Type malware-infectie: Serverconfiguratie

Wat houdt het in als URL's zijn gemarkeerd met het type malware-infectie 'Serverconfiguratie' in Search Console?

Dit houdt in dat de hacker uw site heeft aangetast en bezoekers omleidt van uw goede site naar zijn aanvalssite met malware. Hiervoor heeft de hacker waarschijnlijk de configuratiebestanden van uw server aangepast. In de configuratiebestanden van de server kan de beheerder de URL's specificeren waarnaar pagina's of directory's op een website omleiden. Op Apache-servers zijn dit bijvoorbeeld het .htaccess-bestand en httpd.conf.

Bekijk De schade beoordelen (malware) voor meer algemene informatie over sites die zijn gehackt om malware te verspreiden.

Hoe kan ik het omleidingsgedrag van malware van het type 'Serverconfiguratie' controleren?

Gebruik geen browser om geïnfecteerde pagina's op uw site te bekijken. Omdat malware zich vaak verspreidt door misbruik te maken van kwetsbaarheden van de browser, kunt u door het openen van een geïnfecteerde malwarepagina in een browser uw computer beschadigen.

U kunt het gedrag controleren door cURL of Wget te gebruiken om HTTP-verzoeken uit te voeren (bijvoorbeeld om een pagina op te halen). Deze tools zijn gratis beschikbaar en zijn nuttig bij de diagnose van omleidingen en kunnen tevens informatie verstrekken over de verwijzende URL of user-agent. Door schadelijke inhoud alleen te leveren aan gebruikers met bepaalde user-agents of verwijzende URL's, kan de hacker meer 'echte mensen' targeten en beter voorkomen dat hij wordt gedetecteerd door site-eigenaren en malwarescanners. (Uw site moet online zijn om deze tools te gebruiken.) Bijvoorbeeld:

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" </your-infected-url>
zoals
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html
Als er een pagina met een malware-infectie van het type 'Serverconfiguratie' wordt opgehaald, kunnen de volgende koppen worden geretourneerd:
…
< HTTP/1.1 301 Moved Permanently
< Date: Sun, 24 Feb 2013 21:06:45 GMT
< Server: Apache
< Location: http://<malware-attack-site>/index.html
< Content-Length: 253
...

 

Hoe kan ik mijn site ontdoen van malware van het type 'Serverconfiguratie'?

Log in bij uw server via shell/terminal-toegang (u kunt de site desgewenst offline zetten) en controleer de betreffende serverconfiguratiebestanden. Mogelijk bevat uw site meerdere serverconfiguratiebestanden die zijn aangepast door de hacker. Controleer deze bestanden op ongewenste instructies, waarmee de hacker uw site configureert om gebruikers om te leiden naar onbekende aanvalssites met malware. Bijvoorbeeld in .htaccess:

RewriteEngine On 
RewriteCond %{HTTP_REFERER} .*google.* 
RewriteRule ^third-page.html($|/) http://<malware-site>/index.html [R=301]
Aanvullende punten:
  • Controleer het hele bestand voor het geval de hacker zijn code aan het einde van het bestand heeft toegevoegd, waar deze gemakkelijker over het hoofd kan worden gezien.
  • Onderzoek potentiële cron jobs die zijn gemaakt door de hacker en die zijn bedoeld om het .htaccess-bestand voortdurend te updaten. Cron jobs kunnen worden vermeld op verschillende locaties, waaronder /etc/crontab (ook meerdere /etc/cron*-mappen) en /var/spool/cron.

Als u er klaar voor bent om uw site op te schonen, kunt u de serverconfiguratiebestanden vervangen door een goede back-up. U kunt ook de ongewenste code verwijderen uit het bestaande bestand. Start uw webserver opnieuw op als dat is vereist om de nieuwe configuratiebestanden te activeren.

Houd er rekening mee dat het opschonen van malware van het type Serverconfiguratie nuttig is voor het herstellen van een gehackte site, maar dat hiermee de onderliggende zwakke plek niet wordt opgelost waardoor de hacker in eerste instantie toegang kreeg tot uw site (wat dus betekent dat dit weer kan gebeuren). Bekijk het onderwerp Gehackt met malware in de documentatie voor herstel na een hack-aanval voor meer informatie over hoe u uw volledige site kunt opschonen.

Was dit artikel nuttig?
Hoe kunnen we dit verbeteren?