fbpx
ניהול אתרים, תחזוקת אתרים

ניקוי אתר פרוץ מקוד זדוני – מה התהליך לניקוי אתר שנפרץ מקוד זדוני?

Posted on by ישראל בוכוולד

כאשר מזהים שיש קוד זדוני באתר, יש עניין מסוים של דחיפות בניקוי הקוד. ברוב המקרים לא ניתן להמשיך לפרסם בגוגל ובפייסבוק כמו כן במקרים חמורים יותר הלקוחות אף מופנים לאתרים חיצוניים וגורמים לפגיעה בחוויית המשתמש ובתדמית של המותג. במקרים חריפים בהם הפגיעה מתמשכת, האתר מסומן ונפגע אורגנית למשך תקופות ארוכות במיוחד!

תוכן עניינים: הצג

ניקוי אתר פרוץ מקוד זדוני

כאשר אתר נפרץ, זה לצערנו רוחבי. זה כמעט אף פעם לא מתרכז בקובץ בודד. הפריצות ברובן נעשות כאשר מנהלי האתר לא תחזקו נכון את המערכת ולא עדכנו גרסאות אבטחה בעת יציאתם לאוויר. לכן, אנחנו כמעט תמיד ממליצים לבצע מהלך סריקה מדורג הכולל מספר שלבים חיוניים:

יש לך שאלה? התייעצ/י איתנו, נשמח לעזור!

    1. יישור קו – לסגירת פרצות האבטחה דרכן הפורץ נכנס מלכתחילה.
    2. שיפור אבטחה – הוספת רבדי אבטחה חדשים לזיהוי פרצות אבטחה.
    3. סריקה ראשונית – זיהוי קוד והסרתו בסריקה רוחבית (לא מזהה הכל).
    4. סריקת מורחבת – זיהוי קוד והסרתו בסריקה ממוקדת (לפי טיב פריצה).
    5. סריקה אנושית – מעבר על קבצי קוד לפי היררכיה בעין אנושית.
    6. צמצום נזקים – ניקוי ונטרול תוצאות לוואי של הפריצה לאתר.
    7. מסירת אתר נקי חזרה ללקוח.

    להלן הסבר מעט יותר מורחב על השלבים מעלה,

    יישור קו לתקינות האתר

    הדבר הראשון שחייבים לעשות, לנטרל סיכונים נוספים. עלינו לבצע יישור קו כולל באתר. במילים אחרות, עלינו לדאוג שהאתר עומד בסטנדרטים הגבוהים ביותר:

    • עדכון מערכת האתר – לוודא שמדובר בגרסה האחרונה של המערכת.
    • עדכון עיצוב האתר – לוודא שמדובר בגרסה האחרונה של תבנית העיצוב.
    • עדכון תוספי האתר – לוודא שכל התוספים באתר מעודכנים ומתוחזקים.

    רק בשלב בו הכל עדכני והכל על פניו עובד כמו שצריך שניתן לעבור לשלב הבא בתהליך.

    שיפור האבטחה באתר האינטרנט

    האתר אמנם נפרץ רוב הסיכויים בגלל תוסף לא תקני או בגלל שהמערכת לא תוחזקה כראוי. אבל גם אז אנחנו לא מצפים להיות מותקים סתם כך. אנחנו רוצים להבטיח שגם אם נפספס פה ושם עדיין נוכל ליהנות משקט נפשי ורוגע. לכן נתקין כלי זיהוי, ניטור ובקרת אבטחה לאתר.

    שיפור האבטחה באתר האינטרנט יכלול לרוב הוספת פיירוול, הוספת CDN, הוספת אימות דו שלבי, שינוי כתובת ההתחברות לפאנל ניהול ומגוון פעולות נוספות שמרחיקות את התוקף עוד טיפה מנקודת הפריצה.

    סריקה ראשונית לזיהוי פרצות באתר

    בשלב הראשון נבצע סריקה מהירה. סריקה זו מחפשת ומאתרת קבצים שמופיעים בספריות מוכרות אך אינם אמורות להיות שם. אם לדוגמה יש קובץ בספריית האם של המערכת אך קובץ זה אינו מוכר מתוספי המערכת ואו אינו מוכר מליבת המערכת, המערכת תתריע כדי שנוכל לבדוק זאת.

    מעבר לכך, הסריקה הראשונית אמורה לזהות האם יש שינויים בקבצים מוכרים אשר עלולים להעיד על מקור הפריצה. לדוגמה, מבנה קוד חריג שאינו מתאים למבנה האתר ואו קריאות למקורות חיצוניות ואו למסד הנתונים – דברים שלא אמורים להיות באתר סטנדרטי.

    סריקה מורחבת לזיהוי קודים זדוניים

    יש לא מעט מקרים בהם אנו מזהים רק חלק מהפריצה בסריקה הראשונית. כך לדוגמה, לפעמים אנחנו מקבלים התראה מגוגל שיש קוד זדוני באתר אך סורקים וסורקים ולא מוצאים..

    במקרים אלו לרוב מדובר בתוסף שמושך את הפריצה ממקור חיצוני (סורק קוד לא יזהה) ואו שמקור הפריצה מחלון שהוטמע בצורה ידנית בתוכן האתר (iframe) ובעצם משפיע על הנראות של האתר למרות שהאתר עצמו לא בהכרח נפרץ בפועל אלא דווקא האתר החיצוני הוא זה שנפרץ ומשפיע גם עלינו..

    סריקה אנושית בחיפוש אחר קוד זדוני

    יש מקרים סופר-חריגים בהם אף סריקה לא עולה על מקור הפריצה לאתר. במקרים אלו אנו הולכים רחוק יותר וסורקים באופן היררכי את השרת עוד בספריות מחוץ לאתר עצמו. כלומר, אנחנו מתחילים את הסריקה האנושית במעבר על הקוד קובץ קובץ כבר בספריית הROOT של השרת.

    בלא מעט מקרים דווקא בספריות חיצוניות נמצא את אותו קישור שמבצע הפניה של האתר למקורות חיצוניים ואו את הקוד שמאפשר לתוקף לחזור למערכת פעם אחר פעם.

    צמצום נזקי פריצה לאתר האינטרנט

    אם מתקנים אתר שנפרץ מהר, הנזק מידתי ועובר די מהר. מצד שני, אם עבר זמן, מנועי החיפוש זיהו את האתר כגורם בעל סיכון למשתמשים, הרי שעצם הניקוי אינו מתקן את הנזק שכבר נוצר!

    לפעמים עלינו לחפש במערכת עמודים שנוצרו (לפעמים וירטואלי, רק גוגל רואה..) ונשארו גם לאחר ניקוי האתר והחזרתו לפעילות תקינה. במקרים אלו אנו יוצרים קשר עם גוגל בצורות שונות ומבצעים פעולות נרחבות נוספות כדי לצמצם את הנזק.

    לסיכום,

    הכל פריץ. הכל בר תיקון. אבל לזמן יש ערך משמעותי במקרים אלו. אם נפרץ לכם האתר, מומלץ לא למשוך זמן ולתקן בזמן אמת כדי לצמצם את מידת הנזק ככל שניתן!

    ישראל בוכוולד

    ישראל בוכוולד הנו מנהל אתרים עם עשרות שנות ניסיון. ישראל הנו מנכ"ל חברת WEmanage. ישראל אבא גאה ל-2 ילדים (לבנתיים) ורואה בעצמו אדם עם לב טוב ואשר רוצה בטובתו של הזולת. חוץ מזה, ישראל שומר על פרטיותו ונהנה מאנונימיות בריאה :)

    התייעץ איתנו חינם!
    1
    צריך עזרה?
    שלום,
    איך אפשר לעזור לך היום?
    לחצ/י להתייעצות חינם! דילוג לתוכן