Rosszindulatú programmal való fertőzés típusa: szerverkonfiguráció

Mit jelent az, ha a Search Console-ban a rosszindulatú programmal való fertőzés típusaként az URL-ek mellett a „Szerverkonfiguráció” szerepel?

Ez azt jelenti, hogy egy hacker feltörte az Ön webhelyét, a webhely látogatóit pedig az Ön jó webhelyéről átirányítja a saját, rosszindulatú programmal támadó webhelyére, valószínűleg az Ön szervere konfigurációs fájljának módosításával. A szerverkonfigurációs fájlok általában lehetővé teszik a webhely rendszergazdájának, hogy URL-átirányításokat adjon meg a webhely bizonyos oldalainál vagy könyvtárainál. Apache szervereken ez például a .htaccess, illetve a httpd.conf fájl.

A rosszindulatú programok terjesztése céljából feltört webhelyekkel kapcsolatban további általános információt a Mérje fel a kárt (rosszindulatú programmal feltört webhely) című részben talál.

Hogyan tudok meggyőződni arról, hogy a rosszindulatú programmal való, „Szerverkonfiguráció” típusú fertőzés átirányítást végez?

Először is, semmiképpen ne böngészőt használjon a webhelyén lévő fertőzött oldalak megtekintéséhez. Mivel a rosszindulatú program gyakran a böngésző sebezhetőségeit kihasználva terjed, ha rosszindulatú programmal fertőzött oldalt nyit meg a böngészőjében, azzal károsíthatja számítógépét.

Az esetleges átirányításról például úgy győződhet meg, hogy a cURL vagy a Wget használatával HTTP-kéréseket hajt végre (például egy oldal lekéréséhez). Ezek az ingyenes eszközök az átirányítások diagnosztizálásában segítenek, és elég rugalmasak ahhoz, hogy tartalmazzák a hivatkozói vagy user-agent információkat. Azzal, hogy a rosszindulatú tartalmat csak adott user-agentekkel vagy hivatkozókkal rendelkező felhasználóknak jeleníti meg, a hacker több „valódi embert” tud megcélozni, és eredményesebben tudja elkerülni azt, hogy a webhelytulajdonosok vagy a rosszindulatú programokat kereső szoftverek felfedezzék őket. (Webhelyének online állapotban kell lennie az eszközök használatához.) Például:

$curl -v --referer <hivatkozó mező> --user-agent "Mozilla/5.0 (
  Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <az Ön URL-je>
mint például
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html
Tehát a szerverkonfiguráció típusú fertőzéssel rendelkező oldal a következő fejléceket adhatja vissza:
…
< HTTP/1.1 301 Moved Permanently
< Date: Sun, 24 Feb 2013 21:06:45 GMT
< Server: Apache
< Location: http://<rosszindulatú támadó webhelye>/index.html
< Content-Length: 253
...

 

Hogyan tisztíthatom meg webhelyemet a „szerverkonfiguráció” típusú rosszindulatú programoktól?

Shell- vagy terminálhozzáférésen keresztül jelentkezzen be a szerverre (a webhely offline módban is lehet, ha szeretné), és ellenőrizze a releváns szerverkonfigurációs fájlokat. Előfordulhat, hogy a szerveren több olyan szerverkonfigurációs fájl is van, amelyet a hacker módosított. Ellenőrizze, hogy előfordulnak-e ezekben a fájlokban nem kívánt direktívák – például átirányítások –, ahol a hacker úgy konfigurálhatja a webhelyet, hogy ismeretlen, rosszindulatú programmal támadó webhelyekre irányítson át. Például a .htaccess fájlban:

RewriteEngine On 
RewriteCond %{HTTP_REFERER} .*google.* 
RewriteRule ^third-page.html($|/) http://<rosszindulatú webhely>/index.html [R=301]
Továbbá:
  • Mindenképp ellenőrizze a teljes fájlt, hátha a hacker a fájl végéhez adta hozzá kódját, ahol könnyebb átsiklani felette.
  • Vizsgálja meg a hacker által létrehozott potenciális cron feladatokat, amelyek arra szolgálnak, hogy folyamatosan frissítsék a .htaccess fájlt. A cron feladatok több helyen is előfordulhatnak, így például itt: /etc/crontab (lehet több /etc/cron* könyvtár is) és itt: /var/spool/cron.

Ha készen áll webhelye megtisztítására, akkor lecserélheti a szerverkonfigurációs fájlokat egy jó biztonsági mentésre, vagy törölheti a nem kívánt kódot a meglévő fájlból. Ne feledje el újraindítani a webszervert, ha ez szükséges új konfigurációs fájl aktiválásához.

A „szerverkonfiguráció” típusú rosszindulatú program eltávolítása hasznos a feltört webhely helyreállítását tekintve, de nem javítja ki a háttérben lévő sebezhetőséget, amely miatt a hacker egyáltalán képes volt feltörni a webhelyet (és a kijavítás híján ezt ismét megteheti). A teljes webhely megtisztításával kapcsolatban további információt a Hacked with malware (Rosszindulatú programmal fertőzött webhely) témakörben olvashat a feltört webhelyek helyreállításával foglalkozó dokumentációban.

Hasznosnak találta?
Hogyan fejleszthetnénk?