Ako su u Vašem nalogu pronađeni maliciozni fajlovi, ovaj članak će pomoći da razumete uzrok problema i pronađete načine na koje možete da rešite problem.
Pronađene maliciozne fajlove možete videti na strani ImunifyAV u cPanelu. Imajte u vidu da nijedan anti-malware ne može pronaći baš sve maliciozne fajlove, tako da lista malicioznih fajlova koju vidite možda nije konačna.
I - Uzrok problema
U nastavku navodimo neke od najčešćih uzroka:
- Bezbednosni propust na sajtu
Jedan od najčešćih uzroka malicioznih fajlova u nalogu je propust u okviru zastarele komponente sajta, bilo da se radi o temi, dodatku ili samom jezgru web aplikacije.
- Previše jednostavna lozinka admin korisnika
Kada koristite previše jednostavne lozinke za administratorski pristup sajtu, izloženi ste opasnosti od brute-force napada kojima hakeri "pogađaju" lozinku za admin pristup. Što je lozinka jednostavnija, veće su šanse da će brže i lakše biti pogođena. Neovlašćeni admin pristup se zatim iskorišćava za postavljanje malicioznih fajlova i dalje zloupotrebe u nalogu i na sajtu.
- Nepotrebne skripte i instalacije koje se ne koriste
Ostavljanje nepotrebnih skripti i nedovršenih instalacija web aplikacija, koje ste postavili u hosting nalog radi jednokratnog testiranja, predstavljaju bezbednosni rizik. Nedovršene instalacije omogućavaju preuzimanje kontrole nad aplikacijom, a napuštene skripte vremenom zastarevaju i mogu sadržati otkrivene bezbednosne propuste zbog čega su česta meta hakera.
- Korišćenje nelegalno pribavljenih premium tema i dodataka
Teme i dodaci preuzeti sa nelegalnih (warez) sajtova uvek sadrže i maliciozni backdor koji omogućava preuzimanje kontrole nad sajtom i hosting nalogom. Njihovo korišćenje svakako nije ni u skladu sa zakonom i takođe je zabranjeno našim pravilnikom: https://www.dreamwebhosting.net/tos.php#clan-9
- Phishing napadi (prevara korisnika)
U takvim napadima, korisnik posredstvom lažnog emaila ili sajta, "odaje" trećem licu podatke za svoj cPanel, FTP, email nalog ili admin pristup sajtu. Ukradeni pristupni parametri se zatim iskorišćavaju za dalje zloupotrebe. Pogledajte sledeći članak o toj vrsti prevare: https://blog.dreamweb.rs/sta-je-phishing-i-kako-se-zastititi/
- Kompromitovana lozinka email naloga
Ukoliko ste imali neovlašćen pristup email nalogu, na koji su Vam ranije bili poslati pristupni parametri za cPanel, napadač tu poruku može iskoristiti za neovlašćen pristup i zloupotrebe u cPanel nalogu.
Do kompromitovanja email naloga najčešće dolazi usled phishing prevare ili brute force napada, ukoliko je lozinka za pristup email nalogu bila previše jednostavna.
- Malware (virus) u računaru korisnika
U pitanju mogu biti razne vrste virusa ili maliciozni softver koji beleži podatke koje unosite na tastaturi ili trećim licima šalju podatke sačuvane na Vašem računaru u okviru FTP klijenta, email klijenta i slično. Time hakeri dolaze do pristupnih parametara za cPanel, FTP pristup ili email nalog, i takav pristup koriste za dalje maliciozne aktivnosti.
II - Rešenje
Za sprovođenje narednih koraka bi trebalo da se obratite tehničkom licu zaduženom za održavanje Vašeg sajta...
- Proverite svoje računare
Uverite se da nemate virus ili drugi maliciozni softver na svojim računarima i da podaci na Vašim računarima nisu kompromitovani.
- Onemogućite neovlašćeni pristup cPanelu
Ako sumnjate da su podaci za cPanel pristup kompromitovani, promenite cPanel lozinku. Uputstvo možete naći na sledećoj strani: https://helpdesk.dreamweb.rs/sr/baza-znanja/article/promena-lozinke-hosting-naloga-cpanel-a
- Promenite lozinke email naloga na koje dobijate poverljive podatke
Ukoliko sumnjate da je kompromitovan email nalog definisan u korisničkom portalu, odnosno email na koji su Vam bili poslati parametri za cPanel, promenite odmah i lozinku tog email naloga.
- Uklonite maliciozne sadržaje iz naloga
Za čišćenje naloga postoje tri opcije (A, B i C) i navedene su redom, po pouzdanosti, od najpouzdanije ka manje pouzdanoj.
Najbolji način za uklanjanje malicioznih fajlova je opcija "A: Prenos čistog sadržaja u novu web aplikaciju". Ako želite jednostavnije rešenje, možete probati druge opcije za čišćenje naloga, ali imajte u vidu da su ostala rešenja manje sigurna, jer nijedan malware skener ne može pronaći baš sve maliciozne fajlove, tako da lista malicioznih fajlova koju vidite u cPanelu možda nije konačna lista malicioznih fajlova.
Opcija A: Prenos čistog sadržaja u novu web aplikaciju
Ova opcija je najsigurnija za uklanjanje malicioznog kôda, a primenljiva je kod svih sajtova koji koriste CMS sisteme kao što su WordPress, Joomla, Drupal i slični.
Za početak je potrebno da na svoj računar preuzmete kopiju svih fajlova i baze sajta sa servera, a zatim da uklonite sa servera fajlove zaraženog sajta. Ako imate u nalogu više sajtova, potrebno je da preuzimanje i brisanje fajlova sa servera obavite odmah za sve sajtove u nalogu.
Nakon toga je potrebno da instalirate ponovo web aplikaciju sajta, istu temu i iste dodatke koje ste koristili na prethodnom sajtu, pa zatim da prenesete samo čist sadržaj (bazu i slike) sa starog, zaraženog sajta, uz pažljivu proveru foldera sa slikama, jer i u njemu može biti malicioznih fajlova, promena .htaccess fajlova i slično.
To se može obaviti na različite načine, ali je suština ista, odnosno da se sa starog sajta u novu web aplikaciju prenesu isključivo samo slike i sadržaj baze. Ako se fajlovi nove web aplikacije povezuju sa starom bazom, neophodno je da se odmah promene i lozinke svih admin korisnika u toj bazi.
Napominjemo da svi koraci moraju biti obavljeni pažljivo i ispravno kako bi maliciozni fajlovi zaista bili potpuno uklonjeni. Taj proces bi trebalo da obavi stručno tehničko lice sa odgovarajućim iskustvom i znanjem šta svi navedeni koraci zahtevaju za ispravnu realizaciju.
Opcija B: Vraćanje sajta sa backupa na prethodno stanje
Za ovu opciju je bitno da znate kada su maliciozne promene u Vašem nalogu započete. To se često dešava mnogo pre nego što su se javila sumnjiva ponašanja ili problemi u radu sajta, pa se to ne može uvek lako i sigurno utvrditi. Ako koristite SSD paket, kako se na SSD serverima automatsko skeniranje obavlja nedeljno, na osnovu pregleda istorije skeniranja u ImunifyAV sekciji, možete utvrditi kada su okvirno počele maliciozne promene, odnosno treba računati na nedelju dana ranije od najstarije detekcije malicioznog sadržaja. Taj datum opet treba uzeti sa rezervom, jer kao što smo naveli, moguće je da malware skener nije pronašao sve maliciozne fajlove i da do inicijalnog upada i malicioznih promena došlo i ranije. Ako niste sigurni, možete se obratiti našoj tehničkoj podršci za pomoć u vezi sa utvrđivanjem početka zloupotrebe.
Opcija B.1: Ako znate kada su tačno započete maliciozne promene i ukoliko je to u poslednjih 5 nedelja, sajt možete vratiti sa našeg backup sistema na stanje pre nego što je zloupotreba započeta, jer su naši backupovi dostupni za poslednjih 5 nedelja.
VAŽNO: Pre vraćanja sajta sa backupa, uklonite sve fajlove zaraženog sajta. Nakon toga, možete obaviti povraćaj fajlova i baze sajta sa backup sistema.
Instrukcije za povraćaj možete pronaći u bazi znanja: https://helpdesk.dreamweb.rs/en/search?query=backup
Opcija B.2: Ukoliko je zloupotreba započeta pre više od 5 nedelja ili niste sigurni u vreme prvog upada, proverite da li na svom računaru imate inicijalnu verziju sajta ili dosta stariju backup verziju za koju ste sigurni da ne sadrži maliciozne fajlove. Taj backup možete iskoristiti za vraćanje sajta na prethodno stanje pre zloupotrebe.
Opcija C: Uklanjanje pronađenih malicioznih sadržaja
VAŽNO: Ova opcija nije sasvim sigurna za uklanjanje malicioznog kôda, jer nijedan anti-malware softver ne može pronaći baš sve maliciozne fajlove, pa čišćenje naloga na ovaj način treba uzeti sa rezervom, jer u nalogu i nakon čišćenja mogu ostati maliciozni sadržaji koji nisu pronađeni skeniranjem. Ako se ipak odlučite za ovu opciju bitno je da Vaše tehničko lice (programer) detaljno proveri i druge fajlove u okviru sajta, a posebno u okviru foldera u kojima je pronađen neki fajl sa malicioznim sadržajem.
Opcija C.1: Ako ste korisnik SSD Paketa, uklanjanje malicioznih sadržaja možete obaviti prema instrukcijama na strani: https://helpdesk.dreamweb.rs/sr/baza-znanja/article/imunifyav
Opcija C.2: Ako niste korisnik SSD paketa, uklanjanje malicioznih sadržaja možete obaviti ručno, na osnovu liste fajlova dostupne u okviru opcije "ImunifyAV" u cPanel-u.
Imajte samo u vidu da ne treba uklanjati sve detektovane fajlove, jer se maliciozni sadržaj često nalazi u legitimnim fajlovima koji pripadaju sajtu, pa je potrebno pažljvo progledati fajlove i ukloniti samo maliciozni kôd iz fajlova koji pripadaju sajtu ili još bolje takve fajlove zameniti originalnom verzijom, a fajlove koji sigurno ne pripadaju aplikaciji sajta, treba potpuno ukloniti. Neophodno je da ovu operaciju obavi stručno tehničko lice (programer) sa odgovarajućim iskustvom.
- Inicirajte ponovno skeniranje hosting naloga
Kada završite sa čišćenjem, pokrenite novo skeniranje, po sledećem uputstvu:
https://helpdesk.dreamweb.rs/sr/baza-znanja/article/imunifyav#skeniranje
U okviru ImunifyAV interfejsa ćete naći opciju "Start scanning", putem koje možete ponovo pokrenuti skeniranje. Kada ste sigurni da ste ispravno obavili čišćenje svih sajtova u nalogu, pređite na sledeći korak.
Ako ste od naše tehničke podrške prethodno obavešteni da je onemogućen pristup sajtu, na ovom koraku se možete obratiti tehničkoj podršci uz obaveštenje da ste obavili prvih 5 koraka iz ovog članka, kako bi bio ponovo omogućen pristup sajtu, da biste mogli da pređete na sledeće korake.
- Promenite lozinke admin korisnika i urednika na sajtu
Pristupite admin panelu sajta i promenite lozinke svih admin korisnika i urednika na sajtu, odnosno svim sajtovima u nalogu, ako ih imate više.
- Obavite nadogradnju web aplikacije sajta
Ažurirajte web aplikaciju koja pokreće sajt i sve njene komponente, kao što su dodaci, teme i drugo, uključujući i "premium" dodatke ili teme koje se nekada moraju ručno ažurirati zamenom fajlova na serveru. Poslednje verzije aplikacija i dodataka često sadrže zakrpe bezbednosnih propusta otkrivene u prethodnim verzijama, zbog čega je bitno da se to uvek redovno obavlja.
- Zamenite nelegalne komponente
Ako ste u okviru sajta koristili neku nelegalno pribavljenu komponentu, neophodno je da ceo folder te komponente (dodatka i/ili teme) odmah obrišete sa servera i zamenite originalnom (kupljenom) verzijom. Ipak, bitno je da imate u vidu da je možda već kasno za uklanjanje tog foldera, jer je maliciozna komponenta mogla po aktivaciji da obavi maliciozne promene u okviru sajta ili baze sajta, odnosno ostavi napadačima neku vrstu "backdoor" pristupa, koje je veoma teško detektovati, pa u ovom slučaju nekada možda i nema rešenja, osim izrade novog sajta.
Ako se problem ponovi
Pre svega proverite da li ste sve prethodne korake obavili ispravno i ako ste sigurni u to, pokušajte sa nekom drugom opcijom za uklanjanje malicioznog sadržaja iz naloga.
Ukoliko se problem nastavi, odnosno, ako ponovo budu pronađeni novi maliciozni fajlovi, postoji mogućnost da na sajtu postoji neki nerešen bezbednosni propust ili je zaostao neki od malicioznih fajlova koji se ne može automatski detektovati.
III - Prevencija
Kao hosting provajder, nastojimo da naši serveri budu maksimalno bezbedni i sigurni, a odgovornost korisnika hosting naloga je da obezbedi sigurnost svojih sajtova, odnosno, aplikacija koje postavlja u hosting nalog i da brine o bezbednosti svojih podataka.
Da biste sprečili da ubuduće dođe do ovakve zloupotrebe, vodite računa o sledećim bitnim stavkama:
- Redovno ažurirajte web aplikaciju i komponente sajta
Kao i kod svake web aplikacije, na prvom mestu je važno da uvek redovno ažurirate kôd aplikacije, kao i teme i dodatake koji postoje u okviru sajta. Važno je da su jezgro aplikacije i sve komponente redovno ažurirane i nadograđene na poslednje - bezbedne verzije kako hakeri ne bi bili u mogućnosti da zloupotrebe propuste otkrivene u starijim verzijama.
- Koristite jake lozinke za pristup servisima i admin panelu sajta
Instrukcije za kreiranje jake i bezbedne lozinke možete videti na sledećoj strani: https://helpdesk.dreamweb.rs/sr/baza-znanja/article/kreiranje-bezbedne-lozinke
- Ne ostavljajte nepotrebne fajlove i skripte u hosting nalogu
Iz naloga uklonite sve instalacije, skripte i web aplikacije koje ste postavili radi testiranja. Ako Vam je potrebno da imate aplikaciju za povremeno testiranje, koja ne mora da bude javno dostupna svima, zaštitite javni pristup takvoj aplikaciji dodatnom HTTP autentifikacijom ili omogućite pristup samo sa određene IP adrese.
Uklonite nepotrebne skripte, neaktivne teme ili dodatke i druge komponente koje se ne koriste i koje nisu neophodne za funkcionalnost Vašeg sajta.
- Ne koristite nelegalno pribavljene komponente
Nikada ne koristite nelegalne teme i dodatke, odnosno komponente koje su preuzete sa warez sajtova. Nelegalno pribavljene komponente skoro uvek sadrže maliciozni kôd (backdoor) koji trećim licima omogućava potpunu kontrolu i zloupotrebe hosting naloga.
- Pazite se phishing prevare
Ne otvarajte sumnjive mejlove i ne posećujte sumnjive linkove i sajtove. Više o phishingu i merama zaštite pogledajte na sledećoj strani: https://blog.dreamweb.rs/sta-je-phishing-i-kako-se-zastititi/
- Vodite računa o pristupnim parametrima
Vodite računa gde i kako čuvate lozinke. Za bezbedno upravljanje pristupnim lozinkama, pogledajte sledeći članak: https://blog.dreamweb.rs/vodic-za-bezbedno-upravljanje-lozinkama/
- Podesite 2FA (dvostepenu autentifikaciju) za cPanel
To će sprečiti neovlašćeni pristup, čak i ako Vam neko ukrade lozinku cPanel naloga. Pogledajte uputstvo: https://helpdesk.dreamweb.rs/sr/baza-znanja/article/cpanel-2fa-dvostepena-autentifikacija
- Angažujte stručno tehničko lice
Ukoliko nemate vremena ili dovoljno tehničkog znanja da brinete o svom sajtu, računaru i hosting nalogu, neophodno je da imate angažovano tehničko lice za održavanje uređaja i online servisa i brigu o njihovoj bezbednosti.
