Odratowanie zaatakowanej strony internetowej, która posłużyła do wyłudzania danych

Zainfekowana strona internetowa

W tym przypadku, problem dotyczył bardzo rozbudowanej strony internetowej, która co prawda nie jest oparta o żaden znany system zarządzania treścią, ale została zbudowana na bazie wielu framework'ów i bibliotek.

Administrator strony zgłosił się do Robofix w momencie gdy otrzymał od Google informację, że jego strona została zablokowana, ponieważ prawdopodobnie została zainfekowana i zawiera malware. Właściciel witryny już wcześniej otrzymał sporą ilość niepokojących informacji, związanych z rzekomym wyłudzaniem danych za pośrednictwem jego strony internetowej, ale wówczas nie zareagował. Okazało się, że przypadkowi użytkownicy internetu, otrzymywali maile wysyłane za pośrednictwem serwera, na którym działa przedmiotowa witryna. Wiadomości te zawierały odnośnik, którego częścią składową był adres domeny zaatakowanej strony. Link prowadził do przygotowanej przez hakera strony, która miała na celu wyłudzenie poufnych danych. Okazało się, że ta niebezpieczna strona, również została umieszczona przez atakującego na tym zhakowanym serwerze. Został na nim również umieszczony plik, który służył do rozsyłania w/w maili, przy wykorzystaniu jednej z przestarzałych bibliotek, w oparciu o którą działała witryna.

Ponieważ prowadzony przez hakera proceder trwał już od dłuższego czasu, adres strony został wciągnięty na czarne listy, m.in. związane z oprogramowaniem antywirusowym. I tak oprócz blokady strony przez przeglądarki Chrome i Firefox, nie mogły jej też otworzyć osoby korzystające z innych przeglądarek, które jednocześnie były użytkownikami programów antywirusowych firm Norton (Symantec) oraz Bitdefender.

Po uzyskaniu dostępu do zasobów strony, niezwłocznie zostały podjęte działania prowadzące do wykrycia wszystkich plików umieszczonych przez hakera oraz tych, które zostały przez niego zmodyfikowane. Po usunięciu kilkudziesięciu plików, które nigdy nie były częścią witryny, zmodyfikowane pliki zostały poddane edycji, w wyniku której usunięto z nich złośliwy kod. Następnie wszystkie frameworki i biblioteki, których używa strona, zostały zaktualizowane do najnowszych wersji. Przeprowadzony został również audyt uprawnień do katalogów i plików, który nie wykazał żadnych uchybień. W kolejnym kroku, dogłębnej analizie została poddana baza danych, która również nie wykazała żadnych odchyleń od normy. Na koniec wszystkie hasła dostępowe związane ze stroną zostały zmienione.

Po całkowitym oczyszczeniu i zabezpieczeniu strony, przeprowadzony został proces informowania podmiotów blokujących stronę, o poczynionych działaniach. Jednocześnie zostały przesłane prośby o usunięcie adresu strony z czarnych list. 

Ponieważ przedmiotowa witryna umożliwiała użytkownikom przesyłanie różnego typu danych za jej pośrednictwem, jej właściciel zwrócił się do nas również o pomoc w instalacji certyfikatu SSL, w celu dodatkowego zabezpieczenia.

Wszystkie podjęte działania zakończyły się powodzeniem, strona została oczyszczona, zabezpieczona i odblokowana dla użytkowników.

Oto w czym mogę Ci pomóc:

Usuwanie szkodliwego oprogramowania ze strony internetowej opartej o na CMS WodPress, Joomla, Drupal i innych.
Przeniesienie strony internetowej na korzystniejszy tj. wydajniejszy i tańszy hosting. Przejście witryny pod inną domenę.
Aktualizacja rdzeni, modułów, rozszerzeń systemów zarządzania treścią Drupal, Wordpress, Joomla i innych CMS.
Wykonanie kopii bezpieczeństwa strony internetowej (pełna struktura plików, katalogów oraz bazy danych) oraz jej archiwizacja.
Działania mające na celu zapewnienie ochrony strony internetowej przed wirusami i atakami hakerskimi.
Dostosowanie strony internetowej do poprawnego wyświetlania na różnych urządzeniach.
Wykonanie napraw stron internetowych opartych na CMS oraz poprawek poprawiających jej estetykę lub funkcjonalność.
Szkolenia i pomoc w obsłudze systemów zarządzania treścią Joomla, Wordpress, Drupal i innych.
Przyspieszenie działania strony internetowej opartej na CMS Drupal, WordPress oraz Joomla, w celu zwiększenia liczby odwiedzin.
Przywracanie / resetowanie haseł dostępu, niezbędnych do pełnej kontroli stron internetowych opartych na CMS.
Projektowanie logo dla stron internetowych, wizytówek, folderów, banerów itp.

Copyright © robofix.eu