Il mio sito web è stato violato :: Cosa devo fare ora?

Pubblicato: 2014-12-11

Hacked Website

Allora, sei stato hackerato! Va bene, non sei solo qui; succede a molti proprietari di siti Web poiché i siti Web compromessi stanno diventando sempre più comuni. Recenti rapporti del settore indicano un fatto allarmante che oltre il 70% dei siti Web presenta difetti di sicurezza critici. Se non è successo in questo momento, potrebbe accadere nel prossimo futuro; oppure potresti avere hacker che visitano il tuo sito Web per trovare scappatoie per reprimerlo un giorno.

Pertanto, è essenziale che i webmaster prendano tutte le precauzioni possibili piuttosto che essere un frutto basso per gli hacker. Ma cosa succede se sei già stato hackerato? Leggi ulteriormente questo articolo per sapere come succede e quali azioni dovresti intraprendere per far funzionare di nuovo il tuo sito web.

Come faccio a sapere se vengo hackerato?

Non sono necessarie abilità speciali per determinare che sei stato violato. Navighi nel tuo sito web come ogni giorno e trovi il tuo sito web deturpato. O Il più comune è; quando il tuo sito web viene sostituito da una pagina con sfondo nero e ha un grande simbolo e un messaggio che dice "Hacked by some_group_name".

In molti casi, vieni reindirizzato ad alcuni siti Web spiacevoli come pagine Web di pornografia o prodotti farmaceutici. Se hai sperimentato una delle precedenti, è ovvio che sei stato violato. Alcuni hacker intelligenti non vogliono che tu sappia che il tuo sito web è stato violato. Non possono deturpare la tua pagina web con banner e loghi appariscenti. Preferiscono invece che tu non lo sapessi, quindi possono utilizzare il tuo sito Web il più a lungo possibile per portare a termine intenzioni dannose.

Al giorno d'oggi, gli hacker SEO black hat gestiscono campagne di spam per sostenere i negozi online che vendono "repliche" economiche di famosi marchi di lusso. Per lo più, il metodo rimane lo stesso, ma queste pagine doorway sono occasionalmente ottimizzate in base agli ultimi eventi e festival. vale a dire i collegamenti per Natale sarebbe qualcosa come "speciali di Natale a buon mercato louis Vuitton" .

In genere, tali collegamenti puntano alla home page del sito Web infetto. Questi siti Web compromessi potrebbero avere un blocco di link di spam nascosti nella parte inferiore del codice HTML come segue:

Website Doorway

Puoi anche cercare nel tuo sito web in Google o in Bing like;

sito:tuodominio.com qualsiasi parola di spam …….ie sito:miositoweb.com a buon mercato

Se il motore di ricerca elenca alcune pagine web insolite con link di spam, devi essere hackerato da alcuni parassiti. In questi casi, puoi scansionare il tuo sito web tramite Sucuri SiteCheck e Unmask Parasites.

Invece di discutere, facciamo un breve riassunto dei segnali che indicano che sei stato violato.

  • I browser indicano che il tuo sito web potrebbe essere compromesso.
  • La pagina predefinita del tuo sito Web viene sostituita da una pagina appariscente.
  • Il tuo sito web reindirizza ad alcune pagine web offensive.
  • I motori di ricerca ti informano che il tuo sito web ha contenuti dannosi.
  • Noti alcune pagine web strane o qualche codice insolito nel codice del sito web.
  • Se non riesci ad accedere alle aree amministrative anche utilizzando le credenziali di accesso corrette o ti ritrovi bloccato.

Quali potrebbero essere le possibili ragioni dietro questo hack?

Il sito Web può essere violato in molti modi. Di seguito sono riportati alcuni metodi comuni utilizzati dagli hacker per hackerare su Internet:

  • Indovinare password o ingegneria sociale
  • Indovinare il nome utente e la password forza bruta.
  • Prendi il controllo della dashboard di back-end in CMS come WordPress utilizzando iniezioni SQL.
  • Iniettare malware nel computer locale per acquisire le credenziali di accesso.
  • Trovare una vulnerabilità di sicurezza in un software specifico, aggiornarlo, plugin, tema e sfruttarlo.
  • Iniettare le shell attraverso pagine di caricamento non sicure nel server web per ottenere il controllo dell'intero server.
  • Hacking del sito Web di qualcun altro che risiede sullo stesso server condiviso che stai utilizzando per il tuo sito Web.

Quali azioni intraprendere dopo essere stati hackerati?

Scansiona il tuo computer locale alla ricerca di virus e malware

Per trovare il colpevole, inizia con il tuo sistema locale. È possibile che la fonte dell'infezione inizi nel tuo computer locale. Pertanto, installa un buon antivirus ed esegui una scansione completa per assicurarti che il tuo sistema locale non sia infetto da malware, spyware, Trojan, ecc. Prima di eseguire la scansione completa, assicurati che il tuo software antivirus sia aggiornato con le ultime definizioni. Per Windows, consigliamo Microsoft Security Essentials in quanto fornisce protezione in tempo reale contro le minacce più recenti.

Modifica tutte le password

Modificare le password per tutti gli utenti e tutti gli account, ad esempio accesso FTP, account del pannello di controllo, account amministratore, account di creazione del sistema di gestione dei contenuti. Controlla l'elenco degli account utente del tuo sito Web e assicurati che l'hacker non abbia creato alcun nuovo account utente. Se hai trovato account sconosciuti, annotali per indagini successive. Quindi elimina immediatamente questi account per impedire accessi futuri da parte dell'hacker.

Porta offline il tuo sito web

Quando sei già stato violato, impedisci al tuo sito Web di infettare altri e impedire agli hacker di abusare ulteriormente del sistema. Non appena vieni a sapere di essere stato violato, metti immediatamente offline il tuo sito web. Eseguire il backup dei file del sito Web infetto e dei database MySQL rinominare la cartella come backup compromesso. Pertanto, puoi esaminarli in un secondo momento a tuo piacimento o ripristinarli se il tuo tentativo di pulizia fallisce.

Contatta immediatamente il tuo host web

Se stai utilizzando un host condiviso, contatta il tuo host web per determinare se questo hack ha interessato altri siti web nello stesso server. Chiedi loro se hanno una buona copia del backup del database e dei file del sito Web. Se hanno il tuo backup, chiedi loro di proteggerlo prima che venga sovrascritto. Se hai un backup pulito dei tuoi file nel tuo sistema locale, prendi in considerazione il ripristino da questo backup.

Pulizia dei contenuti Web e indagine sui post hacking

Ora apri la cartella di backup precedentemente compromessa per l'analisi post hack. In primo luogo, rivedi le cartelle del contenuto Web, i file e l'ora di modifica. Preparare l'elenco delle cartelle/file modificati di recente e controllare se nella cartella modificata è stato inserito un nuovo file ed esatte quale modifica è stata eseguita nei file modificati.

Se vedi un codice dannoso inserito nei file o qualsiasi file che non appartiene al tuo sito web, rimuovilo/riparalo. È inoltre possibile eseguire la scansione completa dei file Web tramite un software antivirus/malware aggiornato. Ripara o metti in quarantena il tuo codice, se possibile, o considera il ripristino dalla buona copia di backup disponibile.

Prendere nota del timestamp in cui questi file sono stati sfruttati. Ti aiuterà a restringere l'esercizio di ricerca nel registro. Lo scavo dei registri è un'indagine primaria per qualsiasi incidente di hacking, ma richiede l'accesso amministrativo. Se si dispone dell'accesso amministrativo al sistema, è possibile controllare il visualizzatore eventi (Windows) o qualsiasi registro pertinente per ulteriori indagini. Cerca tentativi di accesso non riusciti di autorizzazione ripetuta o registri FTP da indirizzi IP sconosciuti.

Se avessi una pagina di caricamento nel tuo sito Web senza alcuna convalida del file e captcha, questo potrebbe essere il colpevole. Controlla il tuo percorso di caricamento se vi sono inseriti script di shell o codice dannoso. Verifica l'elenco degli account utente, se hai trovato un account sconosciuto, disabilitalo immediatamente e cerca le sue attività recenti nei log.

Controlla il tuo file .htaccess, i file di indice o qualsiasi pagina predefinita aggiuntiva per assicurarti che non ci siano reindirizzamenti dannosi o codice di cattiva intenzione. Se stai utilizzando un blog WordPress, controlla la directory wp-content/themes targeting index.php, header.php, footer.php e functions.php.

I motivi più comuni alla base degli hack sono una codifica scadente, script, plug-in, temi, pagine di caricamento non sicure e obsoleti e non sicuri. Pertanto, per evitare che accada di nuovo, è necessario affrontare tutti questi possibili colpevoli.

Conclusione

Esistono numerosi modi di essere hackerati e tecniche di indagine; l'elenco sopra è proprio come la punta dell'iceberg. Il passaggio principale da compiere in qualsiasi evento di hacking è contattare il provider di hosting. Di solito, occupano la posizione migliore per svolgere la maggior parte del lavoro tecnico pesante per te. Ottenere un sito Web violato non è divertente, quindi mantieni la calma e l'intimità del team di supporto per farlo funzionare il prima possibile.