Rosszindulatú programmal való fertőzés típusa: hibasablon

Mit jelent az, ha a Google Search Console-on az oldalak „Hibasablon” típusú rosszindulatú programmal fertőzöttként vannak megjelölve?

A rosszindulatú programmal való, hibasablon típusú fertőzésről akkor van szó, ha a hibaüzenethez – például a 404 A fájl nem található üzenethez – használt sablon úgy van beállítva, hogy rosszindulatú programot terjesszen. Ily módon a támadók olyan URL-ek ellen tudnak támadást indítani, amelyek nem is léteznek az Ön webhelyén.

A rosszindulatú programokkal kapcsolatos további általános információt a Mérje fel a kárt (rosszindulatú programmal feltört oldal) részben talál.

Hogyan vizsgálhatom meg, hogy „Hibasablon” típusú rosszindulatú programmal való fertőzésről van-e szó?

Először is, semmiképpen ne böngészőt használjon a webhelyén lévő fertőzött oldalak megtekintéséhez. Mivel a rosszindulatú program gyakran a böngésző sebezhetőségeit kihasználva terjed, ha rosszindulatú programmal fertőzött oldalt nyit meg a böngészőjében, azzal károsíthatja számítógépét.

Az esetleges átirányításról például úgy győződhet meg, hogy a cURL vagy a Wget használatával HTTP-kéréseket hajt végre (például egy oldal lekéréséhez). Ezek az ingyenes eszközök az átirányítások diagnosztizálásában segítenek, és elég rugalmasak ahhoz, hogy tartalmazzák a hivatkozói vagy user-agent információkat. Azzal, hogy a rosszindulatú tartalmat csak adott user-agentekkel vagy hivatkozókkal rendelkező felhasználóknak jeleníti meg, a hacker több „valódi embert” tud megcélozni, és eredményesebben tudja elkerülni azt, hogy a webhelytulajdonosok vagy a rosszindulatú programokat kereső szoftverek felfedezzék őket. (Webhelyének online állapotban kell lennie az eszközök használatához.)

Például:

$curl -v --referer <hivatkozó mező> --user-agent "Mozilla/5.0 (
  Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <az Ön URL-je> 

például

$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/pPaaage.html

Ez 404-es állapotkódot, és a rosszindulatú program terjesztésére szolgáló forráskódot adhat vissza.

Ezután jelentkezzen be webszerverére. Vizsgálja meg, hogy a szerverkonfigurációs fájlok tartalmaznak-e hibaoldali direktívát. Az Apache webszerverek hibasablonjait például a .htaccess fájlban lehet meghatározni.

ErrorDocument 404 http://<rosszindulatú támadó webhelye>/index.html

Hogyan tisztíthatom meg webhelyemet a „hibasablon” típusú rosszindulatú programoktól?

Ha készen áll webhelye megtisztítására (amely a Segítség feltört webhelyeknek eljárás szerinti 7. lépés), akkor lecserélheti a .htaccess fájl(oka)t egy jó biztonsági mentésre, vagy törölheti a meglévő .htaccess fájl(ok)ból a nem kívánt ErrorDocument direktívákat. Ügyeljen a tényleges hibafájlok megtisztítására is (ha vannak ilyenek a webhelyen). Végül indítsa újra a webszervert, hogy meggyőződhessen arról, valamennyi módosítás életbe lépett.

Felhívjuk figyelmét, hogy a hibasablon vagy a segédfájlok eltávolítása nem javítja ki a háttérben lévő sebezhetőséget, amelynek köszönhetően a hacker eredendően képes volt feltörni a webhelyet. A fő ok kijavítása nélkül előfordulhat, hogy webhelyét a jövőben ismét feltörik. A teljes webhely (nem csak az itt tárgyalt típusú rosszindulatú programtól történő) megtisztításával kapcsolatban további információt elsősorban a Segítség feltört webhelyeknek szerinti eljárás 5. lépés: Mérje fel a kárt (rosszindulatú programmal feltört webhely) lépésének „A fájlrendszer károsodásának felmérése” című részében talál.

Hasznosnak találta?
Hogyan fejleszthetnénk?