Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


17.09.2019

PLNOG23 czyli sieci 5G,...

Największa polska konferencja telekomunikacyjna powraca do Krakowa! Wśród nowości ścieżka...
05.09.2019

Cloudya – nowa usługa NFON

Po ponad dekadzie ciągłego rozwoju technologii Cloudya, swobodna i niczym nie ograniczona...
02.09.2019

Na dużą skalę

Kaspersky Hybrid Cloud Security
02.09.2019

Bezpieczny brzeg sieci

Fortinet Secure SD-Branch
02.09.2019

Nowoczesne centra danych

AMD EPYC
30.08.2019

Dostęp do AI i ML

VMware Cloud Foundation
30.08.2019

Lekkość i moc

Toshiba Portégé A30-E
30.08.2019

Bez przestojów

APC Easy UPS On-Line
29.08.2019

Duże moce

Lenovo ThinkSystem SR635 i SR655

Ślady i skutki włamań do serwisów internetowych

Data publikacji: 08-01-2018 Autor: Paweł Frankowski
Ponieważ boty indeksują...

W drugim półroczu 2017 roku wzrosła liczba ataków na strony internetowe – jak podaje serwis SiteLock, średnio jest ich aż 63 dziennie. Dla porównania w ubiegłym roku wartość ta wynosiła jedynie 22. Co ciekawe, 69% zainfekowanych stron opartych na WordPress używało najnowszych dostępnych aktualizacji. Okazuje się, że głównym winowajcą były… zainstalowane wtyczki. Jak wspólnie podkreślają eksperci bezpieczeństwa, 20 lub więcej zainstalowanych w witrynie wtyczek powoduje, że jest ona ponad trzykrotnie bardziej zagrożona niż przeciętna strona internetowa.

Zapewne nieraz zastanawialiście się, z jakiego powodu hakerzy ingerują w zasoby (pliki, bazę) określonej witryny. Są tego dwie główne przyczyny. Pierwsza to taka, że strona lub sklep są słabo zabezpieczone, przez co stanowią dla włamywacza łatwy łup. Druga to chęć przeprowadzenia ataku celowego na konkretny, wybrany adres internetowy.

Wróćmy jednak do tytułowego problemu, czyli odpowiedzi na pytanie, jakie są typowe skutki włamań na strony i do sklepów internetowych. Czy zawsze jest to tylko czarny ekran z piracką flagą, jak przyzwyczaiły nas myśleć produkcje filmowe lub nagłówki gazet? Otóż nie, rzeczywistość jest jak zwykle znacznie bardziej skomplikowana. A samo zjawisko to nie jedynie fanaberia ekscentrycznych chuliganów, ale międzynarodowy biznes, który mimo penalizacji rozwija się, ewoluuje i bardzo dobrze prosperuje. Dlaczego? Odpowiedź wydaje się oczywista. Jak to zwykle bywa, chodzi o politykę, religię oraz pieniądze. Graczami są państwa, organizacje, firmy oraz pojedyncze osoby, a my właściciele i twórcy stron WWW, jesteśmy jedynie pionkami w tej rozgrywce.

> Jak rozpoznać włamanie

Skutki włamania mogą być od razu zauważalne lub pozornie niewidoczne. Złośliwe oprogramowanie może kryć się w wielu „zakamarkach” systemu i nawet eksperci miewają problemy z ustaleniem, czy strona została faktycznie zainfekowana. Czasami nie chodzi bowiem o działania destrukcyjne, a jedynie czasowe osłabienie reputacji określonej firmy.

Zdziwienie wielu osób może wzbudzić informacja, jak olbrzymi odsetek firm, urzędów, osób prywatnych żyje w błogiej nieświadomości tego, że zostały przełamane zabezpieczenia ich witryn czy sklepów online. Na ogół właściciel strony dowiaduje się o włamaniu ostatni. To najczęściej hakerzy, klienci, hostingodawca, a także często mechanizmy bezpieczeństwa Google’a odkrywają jako pierwsi dziwne zachowanie lub niedziałanie witryny i informują o tym jej właściciela.

> Widoczne ślady włamania

Ślady włamania to na ogół takie zmiany w wyglądzie, treści, a także zachowaniu strony, które mogą być zauważalne nawet dla osoby postronnej, ale głównie ujawniają się osobom zarządzającym serwisem. Do tej grupy zmian zależy zaliczyć:

 

  • Zmiana wizualna – witryna wygląda inaczej, niż została zaprojektowana, na przykład została podmieniona strona startowa, zaszły liczne zmiany w treści albo pojawiły się elementy obce (chociażby reklamy). Czasami trudno jest dostrzec tego typu zmiany, gdyż cyberprzestępcy starają się je maskować, np. stosując kolor czcionki identyczny z kolorem tła, umieszczając swoje obiekty na warstwie znajdującej się pod innym obiektem albo prezentując treść poza obszarem, który na ogół czytamy, np. na lewym marginesie wynoszący 1500 px;
  • Nieprawidłowe działanie lub całkowite niedziałanie strony – jego efektem może być całkowicie biała strona bądź CMS-owy komunikat o braku dostępu do bazy danych;
  • Informacja od firmy hostingowej – witryna nagle generuje bardzo duży ruch sieciowy, rozsyła setki wiadomości (spam) dziennie, obciąża serwer ponad ustalone limity;
  • Informacja od wyszukiwarek Google lub Bing – w przypadku wykrycia podejrzanego kodu na stronach dodanych za pomocą narzędzi Google dla webmasterów lub Bing Webmaster Tools system powiadamia e-mailem administratora o infekcji. Dotyczy to również sytuacji, kiedy kampania AdWords zostaje nagle zablokowana;
  • Powiadomienia od zapory – generowane przez wtyczki/komponenty typu firewall;
  • Przekierowywanie na inny adres – po wejściu na stronę główną lub podstronę następuje automatyczne (lub z opóźnieniem) przeniesienie do innej domeny, na ogół zawierającej reklamy bądź ofertę innych firm, także konkurencji;
  • Problem z zalogowaniem się do panelu administracyjnego CMS – mimo pewności, że wprowadzamy poprawny login i hasło, zalogowanie nie jest możliwe lub pojawiają się niespotykane wcześniej komunikaty;
  • Bardzo wolne ładowanie się strony – może wynikać m.in. z tego, że aktualnie trwa atak typu DoS lub DDoS, którego efektem jest sztuczny ruch, mający na celu zniechęcenie internautów do odwiedzania danej strony bądź sklepu;
  • Zablokowany dostęp – został on zablokowany przez program antywirusowy, który dodatkowo zgłasza wykrytą infekcję;
  • Czerwony ekran – zamiast strony głównej widzimy ekran z ostrzeżeniem, że strona, którą zamierzamy załadować, zawiera złośliwe oprogramowanie, wprowadza w błąd lub znajdują się na niej szkodliwe programy. Jest to na ogół mechanizm ochronny pochodzący z przeglądarki lub od wyszukiwarki Google;
  • Nowi administratorzy – w systemie CMS pojawiły się nieautoryzowane konta użytkowników o uprawnieniach redaktorskich lub administracyjnych;
  • Komunikaty o błędach – często zawieszają się wtyczki, komponenty i (lub) co chwilę pojawia się komunikat o błędzie; nie można skorzystać z wybranych wtyczek lub komponentów, a w szczególności z tych służących do zabezpieczania witryny.


> Niewidoczne ślady włamania

Niewidoczne ślady to oczywiście pewnego rodzaju uproszczenie, bowiem odpowiednia analiza dokonana przez eksperta od cyberbezpieczeństwa może ujawnić także te niewidoczne na pierwszy rzut oka ślady włamania. Atakującym stronę internetową, podobnie jak pasożytom, z reguły nie chodzi o zabicie swojego żywiciela, tylko żerowanie na nim, szczególnie jeśli jego celem jest „tylko”:

 

  • kradzież bazy danych, np. listy klientów sklepu, którą następnie może odsprzedać lub wykorzystać do innych celów. Czasami, w szczególności jeśli chodzi o dużych graczy, słyszy się, że ktoś oferuje lub wręcz opublikował publicznie listę użytkowników wraz z hasłami do kont z danego serwisu lub usługi internetowej;
  • umieszczenie w serwisie własnych reklam lub odnośników do innych stron, aby w ten sposób budować własne zaplecze SEO;


[...]

Autor książek, poradników oraz artykułów w magazynach branżowych. Z projektami internetowymi związany od 2003 r. Aktywny członek społeczności Joomla! Prelegent w wielu wydarzeniach związanych z CMS

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"