Tip:
Highlight text to annotate it
X
[ZENE]
MAILE OHYE: Üdv! Maile Ohye vagyok.
Folytatjuk videosorozatunkat a feltört webhelyek helyreállításáról.
Most már készen áll a kár mértékének felbecsülésére.
Ez a videó azoknak szól,
akik üzenetet kaptak, hogy webhelyüket rosszindulatú program fertőzte meg,
és akik elég technikai háttértudással rendelkeznek
a forráskód megtekintéséhez és parancsok futtatásához a terminálban.
Aki ma segít nekem, és megosztja velünk szakértelmét
a rosszindulatú programok elleni harccal kapcsolatban, a Google Biztonságos Böngészés
csapatának mérnöke, Lucas Ballard.
LUCAS BALLARD: Szia, Maile!
MAILE OHYE: Köszönöm, hogy segítesz.
Eddig foglalkoztunk a webhelyek feltörésével,
és meggyőződtünk arról, hogy webhelyünk rosszindulatú programot jelenít meg.
Most már készen állunk arra, hogy felbecsüljük a kár mértékét.
De mielőtt folytatnánk, el tudnád magyarázni,
hogy pontosan mi is az a rosszindulatú program?
LUCAS BALLARD: Persze.
A rosszindulatú program általános kifejezés minden rosszindulatú szoftverre,
amelynek célja, hogy kárt okozzon a számítógépben vagy a hálózatban.
Ide tartoznak a vírusok, a férgek, a kémprogramok,
a billentyűk lenyomását rögzítő programok és a trójaik.
A Google Biztonságos Böngészés csapata úgy védi az internethasználókat
a rosszindulatú programoktól, hogy a teljes interneten kutat
az ártalmas oldalak után.
Automatizált keresőink úgy állapítják meg, hogy az oldalak
meg vannak-e fertőzve, hogy észlelik a rosszindulatú tartalmakat.
A webmester hírneve nem tényező e folyamat során.
A rosszindulatú programmal fertőzött webhely nem egyedülálló jelenség.
Naponta mintegy 10 000 fertőzött webhelyet találunk.
MAILE OHYE: Ezt jó tudni.
Tudnál mondani konkrét példát,
hogy mit jelent, ha egy webhely rosszindulatú programmal van megfertőzve?
LUCAS BALLARD: Természetesen.
Amikor egy átlagos webhely úgy van megjelölve,
hogy „rosszindulatú programmal fertőzött”, az azért van, mert a Google
megállapította, hogy amikor egy felhasználó felkeresi azt,
akkor a böngészője automatikusan megnyit egy másik webhelyet,
amely megtámadja a böngészőt.
A böngésző általában azért nyitja meg a támadó webhelyet,
mert a legitim webhely vagy egy erőforrás,
amelyet a legitim webhely tárol,
úgy lett módosítva, hogy a támadó webhely tartalma is szerepeljen benne.
Azért figyelmeztetjük a felhasználókat a rosszindulatú oldalakra, mert amikor
felkeresik a fertőzött oldalt, akkor a támadó webhelyről származó tartalom
kihasznál egy sebezhetőséget a felhasználó böngészőjében.
Sikeres támadás esetén a rosszindulatú program
automatikusan betöltődik a felhasználó számítógépén,
a felhasználó tudta nélkül.
A rosszindulatú szoftver lehet kémprogram,
amely a felhasználó banki bejelentkezési adatait lopja el, vagy lehet olyan
rosszindulatú program, amely a fertőzött számítógépen keresztül küld spamet.
Amikor feltöri a felhasználó számítógépét,
a hacker kap egy újabb csomópontot
a rosszindulatú programot terjesztő hálózatába,
és ezt is felhasználhatja más számítógépek vagy webhelyek megtámadására.
MAILE OHYE: A példád jól demonstrálja,
hogy a rosszindulatú program úgy terjed, mint egy fertőző betegség.
Légy szíves, magyarázd el, hogy a webhelytulajdonosok
miből tudhatják meg, hogy webhelyük rosszindulatú programmal fertőzött,
vagy hogy részt vesz más számítógépek megfertőzésében.
LUCAS BALLARD: Rendben.
A Google Biztonságos Böngészés nyilvánosan megjeleníti ezt az információt
az összes felhasználónak, függetlenül attól,
hogy az illető a webhely igazolt tulajdonosa-e.
A laptopon most felkeressük
a Google Biztonságos Böngészés diagnosztikai oldalát.
A cím a következő: www.google.com/safebrowsing/diagnostic?site=
és a webhely címe.
Ez legyen most a googleonlinesecurity.blogspot.com.
Láthatjuk a webhely aktuális állapotát arra vonatkozóan,
hogy a felhasználók biztonságban böngészhetnek-e az oldalakon.
A csapatom üzemelteti azokat a keresőket, amelyek ezen adatok
létrehozásáért felelnek.
Az online biztonsággal foglalkozó blogunk szerencsére biztonságos.
Nézzünk meg egy olyan webhelyet, amely rosszindulatú programmal fertőzött,
hogy képet kapjunk arról, mit is láthatunk ilyen esetben.
A Biztonságos Böngészés diagnosztikai oldalán látható információ
a webhely aktuális állapotáról nyújt tájékoztatást, azaz megtudható,
hogy a webhely valószínűleg biztonságos,
vagy netán felmerül a gyanú, hogy veszélyes a felhasználók számára.
A rosszindulatú programmal fertőzött webhely nyilván gyanúsként szerepel.
Alatta további részletek láthatók arról,
hogy mi történt, amikor a Google felkereste a webhelyet.
Például megtekinthető, hogy mely támadó webhelyekre
lehet eljutni az adott webhelyről.
Magáról a támadó webhelyről is szerepelnek itt adatok.
Ténylegesen a támadó webhely tárolja a rosszindulatú programot,
amely megfertőzi a felhasználókat. Itt azt lehet ellenőrizni,
hogy a saját webhelyünk része-e egy nagyobb rosszindulatú hálózatnak.
A támadó webhelyre vagy hálózatra kattintva
további információ jelenik meg a Biztonságos Böngészésen belül.
Az utolsó információ ezen az oldalon
azt mutatja, hogy a saját webhelyünk közvetítőként jár-e el
más webhelyek megfertőzésében, vagy maga tárol-e rosszindulatú programot.
MAILE OHYE: Köszönöm, Lucas.
Most, hogy tisztában vagyunk a rosszindulatú program fogalmával,
elmondanád, hogy tudjuk biztonságban megállapítani
a saját webhelyünkön okozott kárt?
LUCAS BALLARD: A kérdés jó.
Örülök, hogy feltetted.
Mielőtt megtekintenénk oldalakat, törölnénk fájlokat vagy módosítanánk a webhelyet,
elmondok néhány tanácsot a rosszindulatú programok vizsgálatával kapcsolatban.
Először is, ne használja a böngészőjét
a fertőzött weboldalak megnyitásához.
Mint korábban említettem, a rosszindulatú program
gyakran a böngésző sebezhetőségét kihasználva terjed.
A fertőzött weboldal megnyitása a böngészőben olyan,
mintha kihívná maga ellen a sorsot.
Másodszor, a rosszindulatú kód vizsgálata során igen jól jön,
ha hozzáfér a szerverhez.
Egyes rosszindulatú programok megjelenése
függ a user agenttől, a cookie-któl, a hivatkozótól,
a napszaktól, az operációs rendszertől vagy a böngésző verziójától,
ezért jó, ha meg tudja nézni az oldal
tényleges forráskódját, hogy jobban megértse a tartalmát
és a viselkedését.
Harmadszor, számos hasznos eszköz áll rendelkezésre,
amellyel diagnosztikai jellegű HTTP-kéréseket vagy oldallekéréseket
hajthat végre a webhelyet ért kár felmérésére.
Mivel a hackerek gyakran beállítanak átirányításokat az átlagos webhelyekről
a támadó webhelyekre, az oldal forráskódjának áttekintése
nem mindig elég az átirányítások felfedezésére.
Az oldalt le kell kérni.
Két hasznos, általában ingyen elérhető eszköz
a Wget és a cURL.
Mindkettő HTTP-kéréseket hajt végre,
és beállítható úgy, hogy tartalmazzon hivatkozót,
user agentet vagy böngészőinformációt is.
E képességek segíthetnek
néhány kifinomult módszer felfedésében, amellyel a hackerek
a lebukást próbálják elkerülni.
A hacker például beállíthatja úgy a webhelyet,
hogy csak akkor legyen átirányítás a rosszindulatú tartalomra,
ha az URL lekérése egy keresési eredményoldalról történik,
azaz ha a felhasználó keresést hajt végre a google.com oldalon,
akkor az oldallekérés hivatkozóként tartalmazza a Google-t.
Azáltal, hogy a rosszindulatú tartalom
csak a Google hivatkozóval rendelkező felhasználóknak jelenik meg,
a hacker több embert célzott meg, ezenkívül jobban
el tudja kerülni, hogy a webmesterek és a rosszindulatú programokat kereső
szoftverek felfedezzék.
A Wget és a cURL eszközökre keresve
több erőforrást is találhat, amelyek további magyarázattal szolgálnak a használatukról.
MAILE OHYE: Összefoglalva az eddigieket:
a webhelyünkön lévő rosszindulatú programok vizsgálatakor;
egy: ne nyissuk meg az oldalt a böngészőben.
Kettő: a fájlrendszerben nézzük meg az oldal forráskódját.
Három: keressünk átirányításokat, és ellenőrizzük a forráskódot
a Wget vagy a cURL használatával.
LUCAS BALLARD: A Biztonságos Böngészés
diagnosztikai oldalán nagyrészt már betekintést nyertünk abba,
mi történt a webhelyünkkel.
A következő hely, ahol vizsgálódunk, a Webmestereszközök
rosszindulatú programok szekciója.
MAILE OHYE: A webhelyem ellenőrzött tulajdonosaként
bejelentkezem a Webmestereszközökbe, és kiválasztom a Saját webhely,
Diagnosztika, Rosszindulatú programok lehetőséget.
Lucas, tudnál mesélni azokról az információkról,
amelyek ezen az oldalon jelennek meg?
LUCAS BALLARD: Természetesen.
A Rosszindulatú programok oldalon két gomb található felül:
a Táblázat letöltése és a Felülvizsgálat kérése.
A Felülvizsgálat kérése gombot akkor kell használni,
ha a webhelyen már nincs rosszindulatú program.
Azonban mielőtt idáig eljutunk,
fel kell becsülnünk a kár mértékét.
Az itt található táblázat
a webhelyen lévő fertőzött URL-ekre,
a keresőnk által felismert fertőzéstípusokra
és az észlelés legutolsó dátumára ad példákat.
Az URL-re kattintva eljuthat a Rosszindulatú program részletei oldalra,
ahol különféle műveleteket hajthat végre.
Egyes példa URL-eknél nincs megadva a fertőzés típusa.
Noha a keresőnk észlelte, hogy az URL rosszindulatú,
a konkrét viselkedést nem tudtuk megállapítani.
A többi fertőzéstípust
egy külön videóban magyarázom el részletesen.
Miután megvizsgálta a Webmestereszközökben szereplő
összes példa URL-t, az utolsó teendő
a webhelyet ért károk általánosabb felmérése.
MAILE OHYE: Igen.
A fájlrendszer károsodásának felméréséről szóló videó az utolsó
ebben a lépésben.
A fájlrendszer károsodásának felmérése
segít összeállítani azon fájlok listáját, amelyeket a kiberbűnöző
módosított vagy hozzáadott, és a további lépésekben ez segít a megtisztításban.
Köszönöm, Lucas.
A webhelyen lévő rosszindulatú programok egyes típusaira vonatkozóan
Lucas megfelelő videói nyújtanak tájékoztatást olyan témákban,
mint a szerverkonfiguráció, az SQL-beékelés és a hibasablon.
Miután megvizsgálta a webhelyen lévő rosszindulatú programok által okozott
károkat, ne felejtse el végrehajtani a fájlrendszer
általános felmérését.
Ha ezeket az intézkedéseket végrehajtotta,
folytassa a következő lépéssel, a sebezhetőség azonosításával.
Egy lépéssel közelebb került a helyreállításhoz.
Csak így tovább!