Moj sajt je hakovan IFRAME hackom

Problem:

index.* fajlovi u folderima na Vašem hosting nalogu sadrže linije koda koje neovlašceno usmeravaju/linkuju ka drugim sajtovima. (dobili ste mail/obavještenje od Google Search Quality Team: Malware notification regarding VasDomen.com).

Najčešci razlog za IFRAME hack je postojanje "webmaster worm" virusa na Vašem računaru.

Predlažemo sledece korake za rešenje problema:

Najvažniji korak bez koga je svaka dalja radnja uzaludna: Uklonite virus(e) sa Vašeg računara

  1. Izmenite sve lozinke sa računara koji nije inficiran/zaražen virusim
  2. Napravite backup MySQL baza podataka sa Vašeg hostinga (Plesk, phpMyAdmin)
  3. Backap-ujte (ukoliko postoji potreba) "images" i slične fajlove i dokumente, ali ne i *.php fajlove
  4. Opciono, (nakon što napravite backup) putem Ticketa nam pošaljite zahtev da resetujemo Vaš hosting nalog
  5. Ponovo instalirajte forume, cms-e, i slične sadržaje
  6. Importujte MySQL baze podataka iz backup-a (Plesk, phpMyAdmin, import)
  7. Ponovo na server podignite 'images' i druge backup fajlove u odgovarajuce foldere


"Malicious code" najčešce generiše neka skripta (uploadovana u nekom obliku), a kao rezultat ima pokretanje skripte koje daje štetne aktivnosti.

Proverite:

  1. Da li je lozinka izmenjena sa neinficiranog računara.
  2. Nijedan shell pristup ne smije biti postavljen na hosting nalog od strane napadača jer bi im omogucio povratak na sajt, iako je izmenjena FTP lozinka.
  3. Uverite se da svaki fajl koji dozvoljava input od strane korisnika (npr. online formulari) koristi validnu pouzdanu neinficiranu metodu koja sprječava umetanje (injection).

Na primer, ukoliko trenutno koristite:

Code:
$email = $_GET['mail']
(Gde je GET ili GET za querystrings, ili POST za post method string)

Promenite u:
Code:
$email = $_GET['mail']; $email = addslashes(htmlentities($email, ENT_QUOTES));

Pored navedenog, upotrebljavajte mysql_real_escape_string ukoliko koristite MySQL.

Najpouzdaniji način rešenja problema opisanog pod stavkom 2 je da obrišete sve fajlove sa hosting naloga, a zatim sa računara koji nije inficiran postavite čistu kopiju sajta (podrazumijeva se da je imate).
Ukoliko ponovo koristite inficiran računar, sve što napadač treba da uradi jeste da sačeka da se ponovo povežete na site preko FTP-a i ponovo ukrade lozinku.


Pored navedenog, sistemska lozinka (plesk, ftp, mysql) treba sadržati alfanumeričke znake kombinirane sa specijalnim karakterima, pri čemu treba izbegavati reči koje "imaju smisla" (stavite recimo "m$98-hst-kjh$KJ" umesto "mojahostinglozinka"). "Password cracker" ce mnogo lakše razbiti lozinku koja sadrži potpune riječi.

Izbegavajte bilo kakav oblik ostavljanja mogucnosti uploada fajlova posetiocima sajta, bez tzv. unošenja captcha koda, i/ili limitiranja ekstenzija fajlova na npr. jpg, doc, png, ... Nikako .cgi ili slično.


Napomena:
 
Google može označiti neke stranice kao zaražene "malware-om" iako su oni čisti, jer nakon nekoliko hakerskih napada "search engine" ih počne tako tretirati, prikazujuci upozorenje.

Dakle, ukoliko je Vaš sajt označen kao "malicious", a Vi ste nakon detaljne provere sigurni 100% da je sajt čist, tek tada kontaktirajte StopBadware (kliknite dugme "Why was this site blocked?" na stranici upozorenja i sledite uputstva) kako bi se sajt vratio na Google index i skinulo upozorenje.

Analiza zahteva za skidanjem Google upozorenja, provera i povratak na Google index, obično traju par dana do par nedelja. Ukoliko Vam se sajt i nakon nekoliko nedelja nalazi u istom statusu (od strane Googl-a), obratite se našoj tehničkoj podršci otvaranjem tiketa za podršku.

  • 5 smatraju ovaj tekst korisnim
Da li Vam je ovaj odgovor pomogao?

Related Articles

Š ta je hosting ?

Generalni, uopšteni odgovor na ovo pitanje bi bio - to je mesto gde se nalazi Vaš vebsajt. To...