Zavirovaný web je obrovský problém a pokud není web rychle odvirován musí webhoster podniknout kroky, aby web nepoškozoval webhostera, další zákazníky a další uživatele po celém internetu. Nejčastěji jsou zavirované neaktualizované Open Source systémy jako CMS Wordpress, Drupal nebo Joomla. Odvirování každého webu se skládá ze dvou částí: Odvirování webu a zajištění, aby se situace neopakovala. Může se zdát že zavirování webu je složitý problém, ale dle následujících informací dokáže web odvirovat i mírně pokročilí uživatel internetu.
1. Nalezení problému
Google webmaster tools
K nalezení problému můžete použít mnoho webových skenerů, nebo si můžete dát práci a nalézt problém sami. Nejdříve zavirovaný web přidáme do Google webmaster tools. Po přidání a ověření webu, Vám do 24 hodin Google webmaster tools řekne v sekci "Malware" jaké soubory jsou infikované a po odvirování můžete požádat o novou diagnostiku. Jakmile proběhne nová diagnostika a na webu nebyl nalezen žádný malware, přestane se zobrazovat u vašeho webu varování googlu. Ze zkušenosti víme, že Google webmaster tools dokáže detekovat cca 70% malwaru na webu.
Analýza logů
Každý hosting vytváří error_log a access_log. Pokud ho na hostingu nevidíte, mohl Vám ho webhoster deaktivovat. Požádejte ho o aktivaci. Pokud web posílá velké množství spamu bude často volána jedna nebo více stránek. V access_logu naleznete jaké stránky byly volány a už pouhým okem uvidíte jednu stránku, která byla volána častěji než ostatní.
Vyhledání souborů dle data
Když už jste nalezli v access_logu jednu stránku, která je zavirována, nezmámená to, že zavirovaných stránek není více. Na helpdesku jsme odvirovávali wordpress web klienta, který obsahoval 12 různých malwarů. Nyní je potřeba projít jednotlivé adresáře webu a nalézt soubory, které byli změněny. Většina FTP klientů umí soubory seřadit dle data a tím hledání mnohem urychlíte. Soubory s nejnovějším datem je třeba otevřít a prozkoumat zda neobsahují jiný kód. Obvykle v zavirovaném souboru naleznete hned v hlavičce řetězec kódu, začínající eval(gzinflate(base64_decode( apod.
2. Řešení problému
V prvním kroku jsme nalezli všechny soubory, které jsou infikovány. Z analýzy jsme zjistili, které komponenty, moduly a pluginy jsou napadeny a můžeme je odvirovat.
Nejjednodušším způsobem je podle data infikovaných souborů obnovit web ze zálohy a následně web zabezpečit. Druhá možnost je projít jednotlivé soubory a odmazat nežádoucí kód a následně web zabezpečit.
3. Zajistit, aby se situace neopakovala.
Po obnově webu, nebo odmazání škodlivého kódu musíte:
- Aktualizovat CMS systém na poslední stable verzi.
- Aktualizovat napadené komponenty, moduly a pluginy nebo je přestat používat a odinstalovat je ze systému.
- Zabezpečit soubory skrze Chmod(atributy souborů). Soubory by měli mít nastavený chmod max. 644 a adresáře max. 755, root adresář webu 710
- Omezit přístup do administrace a jiných citlivých částí, skrze omezení IP adres. Více jak omezit přístupy: ZDE
- Zablokovat funkce hostingu, které nepotřebujete a mohou být zdrojem problémů. Taková funkce je např. php mail(). Funkci zablokujete vložením řádku disable_functions = mail do .htaccessu nebo php.ini. Další služby, které můžete deaktivovat jsou exec,system,passthru
Odvirování webu dá trochu práce, ale každý lehce pokročilý uživatel internetu to zvládne. Pro klienty na našem hostingu, nebo pro klienty, kteří chtějí přejít pod MyDreams hosting, provádíme odborné konzultace zdarma.