Usuwanie malware

czyli pomoc doraźna

Malware jest najczęściej występującą formą ataku na strony internetowe. Powodowane jest to tym, że najpopularniejsze systemy CMS jak WordPress, Joomla, PrestaShop, są… najpopularniejsze.
Wiele jest na nie wydawanych wtyczek różnej jakości, motywów itp. Im bardziej skomplikowany system tym więcej w nim potencjalnych podatności na włamanie i błędów. 
Utarło się nawet stwierdzenie

E(rror)= m(ore) x c(ode)2

Stąd bardzo często wydawane są nowe wersje i poprawki kodu które eliminują wcześniej zauważone błędy. Problem w tym, że informacja o emisji nowej wersji i tym jakie podatności ona likwiduje, jest publicznie dostępna zarówno dla właścicieli stron, jak i włamywaczy. Zatem wystarczy nie zainstalować poprawek na czas by stać się ofiarą…
Popularność systemów CMS, a więc ilość zainstalowanych instancji, czyni je łatwym i pożądanym elementem działań służących do tego co nazywamy BlackHat SEO czy BotNet.

Włamania na stronę lokalnego biznesu, nie powinniśmy odbierać personalnie. Włamania najczęściej są anonimowe jeśli chodzi o powody tzn. ktoś włamuje się na naszą stronę nie z naszego powodu, tylko dlatego że:

  • mamy stronę na popularnym systemie CMS (zatem są listy potencjalnych exploitów do wykorzystania)
  • mamy stronę która nie jest aktualizowana, a więc łatwo się na nią włamać (więc wiadomo jakie ma podatności)
  • mamy stronę na której używamy wtyczek, motywów czy innych elementów w których wykryto podatność na włamanie.
  • wreszcie ktoś się włamuje by pokazać innym, że potrafi, czy po to żeby sobie „poćwiczyć”…

W zależności od tego z jakim typem włamania mamy do czynienia, sam przebieg, czy efekty infekcji mogą być przez długi czas nie zauważone. To charakterystyczne dla  włamania typu „egg drop”
Ktoś wstrzykuje nam na stronę obcy kod, który sam w sobie może nie być złośliwy, odczekuje jakiś czas (aż w archiwach będą tylko zainfekowane wersje) i wtedy go uaktywnia i uzupełnia o złośliwą część.  
Efekty takiej infekcji są trudne do wyeliminowania, gdyż wymagają dokładnej szczegółówej analizy całego kodu strony.

Taki scenariusz włamania, najczęściej ma na celu wykorzystać stronę do BlackHat SEO w postaci farm linków. Jednak równie często zdarza się, że strona ma służyć jako element BotNetu, by atakować inne strony, lub infekować komputery by zwiększać możliwości ofensywne Botnetu, ale też by wyłudzić informacje potencjalnie opłacalne dla włamywacza udając strony np. bankowe (phising).

I tutaj mamy dwa typy efektów działania.

  1. Działanie które widać od razu – strona zainfekowana, Google wyświetla czerwony alert, antywirus blokuje nam dostęp, lub też (co trudniej skojarzyć z włamaniem) strona się niepoprawnie wyświetla, bądź wcale.
  2. Infekcja dokonana w wypracowany „profesjonalny” sposób. Może się okazać, że często przez długi czas nie wykryjemy takiej infekcji bez użycia specjalistycznych narzędzi. Widzimy tylko, że strona czasem wolniej działa, czasem podstrona się dłużej ładuje, czasem mamy problem z zalogowaniem do Kokpitu. I nic poza tym… Tego typu objawy powinny wzbudzić naszą czujność. Mogą one oznaczać że na stronie dzieje się coś co nie jest ściśle infekcją, jednak jest działaniem poza naszą kontrolą i jest tylko preludium do problemów.

W efekcie możemy trafić na listę spamerów, lub z jakiegoś bliżej nieokreślonego powodu zacznie nam spadać oglądalność (bo strona za długo się ładuje).

W takich przypadkach warto natychmiast reagować. Natychmiastowa reakcja wskazana jest przede wszystkich przy ewidentnych infekcjach, kiedy Google już się zorientowało, że z naszą stroną jest coś nie tak (czerwony ekran z ostrzeżeniem). Szybka reakcja zapewni wstrzymanie negatywnych efektów biznesowych – utraty zaufania i pozycji w wynikach wyszukiwania. Długi czas reakcji właściciela strony na infekcję powoduje stopniowe opadanie strony w wynikach wyszukiwania, jak też utratę zaufania internautów, utratę reputacji, ale też zwiększenie ryzyka trafienia na wszelkiego rodzaju balcklisty, z których usunięcie jest mocno skomplikowane.

Tego typu zdarzeniom prewencyjnie przeciwdziała nasza usługa Opieki Technicznej.

Jednak nic nie stoi na przeszkodzie, by jeśli masz wątpliwości, czy pewność, że Twoja strona padła ofiarą ataku, została ona przeskanowana przez nasze skanery i na czas wyeliminowane zagrożenie.

Jeśli masz problem z bezpieczeństwem Twojej strony, napisz do nas.
Pomożemy!

Napisz do mnie

Nie ma mnie w pobliżu, ale zostaw wiadomość, odpiszę!

Not readable? Change text. captcha txt

Start typing and press Enter to search

Share This