Otklanjanje posledica hakovanja sajta i čišćenje sajta od malware koda.Goran - Javascript developer.

Nazad

Čisćenje sajta i otklanjanje posledica posle hakovanja

Goran Ilić

Javascript developer

Kako prepoznati da je vaš sajt hakovan?

hakovan sajt

Dakle,primetili ste da vašeg sajta više nema u pretrazi(1) ili primećujete da ranking vaših stranica rapidno pada u pretrazi(guglovom SERP-u)(2),u ova dva slučaja velike su šanse da je vaš sajt hakovan. Ako je u pitanju prvi slučaj idite u google search console i u meniju levo proverite u Bezbednost i ručne radnje da li je vaš sajt markiran od strane gugla kao malware sajt,jer ako ste hakovani i gugl to prepozna jer niste na vreme primetili da se to desilo gugl vas je smestio na google blacklist.To je svakako teži slucaj za resavanje i zahteva korake o kojima ćemo govoriti u daljem delu ovog posta.

U drugom slučaju ako stalno ne proveravate zdravlje vašeg sajta i ne ulazite često u google search console i vaš C panel teško ćete primetiti da ste hakovani,jedini parametar koji vam može ukazati da ste potencijalno hakovani je pad vaših upita(stranica) u gugl pretrazi(SERP-u).U nekoj boljoj varijanti ako dosta često ulazite u google search console i proveravate stanje vaših stranica i zdravlje vašeg sajta primetićete čudna dešavanja u delu stranice u meniju levo,ono sto ćete tamo videti u slučaju da ste hakovani ali vas gugl još nije stavio na blacklist je rapidan porast broja vaših indeksiranih i neindeksraniranih stranica(a vi niste ništa novo dodavali na vaš sajt).Hakeri su znali nalepiti na domen i do milion spam stranica,možete samo zamisliti kako gugl i njegovi crawler-i gleda na ovako zaražen sajt.U tim slučajevima proces oporavka je veoma dug i zahteva niz koraka da se olakša guglu da uklanja spam stranice.

Šta činiti ako ste primetili da je vaš sajt hakovan?

frustriran covek

Prvi savet,NE PANIČITE kao čovek sa slike iznad,dnevno se na globalnom nivou hakuje oko 30 hiljada sajtova pisanih u raznim tehnologijama od kojih su najranjiviji takozvani CMS sajtovi(Wordpress,Jomla itd).Ono što vas čeka u daljim koracima koje trebate preduzeti je prilično ozbiljan posao koji traje.Sledeći koraci u mnogome zavise od vrste hakovanja koju je vaš sajt doživeo.

2 najzastupljenije vrste hakovanja sajtova

Da bi ovaj post bio razumljiv širokim narodnim masama a ne samo programerima koji razumeju sve stručne izraze iz IT sveta pokušaću ovde da maksimalno uprostim stvari i da govorim razumljivim jezikom da bi me i običan korisnik web usluga razumeo.Prva vrsta hakovanja koju možete doživeti je hakovanje kroz vaš sajt ili aplikaciju(1).Haker pronalazi slabe tačke na vašem sajtu zbog zanemarivanja bezbednosti sajta i slabe validacije i sanitizacije podataka i probija se u vaš sajt i piše svoj malware kod koji će emitovati njegove spam stranice na vašem domenu.

Druga vrsta hakovanja je kada haker uspe da se dočepa vaseg C panel passworda i osvoji vaš C panel u potpunosti.Ovo je teži slučaj jer haker ima totalni pristup kompletnom vašem kodu,vašem imejlu u C panelu i svim mogućim podešavanjima.Posledice su nešto manje što se tiče podešavanja servera ako ste na takozvanom deljenom(shared) hostingu,a ako je server samo za vaš sajt(VPS) to dozvoljava hakeru da pravi bilo kakve promene u podesavanjima vašeg Apache ili Nginx servera.Hipotetički govoreći on to može da radi na vašem shared hostingu kroz .htaccess fajl ali iz ugla gledanja hakera to ima daleko manje smisla jer je lako za primetiti kada se sajt čisti od malware koda.U ovoj varijanti hakovanja vašeg sajta vrlo je važno da proverite sve email -ove vašeg C panela jer ih hakeri obično koriste za slanje spam imejlova kroz web.

Čisćenje i oporavak sajta posle hakovanja(1)

Ove preporuke kao što sam naslovio u podnaslovu se odnose na sajtove koji su doziveli napad kroz sajt ili aplikaciju(Cross Site Scripting (XSS)).

Prvi korak koji trebate preduzeti u ovoj varijanti napada je da u potpunosti očistite vaš sajt od malware koda.To mozete raditi na dva načina,skinete backup varijantu vašeg sajta i to radite u lokalu ili kod sajta od malware-a možete čistiti direktno u C panelu.C paneli se razlikuju a ja ću vam na slici ispod pokazati gde u mojem modelu C panela mozete "skinuti" backup vašeg sajta.Kliknete Backup kao na slici i onda birate Download a Home Directory Backup.Posle samo izdvojite public_html i čišćenje od malware-a radite u lokalu.

c panel

Pažljivo pregledajte svaki folder jer nikada ne znate gde je tačno haker smestio svoj malware kod(obično su to php fajlovi ili fajl).Morate biti jako detaljni u pregledu ne samo foldera već i fajlova jer jedna sitnica dodata na vaše stranice kao što su npr duplo dodati navodnici na nekom meta tagu mogu veoma loše uticati na to kako gugl gleda na vaš sajt.Ovde ću morati da citiram portparola google-a John Mueller-a koji na twitter-u u svom tweet-u na ovu temu kaže - Ljudi misle da su očistili svoj sajt od hakovanja a zapravo nisu.Zato prilikom čišćenja koda posle hakovanja morate pregledati ama baš sve pa i najmanju sitnicu jer se hakeri sluze raznim sitnim podvalama koje je jako teško primetiti odmah.

Kada ste završili sa čišćenjem malware koda,ako ste bili na google blacklist pošaljite google-u zahtev za pregled sajta i sklanjanje sa crne liste..Zahtev za pregled šaljete u delu bezbednost i ručne radnje u google search console.

Sledeci jako bitan korak je uklanjanje indeksiranih spam stranica iz google pretrage(SERP-a).Idite u vašu google search console i u meniju levo birajte deo uklanjanja.U novom prozoru otvorite novi google search console i birajte deo stranice,tu ćete moći da vidite spam stranice pored vaših regularnih stranica i da ih kopirate po potrebi za uklanjanje.Važno je napomenuti da deo konzole koji se zove uklanjanja zapravo ne radi na principu stalnog uklanjanja ,već radi na principu privremenog uklanjanja na 6 meseci.Uklanjanje spam stranica pratite kroz izveštaj stranice dela koji se apdejtuje na 3-10 dana.Tu mozete videti da li je broj spam stranica u opadanju.Ako ste ispravno postavili logiku broj spam stranica će opadati.

Proces uklanjanja zna biti spor jer google neke stranice veoma retko obilazi(jednom u 3 meseca).

removal tool

Tekst slike je na Srpskom jeziku ali je isto na Engleskom jeziku.Kliknete dugme nov zahtev i radite dalje. Ako imate sreću haker je konstruisaio spam URL-ove kao stranice koje se emituju iz nekog foldera,primer http://example.com/spam/somepage.php pa ćete moći da u jednom potezu posaljete zahtev za privremeno uklanjanje iz pretrage svih stranica iz tog foldera,a ako nemate sreće spam stranice bi mogle imati ovakvu konfiguraciju,primer - http://hvalasestro.in.rs/?/5press/share_info.php?repmd.U ovom drugom slucaju google ne prepoznaje "?" deo URL-a kao folder pa ćete takve stranice morati privremeno uklanjati jednu po jednu, što zna biti pravi pakao ako vam je haker zalepio hiljade spam stranica koje je google već indeksirao.To ćete morati uraditi ručno ili napisati logiku u .htaccess fajlu da google čita te stranice kao 410 pri sledećim popisivanjima i polako ih izbacuje iz pretrage(čisti).U slučaju da spam URL-ovi nemaju folder kao na primeru iznad preporučujem vam da koristite .htaccess fajl i napišete logiku u njemu da se te spam stranice čitaju od strane gugla kao 410(gone).

Ako ste uspešno očistili sav malware iz svojih foldera i fajlova vreme je da predjete na sledeći korak koji bih ja nazvao oporavak sajta posle hakovanja.Idite u vaš google search console i otvorite deo stranice(sada se tako zove posle velikog update-a u avgustu 2022) i tu ćete pronaći kompletan izveštaj o svim stranicama,vašim ali i spam stranicama koje je google indeksirao ili jos nije.Ono što vas treba zanimati zapravo nisu vaše zdrave stranice već sama struktura URL-ova spam stranica koje je ubrizgao haker u vaš sajt.Pregledajte dobro strukturu njegovih URL-ova i ako ima bitne razlike u konstrukciji njegovih URL u odnosu na vaše zdrave iskoristite to kao prednost u oporavku vašeg sajta.

Kako?I šta je vaš tačan zadatak ovde?Napravite .htaccess fajl u root direktorijumu vašeg sajta i napravite instrukcije za redirekcije spam stranica,da ih google vidi ne kao 404(not found) već kao 410(gone),napravite uslov za redirekciju na bazi razlike izmedju konstrukcije vaših zdravih URL-ova i hakerovih spam URL-ova.Neka razlika uvek mora postojati u njima i isoristite to kao vašu prednost.Zasto 410 a ne 404? 410 govori google-u da je stranica otisla i da se više neće vraćati dok 404 govori google-u da stranica nije pronadjena što gugl može tumačiti i da privremeno nije pronadjena što usporava oporavak vašeg sajta i uklanjanje spam stranica od strane google-a.U zavisnosti od broja spam stranica je i trajanje čišćenja istih od strane google-a ukoliko ispravno pstavite pravila u .htaccess fajlu.Kada napišete pravilo u .htaccess testirajte taj URL i u browseru i u google search console.U google search console kada testirate spam URL ako ste ispravno postavili redirekciju dobicete izvestaj kao na slici ispod(da google ne moze da indeksira tu stranicu).

google search console

Kada testirate taj isti URL u browser-u trebali bi ste dobiti 410 rezultat kao na slici ispod ukoliko ste ispravno postavili redirekciju.

410 error

Što se tiče pisanja pravila za redirekcije i prepisivanja u .htaccess fajlu jedini prijatelj će vam biti guglova pretraga i Stack Overflow sajt. Budite veoma oprezni u korišćenju .htaccess fajla jer vam nepravilno korišćenje može napraviti štetu a ne korist.

VAŽNO!Hakeri se obično služe tehnikom zvanom cloacking za lepljenje hiljada stranica i njihovo emitovanje ka vašem sajtu.Oni linkuju vaš sajt sa drugog sajta koji su takođe hakovali i takav link je poznat po imenu toxic backlink.Ako takav link ka vašem sajtu postoji morate ga pronaći u vašoj google search console u delu veze u meniju sa leve strane.Otvorite sve dolazeće linkove ka vašem sajtu i pažljivo gledajte da pronađete taj toxic backlink.Kako ćete ga prepoznati?Svaki haker ima svoj stil hakovanja i pravljenja URL-ova i u 99% slučajeva on će izgledati veoma slično kao vaši spam URL-ovi.Kada ga pronađete napravite običan .txt fajl i kopirajte taj link i sačuuvajte fajl.Onda ga se morate odreći.Kako?Idite u google console za odricanje od linkova OVDE zatim odaberite vrstu proizvoda,primer https://vaš-sajt.com i zatim posaljite gore navedeni .txt fajl za odricanje.Ovo radite samo u krajnjoj nuždi ako ne možete da kontaktirate vlasnika sajta koji je takođe hakovan a sa njegovog sajta dolazi toxic link ka vašem sajtu da ga on ukloni, jer google ne preporučuje korišćenje ovog alata osim kada se to mora učiniti.

Čisćenje i oporavak sajta posle hakovanja(2)

Za drugu vrstu hakovanja gde vam je komprommitovan C panel važi sve što je već rečeno za prvu vrstu sa dodatkom da morate detaljno pregledati i vaš imejl C panela dali ga je haker preuzeo i sa njega šalje spam mailove širom web-a a bandwith u vašem C panelu raste i zauzetost diska a vi ne znate zašto.Ako utvrdite da je haker preuzeo vaš imejl u C panelu ako ga ne koristite najbolja opcija vam je da ga obrišete skroz,a ako ga koristite obrišite sve spam mailove i promenite password tog emaila.Takodje često menjajte i password C panela.

Saveti za bezbednost vašeg sajta protiv hakovanja

Naš narod ima lepu izreku koja kaže - Bolje sprečiti nego lečiti.Često menjajte password vašeg C panela i uključite dvostruku autentifikaciju(2FA).Ako ste vlasnik Wordpress sajta pratite sve update-se i apdejtujte redovno sve plugin-ove.Ako ste programer pišite dobru validaciju i sanitizaciju podataka i na frontend i na backend strani vašeg sajta ili aplikacije.Pored svih bezbednosnih mera ako je haker vrhunski samo je pitanje da li smo mu toliko interesantni da potroši nedelje na naš sajt što verovatno mi obični ljudi nismo.Idealna zaštita od hakovanja ne postoji ali uvek moramo učiniti ono što možemo da hakerima što više otežamo posao.

Ako se setim još nečega šta sam propustio apdejtovaću ovaj post,nadam se vašem razumevanju jer je ova tema zaista jako široka.

Hvala na poseti.