Koti » Verkkosivuni hakkeroitu, mitä teen?

Verkkosivuni hakkeroitu, mitä teen?

Tämä tulee usein selville kun selaimesi antaa varoituksen, että sivullasi on haittaohjelma tai webhotelli palveluntarjoajasi ilmoittaa tämän. Usein tämä johtuu siitä että käytetyimpiä web-sovellusta (WordPress, Joomla…) tai käytettyä lisäosaa ei ole päivitetty uusimpaan versioon ja siinä vanhemmassa versiossa on haavoittuvuus. Näitä käyttäessä tulee olla tarkkana, että pitää päivitettynä uusimpaan versioon, sillä ne ovat avointa lähdekoodia joten rikollinen voi helposti tutkia niiden haavoittuvuuksia. Samalla tavalla kuin Android ja Windows, myös verkkosivutkin kaipavaat säännöllistä päivittämistä.

Myöskin voi olla mahdollista että hyökkääjä on päässyt työasemasi kautta sivustolle, esimerkiksi varastamalla FTP-käyttäjätunnuksen + salasanan työasemaltasi ja näiden avulla lisätä haitallista sisältöä sivustollesi. Toinen toki mahdollisuus on, että ylläpitäjällä vain yksinkertaisesti on ollut heikko salasana.

Myöskin webhotellin palvelimilla voi olla haavoittuvuuksia, mutta pääsääntöisesti palveluntarjoajat päivittävät omat palvelimensa ajantasalle. Myöskin voi olla että webhotelli-palveluntarjoajasi on ollut tietovuoto tai tietoturva-aukko järjestelmissään.

Aina ei päivittäminen auta, sillä voi olla kyseessä olla ns. nollapäivähaavoituvuus, joka tarkoittaa että haavoittuvuukselle ei ole päivitystä saatavilla saman vuorokauden sisällä. Näille valitettavasti ei voi mitään, mutta paras palautus tällöin on aina varmuuskopiointi.

Varaudu

Parempi on varautua etukäteen. Varmuuskopiointi on ehdottomasti paras tapa palautua, vaikka tuntuisi ettei sitä tarvitsisi.

  • Varmuuskopioi verkkosivusi omalle työasemallesi tai ulkoiselle kiintolevylle turvaan. Kysy myös, jos webhotelli palveluntarjoajallasi on varmuuskopiointipalvelu saatavilla. Muista varmuuskopioida myös verkkosivuston tietokanta.
  • Pidä web-sovelluksesi ja sen liitännäiset ajantasalla. Käytä liitännäisiä, joita tuetaan päivityksillä. Voit pyytää webhotelli palveluntarjoajaasi tekemään päivityksen puolestasi.
  • Käytä aina HTTPS-yhteyttä, syötät käytäjätunnusta + salasanoja. Kysy webhotellisi palveluntarjoajalta onko heillä HTTPS-mahdollisuutta ja miten. Useimmat palveluntarjoajat tarjoavat jo ilmaiseksi Let’s Encrypt sertifikaatin, joka on riittävä perusverkkosivuille.
  • Pidä webhotellisi käyttäjätunnukset ja salasanat turvassa. Käytä vahvoja salasanoja.
  • Pidä omasi työasemasi tietoturva ajantasalla

Apua nopeisiin reagointeihin:

  • Rekisteröidy Googlen Webmaster-työkaluihin. Googlen Webmaster-työkalu auttaa parantamaan hakukonenäkyvyyttä ja samalla ilmoittaa verkkosivustosi ongelmista sähköpostiisi. Näin pystyt reagoimaan nopeammin mahdollisiin ongelmiin. Vastaavasti Microosftilta löytyy Bing Webmaster-työkalut.

Mitä murretuilta sivuilla yleensä löytyy?

Riippuu yleensä kuka murtautuu sivulle. Pahimmissa tapauksissa sielä neuvotaan lataamaan haittaohjelmia, varastamaan pankki/luottokortti/käyttäjätunnuksia/henkilötietoja, käytetään roskapostien lähettämiseen, uudelleenohjataan haitalliselle sivulle, mutta myös jotkin järjestöt vain haluavat saavat nimensä näkyviin.

  • Sivulle ilmestyy outoja elementtejä
  • Sivustotilassanne löytyy ylimääräisiä tiedostoja, yleensä php-koodia. Nämä ei välttämättä löydy edes yleisellä haittaohjelma skannauksella, sillä eivät ole haittaohjelmia vaan esimerkiksi PHP-koodia, johon postaamalla voi lähettää roskapostia. Nämä ovat todella yleisiä.  Havaitaan yleensä suuren roskapostitusmäärän takia.
Esimerkki murretusta verkkosivusta, jossa halutaan saada ääni näkyviin eli vain huomiota sekä näkyvyyttä

Miten aloitan omani verkkosivuni palautuksen?

Siirrä heti verkkosivut pois julkisesti näkyvistä toiseen hakemistoon. Yleensä webhotellipalveluntarjoajat tekevät tämän puolestasi, ettei saastunut materiaali näy verkkoon.

Ole ensimmäisenä yhteydessä omaasi webhotelli-palveluntarjoajaasi pyytääksesi apua. He voivat tarkistaa palvelimen lokitiedostoista, mistä mahdollisesti sivu on murrettu.

Yleensä riippuen miten verkkosivut on pahasti muokattu esimerkiksi haittaohjelma tarkoitukseen, sen palauttaminen on todella haasteellista joten helpompaa tehdä uudet sivut, ellei verkkosivusta ole varmuuskopioita. Varmuuskopioidun verkkosivun palauttamisen jälkeen, päivitä lisäosineen ja vaihda salasanat. Jos käytät samaa salasanaa muualla, muista vaihtaa kaikissa palveluissa missä sama salasana on käytössä.

Selaimeni ilmoittaa, että verkkosivuni on saastunut

Google Chrome käyttää Googlen omaa selaussuojaa, joka suojaa selaimen käyttäjää haitallisilta sivuilta. Jos saat Chrome-selaimellasi ylläolevan varoituksen, on verkkosivusi luultavasti saastunut ja päätynyt Googlen ”mustallelistalle”. Tätä varoitusta ei missään nimessä saa ohittaa vaan tulee ensin poistaa haittallinen sivusto. Tarkista täältä mistä syystä sivustosi on joutunut Googlen listalle. Kun olet poistanut haitallisen sisällön, pyydä Googlelta uutta tarkistusta.

Googlen selaussuojan tarkistuksen lisäksi suosittelen tarkistamaan myös Virustotal-palvelusta, jos sivusi on joutunut muidenkin haittaohjelmatarkistusten haaviin. Käy sitten jokaisen palveluntarjoajan sivusto läpi puhdistaaksesi verkkosivusi maineen.

Ja kun sivut taas näkyvissä verkossa…

On nyt hyvä aika valmistautua seuraavaan hakkerointiin sivustoissasi. Ainakin tärkein kuntoon heti: Säännöllinen varmuuskopiointi. Varmuuskopion palautuksen avulla ja päivityksellä sekä salasanan vaihdolla olisit päässyt helpommalla. Ja sitten varmistat päivitysprosessin sivuillasi, että web-sovellus sekä sen liitännäiset ovat ajantasalla ja niitä päivitetään. Näin sitten ei tarvitsisi sivuja palautella varmuuskopioista ja sivut pysyvät linjoilla.

Kommentoi