifieke kwetsbaarheid exploitatie - tekortkomingen in de wijze waarop de scripts worden verwerkt kan leiden naar de site van problemen die code of fouten kunnen injecteren in de manier waarop de verificatie werkt. Als gevolg van de criminelen in staat in te breken in de systemen zullen worden. Daarnaast kan veiligheidscontroles worden omzeild als ze worden geïsoleerd en denial-of-service worden gedaan tegen hen. In dit geval kan ook de hackers uitschakelen belangrijkste functies in het proces van de kaping van de site.
Laatste Ransomware Infecties & Lopende Website Malware Campagnes
Een zeer gevaarlijke methode voor het verspreiden van ransomware is door de lancering van exploits die leiden tot ransomware infecties aan de werkelijke webservers het voeden van de sites. Hoewel dit als zeer moeilijk en zeldzame gelegenheid wordt gezien enkele van de nieuwste ransomware infecties zeer effectief in dit verband kan worden. De typische aanpak gemaakt door de meeste van hen zullen de volgende:
- Network Lookup - De eerste stap zou zijn om uit te vinden wat de gastheer achter de gehoste sites die de criminelen willen neer te halen en / of infecteren met ransomware. Dit wordt gedaan door het uitvoeren van een aantal handmatige controles en kruisverwijzingen de resultaten. In dit stadium zal de hackers opsommen wat voor soort services worden uitgevoerd op een bepaalde host en maak een lijst van mogelijke zwakke punten die het kan richten.
- Attack Voorbereiding - Dit is de meest complexe fase waarin de hackers zullen nodig hebben om hun toolkits programma met de nodige code. Aanvullend onderzoek en informatie kan worden verzameld uit eerdere aanvallen of ervaring gedeeld op de ondergrondse fora.
- Intrusion and Infection Pogingen - De laatste stap is de infectie uit te voeren en uit te vinden in hoeverre schade is aangericht. Meestal wordt dit gedaan met afstandsbedieningsfunctionaliteit waarmee de hackers ransomware Trojaanse paarden en neerzetten.
De reden waarom dit zo is gebeurd is, want als de server het voeden van de websites wordt beïnvloed zal hackers om mogelijkheid om niet alleen hacken alle websites gelost om hen te geven, maar ook om beperkte middelen. Dit betekent dat de hackers in staat zal zijn om chantage zowel de website-beheerders, evenals de hosting provider.
Wat zijn veelvoorkomende symptomen dat uw site is gehackt
Er zijn bepaalde bekende symptomen die al getroffen sites kunnen vertonen. Als een van hen zijn gevlekte dan de beheerders moet een grondige check controle uit te voeren voor alle kwaadaardige activiteiten. De meerderheid van de infecties kunnen gemakkelijk worden gezien door te kijken naar de gehoste inhoud - het grootste deel van de malware automatisch invoegen gevaarlijke code in de getoonde tekst en multimedia bestanden met als doel het infecteren van bezoekers met verschillende soorten virussen.
Wijzigingen in de inhoud van de website kunnen bestaan uit één van de volgende:
- Nieuwe Content Insertion - Een van de meest gemaakte veranderingen zijn die aan de reeds geplaatste inhoud van de tekst. De hackers zal instellen omleidingscode naar een andere hacker gecontroleerde site of direct te plaatsen malware virus bestanden in plaats van download links of legitieme software.
- Nieuwe elementen Introductie - De kwaadaardige acties ingesteld door de hackers kan de toevoeging van nieuwe kwaadaardige elementen - banners, pop-ups en zelfs advertenties. Ze kunnen opdringerig en hardnekkig zijn en alleen dienen niet om de gebruikers te infecteren, maar ook om inkomsten voor de hackers te genereren door het verstrekken gesponsord en affiliate inhoud.
- inhoud Sabotage - De vaak gebruikte techniek die bekend staat als defacement dient om de gehoste sites saboteren. Het zal de inhoud te verwijderen (geheel of gedeeltelijk) of vervang ze met waarschuwing pagina's en kredieten aan het hacken team.
- cryptogeld Mijnwerkers - Dit is een populaire tactiek van late waarin de gecompromitteerde sites zullen worden geïnjecteerd met gevaarlijke cryptogeld mijnwerker scripts. Dit zijn kleine monsters die bij het openen door het slachtoffer browsers zal een opeenvolging van hardware intensieve taken die een zware tol zal leggen op de prestaties van de computers te downloaden. Dit omvat de CPU, geheugen, schijfruimte en snelheid van het netwerk. Deze taken zullen worden uitgevoerd in successie en voor elke voltooide taak zal de hackers worden beloond met cryptogeld die direct zullen worden gestort op hun digitale portemonnee.
Malware-activiteit is ook een gevaarlijke invloed op de positie in de zoekresultaten van high-traffic sites. Deze kunnen opzettelijk zijn, er zijn diverse gevallen waar concurrenten worden verondersteld hackers te hebben betaald om “derank” andere sites. De eenvoudigste manier om een malware-infectie plek op high-traffic sites is wanneer een een onverwachte daling in het verkeer wordt gedetecteerd. De analytics en SEO tools zullen aantonen dat de ongewone activiteit is het gevolg van wijzigingen in de inhoud. Door het evalueren van de code van de pagina's fragmenten van malware kunnen worden gevonden. Er zijn verschillende plaatsen waar potentiële infecties kunnen worden ondergebracht:
- website Pages - Dit zijn veruit de meest populaire en gemakkelijkste om delen van het slachtoffer plaatsen waar gevaarlijke code kan worden opgenomen ter plaatse.
- databases - Vele aanvallen worden gedaan met behulp van de zogenaamde SQL injectie Werkwijze infectie. Dit wordt gedaan door zich te richten oudere installaties die ongepatchte zijn om kwetsbaarheden die het mogelijk maken dat dit gebeurt. De database malware kan moeilijker te traceren en het kan een verwoestende impact hebben op interactieve sites als ze afhankelijk zijn gewoon uitgevoerd.
- bestanden uploaden - De hackers kunnen ook vervangen, toevoegen of verwijderen van bestaande bestanden geüpload naar de sites. Ze kunnen allerlei soorten malware, waaronder Trojaanse paarden hosten, ransomware, browser hijackers, mijnwerkers en etc.
Hier is wat te doen als je merkt dat malware op uw site
Als u in staat om een malware-infectie met behulp van handmatige methoden te ontdekken zijn geweest, een automatisch gereedschap of een monitorsysteem (zoals een inbraakdetectiesysteem) een van de eerste dingen die je moet wil doen niet in paniek te raken. Zolang je kunnen identificeren welke gebieden de malware code hebt dan kun je beginnen om u te herstellen plaats van de infectie. In tegenstelling tot traditionele virussen de website infecties worden behandeld op een andere manier - ze vereisen een zeer grondige controle die ervoor zorgt dat alle gevaarlijke code wordt verwijderd. Meestal als een virus dreiging van het ene deel van de site wordt verwijderd, kan worden gekoppeld in een ander.
Als de gebruiker werkt met een Contentmanagement systeem dan zullen ze nodig hebben om alle geïnstalleerde toevoegingen evalueren om de basismotor - plugins, thema's, aangepaste code en etc. In veel gevallen zal de gebruiker extra opruimingen hoeft toe te passen, updates en hotfixes. Merk op dat CMS installatie vaak het doelwit zijn van zero-day kwetsbaarheden, in deze gevallen zijn er maar weinig mechanismen die voldoende bescherming kan bieden
De beste verdediging is om onderzoek van de infectie met het oog op de omvang van de inbraak te ontdekken. Als de site-eigenaren elke kunt zien identificatiestrings dat informatie over het hacken groep of de huidige aanval campagne kan onthullen. Dit kan in de vorm van tekstbestanden die worden achtergelaten op de servers hosten van de site, op specifieke tekst of gepost afbeeldingen.
U kunt altijd een beroep doen op regelmatig back-ups die automatisch worden gemaakt voor de site-eigenaren. Neem contact op met uw hosting provider om de frequentie van de kopieën te zien. Door het maken van vergelijkingen tussen de beelden (de zogenoemde diff werkwijze) De beheerder kan zien op welk punt de infectie heeft plaatsgevonden. Dit kan dienen als een pointer geven van informatie over hoe precies de informatie die werd gemaakt.
Zodra de malware code wordt geïsoleerd de beheerder zal moeten verander alle accountgegevens volgens de regels voor sterke wachtwoorden. Veel security experts adviseren eigenaren van high-traffic en dynamische websites te creëren een aparte database back-up Naast de belangrijkste.
Zorg ervoor dat ook de herziening van de volgende bestanden:
- Bestanden in de “public_html folder”
- wp-config.php (Main WordPress configuratiebestand)
- Elke Verdachte Linked Files
- Thema Resources en Plugins
Een van de beste advies dat vaak wordt gegeven aan de getroffen site-eigenaren is om kennis van de gastheer. Zij kunnen op maat security oplossingen die kunnen helpen bij het herstel van de site in een snellere manier. Ook als de site op een gedeelde server wordt gehost de melding kan helpen bij het voorkomen van infecties naar andere websites.