Upssss Wirus!?

Jeśli czytasz ten artykuł to znaczy, że właśnie zastanawiasz się czy twoja strona nie została zawirusowana. Być może ktoś zhakował twoją stronę już jakiś czas temu ale informacje na ten temat dotarły do ciebie z dużym opóźnieniem. Jeśli tak, to może właśnie to Google poinformował cię o tym fakcie. Jeśli nie to masz jeszcze szansę zareagować zanim Google wyczuje, że z twoją stroną jest coś nie tak i poinformuje o tym swoich użytkowników. Czy twoje reklamy w Google zostały zablokowane z uwagi na niedozwolone frazy medyczne, których pozornie nie ma na twojej stronie? Otóż właśnie są. To że ich nie widzisz, nie znaczy, że ich nie ma. Może również na serwerze znajduje się trojan oraz backdor (tzw. tylne wejście), z którego korzysta haker. Jeśli tak to twoja strona prawdopodobnie zmieniła się w stronę przekierowującą lub w stronę “phishingową” (imitującą inną stronę – wyłudzającą ważne dane od potencjalnych użytkowników). Na pewno nie chcesz w tym pośredniczyć i bardzo dobrze bo możesz mieć przez to wiele nieprzyjemności.

Jak sprawdzić czy strona została zawirusowana?

Przejdźmy do meritum. Otwórz poniższe strony a następnie wpiszesz adres swojej strony internetowej:
transparencyreport.google.com/safe-browsing/search (od Google)
https://www.stopbadware.org/clearinghouse/search (rekomendowane przez Google)
https://www.virustotal.com/gui/rl (rekomendowane przez stopbadware – przeszukiwanie innych blacklist)
https://sitecheck.sucuri.net/ (ogólny skan bezpieczeństwa oraz sprawdzanie blacklist popularnych programów antywirusowych – nie zawiera wszystkich!)
https://www.abuseipdb.com  (sprawdź czy IP twojej strony było zgłaszane / zgłoś stronę lub IP jako szkodliwe)

Przydatne informacje:
https://ipinfo.info/html/ip_checker.php (przydatne informacje na temat IP twojej strony i inne)
https://sitereport.netcraft.com/ (przydatne informacje na temat strony, serwera, SSL itp)
* Ponieważ czarnych list jest wiele musimy sprawdzić jak największą ich ilość, zwłaszcza dla popularnych w Polsce programów antywirusowych – ale o tym na końcu.
Kaspersky – https://opentip.kaspersky.com/
Norton – instrukcja
https://safeweb.norton.com/

Moja strona została zainfekowana. Co teraz?

Masz kilka opcji. Zapłacić dość pokaźnie pieniądze firmie za usunięcie wirusa lub spróbuj usunąć wirusa na własną rękę. Od czego zaczynamy? Upewnij się, że masz zainstalowany i włączony program antywirusowy. Zacznij od stworzenia kopii bezpieczeństwa. Wyizoluj backup strony (pliki serwera i baza MySQL) do zewnętrznego nośnika (pendriva). Pamiętaj, że twoja zabawa może się źle skończyć.
Pierwsze kroki już za nami co teraz?

  1. Poproś usługodawcę hostingu o dokonanie skanu antywirusowego twojego konta (zaloguj się do panelu i otwórz ticket).
  2. Usuń zainfekowane pliki z wykazu skanu.
  3. Usuń wszelkie niepożądane pliki wygenerowane przez wirusa (szukaj podejrzanych nazw plików w strukturze naszej strony).
  4. Koniecznie wykonaj pełne skanowanie antywirusowe swojej maszyny / maszyn.

Jeśli masz dostęp, twój komputer mógł być przyczyną infekcji – nie musiał – mimo wszystko nie ryzykuj)
Jesteś po skanie serwera i własnego komputera? Usunąłeś już wirusy oraz zainfekowane pliki po obu stronach?
No to pracujemy dalej:

  1. Zmień hasła i nazwy użytkowników, kont ftp, bazydanych, kont e-maili, hasło do swojej stacji roboczej (komputera / laptopa)
  2. Usuń i podmień pliki systemowe twojej strony pozostawiając jedynie pliki użytkownika
    – Kolejny punkt przedstawia dokładną instrukcję postępowania dla stron zbudowanych na WordPress.

Usuwanie wirusa ze strony WordPress (krok po kroku)

Pamiętaj aby wykonać wszystkie czynności przedstawione w poprzednim akapicie pod tytułem “Moja strona została zainfekowana”. Co teraz?
Jeśli twoja strona została oparta o system zarządzania treścią na WordPress możesz wykonać następujące czynności w celu usunięcia zagrożenia na stronie:

  1. Sprawdź wersję WP jaka jest obecnie zainstalowana. Możesz to zrobić odnajdując plik w folderze wp-includes > version.php. Zapisz numer wersji zanim przejdziesz do odświeżania plików.
  2. Teraz usuń wszystkie pliki za wyjątkiem folderu wp_content oraz config.php
  3. Odnotuj zawartość folderów plugins i themes w katalogu wp_content. Spisz wszystkie nazwy używanych plugin-ów i szablonów (jeśli możesz je zainstalować od nowa usuń je) zostaw tylko te na licencji do których nie masz dostępu do ponownej reinstalacji.
  4. Pobierz bazę strony i przeszukaj jej zawartość w poszukiwaniu niepotrzebnych tabel i wartości (skryptów i dziwnych ciągów znaków). Najlepiej porównać jej zawartość/strukturę z czystą bazą danych bezpośrednio po instalacji systemu WordPress.

No to usuwanie zakończone. Teraz zaczynamy wgrywać nowy system.

  1. Pobierz instalację WP o takiej samej wersji. Listę wszystkich wersji systemu WordPress do pobrania znajdziecie na oficjalnej stronie polskiego WP: pl.wordpress.org/download/releases/
  2. Prześlij skanowany plik i rozpakuj z poziomu menadżera plików.
  3. Zaimportuj oczyszczoną bazę danych
  4. Pobierz i rozpakuj usunięte wcześniej pluginy i szablony
  5. Wy edytuj plik wp-config.php w sposób odzwierciedlający nowe hasła i loginy do bazy danych pamiętaj również aby zmienić klucze salt.
  6. Odzyskaj hasło uruchom stronę.
  7. Aktywuj przeinstalowane pluginy i szablony
  8. Zainstaluj jakiś plugin nadzorujący jej bezpieczeństwo (my polecamy darmowy iThemes Security lub All In One WP Security & Firewall są też inne równie skuteczne).

Google blokuje twoją stronę w wyszukiwarce?

  1. Ponownie wykonaj sprawdzenie strony:
  2. Zaloguj się do Google Search Console.
  3. Złóż wniosek o weryfikację strony. W formularzu opisz co się stało i jakie kroki wykonałeś.
  4. Czekaj na sprawdzenie witryny przez system google.
  5. Jeśli wszystko poszło dobrze wkrótce twoja strona zostanie odblokowana.

To jeszcze nie wszystko. Być może będziesz musiał odblokować swoją stronę z tzw czarnych list rożnych programów antywirusowych, które nadal mogą blokować twoją stronę, pomimo, że został już oczyszczona. Jak to wygląda w praktyce? Widok nie jest przyjemny. Użytkownikowi korzystającemu z programu antywirusowego zostanie zablokowany dostęp do strony z informacją, że strona jest niebezpieczna i potencjalnie szkodliwa.

Wracając do wykonanych przez nas czynności. Przyszedł czas na ponowne sprawdzenie strony dokładnie tak jak to opisaliśmy na początku tego wpisu.

Usuwanie strony z czarnej listy programów antywirusowych (“whitelist request / false positive report”)

Oczyszczenie strony z wirusa i uśnięcie jej z blacklist google to nie wszystko. Teraz należy zgłosić się z prośbą o usunięcie naszej strony z czarnej listy wszystkich popularnych programów antywirusowych. Dla przykładu wyślemy taki wniosek do firmy Avast. Przejdź do strony https://www.avast.com/false-positive-file-form.php

  1. W formularzu zaznacz “Website”
  2. Podaj URL strony “https://beautifulweb.pl”
  3. Wpisz treść wiadomości w języku angielskim

Przykładowa wiadomość (wyedytuj czerwone pola tak by odpowiadały twojej firmie):

Hello Avast Team

I would like to ask you to remove my site from your blacklist. My site is safe and free from any kind of malware. There was time that our site was hacked so we assume that you might blacklisted it for that reason. The hack last for only few days, after that we clear the site and secure it against future attacks. We can not allow that this short incident will damage our legal business. For that reason - if our site URL was blacklisted in your system then please remove our domain "beautifulweb.pl" from that listing. 

If you require any additional steps from us, please let me know.

Kind Regards
Wiktor Liszkiewicz - IT Department
tel. +48 530 772 177

Company:
Spółdzielnia Socjalna "Complex"
Poland
06-100 Pułtusk
Piotra Skargi 31/8
tel. +48 530 772 177
e-mail: comple.pultusk@gmail.com
e-mail: biuro@beutifulweb.pl

Wyślij zgłoszenie i czekaj na rezultat. Jednocześnie wyślij taki zgłoszenie do pozostałych firm antywirusowych.

Lista linków do tzw. “whitelist request / false positive report”:

Zgłoszenie wysłane do ESET

Odpowiedź ze strony ESET wyglądała tak:

Hello Eset support team,

Customers calling me about Eset are blocking my site.
If for some reason you blacklisted me, I would like to know when and want to cause the problem. You are the only antivirus company that prevents my site from showing to my customers.
Site was scanned for viruses and other malware. It is virus-free and causes no problems.

Please remove my site from the blacklist.

(Some information about the site and security)
We use cPanel free auto generated SSL certificate on my site. But this should not be the reason to block my site as the traffic is encrypted and I do not collect any sensitive information from the website users.

I also use an iframe over https on my home page but this is also a secured website.
If there is an issue. I would like to hear from you on why my site is blocked to Eset users.

Kind Regards
(Your company name)
(Your name and surname here)
tel.: +48 000 000 000

Verify us at: https://ec.europa.eu/taxation_customs/vies/vatResponse.html
VIES VAT number validation
Yes, valid VAT number
Member State / Northern Ireland PL
VAT Number PL 4565987456

Date when request received 2017/09/24 18:32:23
Name SPÓŁDZIELNIA SOCJALNA COMPLEX
Address PIOTRA SKARGI 31 M8
06-100 PUŁTUSK

Jeśli nie dokonasz zgłoszenia ręcznie twoja strona pozostanie zablokowana dla użytkowników oprogramowania antywirusowego danej firmy a to zawsze będzie problematyczne i z perspektywy czasu będzie szkodziło twojemu biznesowi.

Firmy usuwające usterki po atakach – “przypadkowy obserwator”

Ps. Jeśli całkiem przypadkiem po zainfekowaniu twojej strony zgłosi się do ciebie ktoś kto “zauważył”, że strona została zainfekowana, kto oferuje usługi naprawy takich usług zachowaj szczególną ostrożność. Nie korzystaj z usług takiej osoby. Istnieje prawdopodobieństwo że ta osoba mogła brać udział w hakowaniu twojej strony a dając jej pełen dostęp do strony wiele ryzykujesz. Poszukaj innej firmy, która świadczy podobne usługi.

Nie jesteś techniczny i powyższe instrukcje są dla ciebie nie do wykonania?

  1. Poszukaj specjalisty. Koszt naprawy oscyluje w kwocie od 400 zł netto do kilku tysięcy złotych w zależności od rozmiaru strony i problemu. Niestety czasami naprawa może nie być możliwa.

Gwarancja po naprawie to standardowo 1 miesiąc. Wspomniana gwarancja ta nie gwarantuje, że podczas tego okresu nie nastąpi ponowne hakowanie strony, zazwyczaj jednak jeśli już nastąpi to firma dokona ponownego usunięcia

Co jeszcze mogę zrobić?

Obrona przed DNS (dużą ilością żądań do strony w krótkim czasie wykonywana przez program lub hakera)

Jeśli strona pomimo odwirowania i stosowania plugin-ów bezpieczeństwa jest bombardowana żądaniami DNS w dużej ilości to zalecamy do skorzystania z usług CloudFlate. W opcji darmowej mamy już ochronę przed atakami DNS. Konfiguracja jest bardzo szybka i prosta, nie mniej jednak wymaga dostępu do DNS domeny / domen, którą chcemy zabezpieczyć.

Brak SSL lub niektualny certyfikat. Nie wykryłeś wirusa na stronie? Skany nie wykazały zagrożenia? Mimo tego twoja strona jest wyświetlana jako niebezpieczna / niezabezpieczona?

Może problem tkwi w twoim SSL. Jeśli twój SSL jest nieaktualny, lub twoja strona objęta protokołem SSL łączy się z innymi zasobami w protokole niezabezpieczonym tj. “http://” to taka strona najpewniej zostanie zablokowana przez antywirusa lub oznaczona w przeglądarce jako niebezpieczna.

Sprawdź czy twoje strona i jej zawartość używa wyłącznie protokołu szyfrowanego tj. “https://” a nie “http://” do pobierania wszelakich zasobów.

Przeinstaluj certyfikat SSL i upewnij się, że strona przekierowuje wszystkie żądania na ten właśnie protokół.

Jeśli twoja strona nie korzysta z certyfikatu SSL to musisz go zainstalować a następnie przekierować stronę w taki sposób, żeby nie zezwalała na niezabezpieczony dostęp http.

Jeśli twój serwer generuje certyfikat SSL to możesz z niego skorzystać za darmo. Jeśli jednak ta opcja nie jest dostępna musisz wykupić SSL w firmie zewnętrznej a następnie zainstalować go na serwerze. I włączyć na stronie przekierowanie na https.

Źródła i polecane materiały

Polecane artykuły:
https://developers.google.com/web/fundamentals/security/hacked

Jeśli ten wpis pomógł ci zostaw nam łapkę w górę!