Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


10.06.2019

Inteligentne zarządzanie...

W dniach 11, 12 i 13 czerwca – odpowiednio – w Gdańsku, w Warszawie i w Katowicach,...
27.05.2019

Rozwiązania na platformie GCP

Citrix SD-WAN i Citrix ADC
27.05.2019

Chmura hybrydowa

Dell Technologies Cloud
27.05.2019

Uproszczona komunikacja

Cisco Webex
24.05.2019

Konferencja IT Manager of...

W dniach 12–14 czerwca w Sopocie odbędzie się konferencja IT Manager of Tomorrow 2019. To...
24.05.2019

Ochrona sieci

Fortinet FortiOS 6.2
24.05.2019

Mniejsza złożoność

Rittal VX25 Ri4Power
24.05.2019

All-in-one NAS

QNAP TDS-16489U R2
24.05.2019

Układy SoC

AMD Ryzen Embedded R1000

Ślady i skutki włamań do serwisów internetowych

Data publikacji: 08-01-2018 Autor: Paweł Frankowski
Ponieważ boty indeksują...

W drugim półroczu 2017 roku wzrosła liczba ataków na strony internetowe – jak podaje serwis SiteLock, średnio jest ich aż 63 dziennie. Dla porównania w ubiegłym roku wartość ta wynosiła jedynie 22. Co ciekawe, 69% zainfekowanych stron opartych na WordPress używało najnowszych dostępnych aktualizacji. Okazuje się, że głównym winowajcą były… zainstalowane wtyczki. Jak wspólnie podkreślają eksperci bezpieczeństwa, 20 lub więcej zainstalowanych w witrynie wtyczek powoduje, że jest ona ponad trzykrotnie bardziej zagrożona niż przeciętna strona internetowa.

Zapewne nieraz zastanawialiście się, z jakiego powodu hakerzy ingerują w zasoby (pliki, bazę) określonej witryny. Są tego dwie główne przyczyny. Pierwsza to taka, że strona lub sklep są słabo zabezpieczone, przez co stanowią dla włamywacza łatwy łup. Druga to chęć przeprowadzenia ataku celowego na konkretny, wybrany adres internetowy.

Wróćmy jednak do tytułowego problemu, czyli odpowiedzi na pytanie, jakie są typowe skutki włamań na strony i do sklepów internetowych. Czy zawsze jest to tylko czarny ekran z piracką flagą, jak przyzwyczaiły nas myśleć produkcje filmowe lub nagłówki gazet? Otóż nie, rzeczywistość jest jak zwykle znacznie bardziej skomplikowana. A samo zjawisko to nie jedynie fanaberia ekscentrycznych chuliganów, ale międzynarodowy biznes, który mimo penalizacji rozwija się, ewoluuje i bardzo dobrze prosperuje. Dlaczego? Odpowiedź wydaje się oczywista. Jak to zwykle bywa, chodzi o politykę, religię oraz pieniądze. Graczami są państwa, organizacje, firmy oraz pojedyncze osoby, a my właściciele i twórcy stron WWW, jesteśmy jedynie pionkami w tej rozgrywce.

> Jak rozpoznać włamanie

Skutki włamania mogą być od razu zauważalne lub pozornie niewidoczne. Złośliwe oprogramowanie może kryć się w wielu „zakamarkach” systemu i nawet eksperci miewają problemy z ustaleniem, czy strona została faktycznie zainfekowana. Czasami nie chodzi bowiem o działania destrukcyjne, a jedynie czasowe osłabienie reputacji określonej firmy.

Zdziwienie wielu osób może wzbudzić informacja, jak olbrzymi odsetek firm, urzędów, osób prywatnych żyje w błogiej nieświadomości tego, że zostały przełamane zabezpieczenia ich witryn czy sklepów online. Na ogół właściciel strony dowiaduje się o włamaniu ostatni. To najczęściej hakerzy, klienci, hostingodawca, a także często mechanizmy bezpieczeństwa Google’a odkrywają jako pierwsi dziwne zachowanie lub niedziałanie witryny i informują o tym jej właściciela.

> Widoczne ślady włamania

Ślady włamania to na ogół takie zmiany w wyglądzie, treści, a także zachowaniu strony, które mogą być zauważalne nawet dla osoby postronnej, ale głównie ujawniają się osobom zarządzającym serwisem. Do tej grupy zmian zależy zaliczyć:

 

  • Zmiana wizualna – witryna wygląda inaczej, niż została zaprojektowana, na przykład została podmieniona strona startowa, zaszły liczne zmiany w treści albo pojawiły się elementy obce (chociażby reklamy). Czasami trudno jest dostrzec tego typu zmiany, gdyż cyberprzestępcy starają się je maskować, np. stosując kolor czcionki identyczny z kolorem tła, umieszczając swoje obiekty na warstwie znajdującej się pod innym obiektem albo prezentując treść poza obszarem, który na ogół czytamy, np. na lewym marginesie wynoszący 1500 px;
  • Nieprawidłowe działanie lub całkowite niedziałanie strony – jego efektem może być całkowicie biała strona bądź CMS-owy komunikat o braku dostępu do bazy danych;
  • Informacja od firmy hostingowej – witryna nagle generuje bardzo duży ruch sieciowy, rozsyła setki wiadomości (spam) dziennie, obciąża serwer ponad ustalone limity;
  • Informacja od wyszukiwarek Google lub Bing – w przypadku wykrycia podejrzanego kodu na stronach dodanych za pomocą narzędzi Google dla webmasterów lub Bing Webmaster Tools system powiadamia e-mailem administratora o infekcji. Dotyczy to również sytuacji, kiedy kampania AdWords zostaje nagle zablokowana;
  • Powiadomienia od zapory – generowane przez wtyczki/komponenty typu firewall;
  • Przekierowywanie na inny adres – po wejściu na stronę główną lub podstronę następuje automatyczne (lub z opóźnieniem) przeniesienie do innej domeny, na ogół zawierającej reklamy bądź ofertę innych firm, także konkurencji;
  • Problem z zalogowaniem się do panelu administracyjnego CMS – mimo pewności, że wprowadzamy poprawny login i hasło, zalogowanie nie jest możliwe lub pojawiają się niespotykane wcześniej komunikaty;
  • Bardzo wolne ładowanie się strony – może wynikać m.in. z tego, że aktualnie trwa atak typu DoS lub DDoS, którego efektem jest sztuczny ruch, mający na celu zniechęcenie internautów do odwiedzania danej strony bądź sklepu;
  • Zablokowany dostęp – został on zablokowany przez program antywirusowy, który dodatkowo zgłasza wykrytą infekcję;
  • Czerwony ekran – zamiast strony głównej widzimy ekran z ostrzeżeniem, że strona, którą zamierzamy załadować, zawiera złośliwe oprogramowanie, wprowadza w błąd lub znajdują się na niej szkodliwe programy. Jest to na ogół mechanizm ochronny pochodzący z przeglądarki lub od wyszukiwarki Google;
  • Nowi administratorzy – w systemie CMS pojawiły się nieautoryzowane konta użytkowników o uprawnieniach redaktorskich lub administracyjnych;
  • Komunikaty o błędach – często zawieszają się wtyczki, komponenty i (lub) co chwilę pojawia się komunikat o błędzie; nie można skorzystać z wybranych wtyczek lub komponentów, a w szczególności z tych służących do zabezpieczania witryny.


> Niewidoczne ślady włamania

Niewidoczne ślady to oczywiście pewnego rodzaju uproszczenie, bowiem odpowiednia analiza dokonana przez eksperta od cyberbezpieczeństwa może ujawnić także te niewidoczne na pierwszy rzut oka ślady włamania. Atakującym stronę internetową, podobnie jak pasożytom, z reguły nie chodzi o zabicie swojego żywiciela, tylko żerowanie na nim, szczególnie jeśli jego celem jest „tylko”:

 

  • kradzież bazy danych, np. listy klientów sklepu, którą następnie może odsprzedać lub wykorzystać do innych celów. Czasami, w szczególności jeśli chodzi o dużych graczy, słyszy się, że ktoś oferuje lub wręcz opublikował publicznie listę użytkowników wraz z hasłami do kont z danego serwisu lub usługi internetowej;
  • umieszczenie w serwisie własnych reklam lub odnośników do innych stron, aby w ten sposób budować własne zaplecze SEO;


[...]

Autor książek, poradników oraz artykułów w magazynach branżowych. Z projektami internetowymi związany od 2003 r. Aktywny członek społeczności Joomla! Prelegent w wielu wydarzeniach związanych z CMS

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"