Rosszindulatú programmal való fertőzés típusa: SQL-beékelés

Mit jelent az, ha a Google Search Console-on az oldalak „SQL-beékelés” típusú rosszindulatú programmal fertőzöttként vannak megjelölve?

Az SQL-beékelés típusú fertőzés esetében a webhely adatbázisát valószínűleg feltörték. Előfordulhat például, hogy a hacker programozottan rosszindulatú kódot illesztett az adatbázistábla valamennyi rekordjába. Később, amikor a szerver olyan oldalt tölt be, amelyhez az adatbázisból kell adat, a rosszindulatú kód beágyazódik az oldal tartalmába, és kárt okozhat a webhely látogatóinak.

A rosszindulatú programokkal kapcsolatos további általános információt a Mérje fel a kárt (rosszindulatú programmal feltört oldal) részben talál.

Hogyan vizsgálhatom meg, hogy „SQL-beékelés” típusú rosszindulatú programmal való fertőzésről van-e szó?

Először is, semmiképpen ne böngészőt használjon a webhelyén lévő fertőzött oldalak megtekintéséhez. Mivel a rosszindulatú program gyakran a böngésző sebezhetőségeit kihasználva terjed, ha rosszindulatú programmal fertőzött oldalt nyit meg a böngészőjében, azzal károsíthatja számítógépét.

Az esetleges átirányításról például úgy győződhet meg, hogy a cURL vagy a Wget használatával HTTP-kéréseket hajt végre (például egy oldal lekéréséhez). Ezek az ingyenes eszközök az átirányítások diagnosztizálásában segítenek, és elég rugalmasak ahhoz, hogy tartalmazzák a hivatkozói vagy user-agent információkat. Azzal, hogy a rosszindulatú tartalmat csak adott user-agentekkel vagy hivatkozókkal rendelkező felhasználóknak jeleníti meg, a hacker több „valódi embert” tud megcélozni, és eredményesebben tudja elkerülni azt, hogy a webhelytulajdonosok vagy a rosszindulatú programokat kereső szoftverek felfedezzék őket. (Webhelyének online állapotban kell lennie az eszközök használatához.)

Például:
$curl -v --referer <hivatkozó mező> --user-agent "Mozilla/5.0 (
  Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <az Ön URL-je>
így például:
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

A Wget vagy a cURL kimenetében keressen rá az „iframe” vagy az „eval” szóra, amelyeket a kiberbűnöző helyezhetett el.

Következő lépésként jelentkezzen be adatbázisszerverére, vagy tekintse meg adatbázisát valamilyen eszköz, így például a phpMyAdmin segítségével. Ha a Wget vagy a cURL eszközt használta, próbálja meg a velük az oldal forráskódjában talált sérülést a tényleges adatbázis-bejegyzésekkel egyeztetni try to correlate the damage found in the page's source code through Wget or cURL with the actual database entries. Ha például azt vette észre, hogy oldalai egy veszélyes iframe-ben szerepelnek, akkor a kódban lévő iframe-t kereső SQL-lekérdezést hajthat. Például:

SELECT * FROM blog_posts WHERE post_text LIKE '%>iframe%'; 

Célszerű ellenőriznie a szerverén lévő adatbázisnaplót és a hibafájlokat is, hogy szerepel-e bennük szokatlan tevékenység, például olyan váratlan SQL-parancsok, amelyek abnormálisnak tűnnek a normál felhasználókhoz vagy hibákhoz mérten.

Hogyan tisztíthatom meg webhelyemet az „SQL-beékelés” típusú rosszindulatú programoktól?

Amikor készen áll webhelye megtisztítására, akkor frissíthet minden egyes fertőzött adatbázisrekordot, vagy pedig visszaállíthatja az adatbázist az utolsó ismert biztonsági másolatra.

Felhívjuk figyelmét, hogy a rosszindulatú kód eltávolítása nem javítja ki a háttérben lévő sebezhetőséget, amelynek köszönhetően a hacker eredendően képes volt feltörni a webhelyet. A fő ok kijavítása nélkül előfordulhat, hogy webhelyét a jövőben ismét feltörik. További információt a feltört webhelyek megtisztításáról a feltört webhelyekkel kapcsolatos Súgóban talál.

Hasznosnak találta?
Hogyan fejleszthetnénk?