איך אתרים שנפרצו בידי האקרים מתאוששים ומשקמים את האתר? בבלוג הרשמי של גוגל וובמסטר טולס, Webmaster Central Blog, הוצגו שני סיפורים שחשפו את תהליך השיקום של אתרים שנפלו קרבן להאקרים.

האקרים

Image courtesy of chanpipat at FreeDigitalPhotos.net

מקרה ראשון – אתר של מסעדה שהושתלו בו מספר סקריפטים מזיקים

הדוגמה הראשונה המתוארת בפוסט היא של אתר וורדפרס של מסעדה שקיבל הודעה מגוגל וובמסטר טולס על מתקפת האקרים ושינוי תוכן האתר. כדי להגן על הגולשים, גוגל סימנו את האתר בתוצאות החיפוש כאתר פרוץ. מנהלת האתר מצאה בקוד המקור קישורים לא מזוהים וביטויים מתחום הפרמקולוגיה כמו "ויאגרה" ו"קיאליס". היא גם מצאה שבדפים רבים נוספו לתגיות המטא של התיאורים קריאות לפעולה כמו "קנו ויאגרה בפלורידה". עוד נמצאו בדפים רבים תגיות div חבויות שקישרו לאתרים רבים.

מנהלת האתר ניקתה את כל התוכן המושתל והגישה לגוגל בקשה לבחינה מחודשת של האתר. גוגל דחו את הבקשה אבל המליצו לה להמשיך ולבדוק סקריפטים לא מזוהים בכל קובצי ה-PHP ובקובצי השרת האחרים, וכן לבדוק אם נעשו שינויים בקובץ htaccess, כי יש סיכוי גדול שהאקרים יפרצו לקבצים האלה וישתלו בהם סקריפטים שישנו את האתר. אחרי שבדקה את קובצי ה-PHP בהשוואה לקבצים הנקיים השמורים בגיבוי, מנהלת האתר מצאה תוכן חדש שהושתל בקבצים כמו footer.php, index.php ואחרים. אחרי שהחליפה את הקבצים האלה בקובצי הגיבוי הישנים היא הגישה עוד בקשה לבחינה מחודשת. בפעם הזאת התקבל אישור מגוגל שהאתר נקי מתוכן של האקרים.

כדי להמשיך ולהגן על האתר מפני פריצות עתידיות, גוגל ממליצים על הפעולות האלה:

 

מקרה שני – אתר עסק עם תוכן זדוני נסתר

בעלת אתר של עסק קטן קיבלה הודעה בגוגל וובמסטר טולס על פריצה לאתר שלה. ההודעה כללה דוגמה לדף שהוסיפו האקרים: https://example.com/where-to-buy-cialis-over-the-counter. בעלת האתר פנתה אל ספק האחסון בבקשה לעזרה. הוא הסתכל בקוד של העמוד הבית אבל לא מצא בו שום אזכור לתרופות, וכשביקר בדף הדוגמה הגיע לדף שגיאה. בעלת האתר אף קנתה כלי לסריקת האתר ולאיתור תוכנות מזיקות, אבל גם הכלי לא הצליח למצוא את התוכן שהשתילו ההאקרים.

בעלת האתר בדקה את קישור הדוגמה בכלי אחזר כמו גוגל בוובמסטר טולס, והוא לא החזיר כל תוכן. היא הגישה בקשה לבחינה מחודשת ונדחתה. במכתב הדחייה גוגל הציעו לה לעשות שתי פעולות:

  1. 1. לאמת את הגרסה של האתר שבלי-www מכיוון שהאקרים ינסו להשתיל תוכן בתיקיות שמנהל האתר נוטה להתעלם מהן.

אמנם נראה ש-https://website.com ו-https://www.website.com הם אותו אתר, אבל גוגל רואים בהם אתרים שונים: האתר שבלי-www הוא הדומיין הראשי (root domain) ואילו השני נקרא סאבדומיין. במקרה הזה, בעלת האתר אימתה רק את הגרסה של הסאבדומיין, וההאקרים השתלטו על הגרסה של הדומיין הראשי. אחרי שאימתה גם את הגרסה הזאת, היא יכלה לזהות בקלות את התוכן הזדוני בעזרת הכלי אחזר כמו גוגל.

  1. 2. לבדוק את הקובץ .htaccess לכללים חדשים.

מייד כשניגשה בעלת האתר לקובץ היא גילתה בו קטעי קוד לא מזוהים שלא זכרה שהוסיפה. ההאקרים הוסיפו את הכלל mod_rewrite והוא גרם להפניות של מבקרים ממנועי חיפוש מסוימים וגם של רובוטי סריקה של מנועי חיפוש, וייתכן שגם להפניות של מבקרים המגיעים ממכשירים ניידים.

במקביל, סריקה של האתר לתוכן זדוני גילתה גם תוכן חשוד בקובץ main.php. בנוסף, היא אף מצאה משתמש לא מזוהה באזור משתמשי ה-FTP של תוכנת פיתוח האתר. אחרי שהיא הסירה את כל אלה האתר נוקה מנוכחות של האקרים ותוכנות זדוניות.

פעולות מומלצות למניעת תקיפות האקרים: