Ripulisci e gestisci il sito

Per mantenere pulito il tuo sito ed evitare compromissioni future, avrai bisogno di quanto segue:

• Accesso come amministratore della shell o del terminale ai server del tuo sito: web, database, file
• Conoscenza dei comandi di shell o del terminale
• Conoscenza del codice (come PHP o JavaScript)
• Spazio di archiviazione per creare backup del sito, inclusi file, database e immagini

Azioni successive

In questo passaggio verranno trattati diversi argomenti:

• Dove individuare risorse aggiuntive se ritieni che l'intenzione dell'hacker ottenere informazioni informazioni personali (ad esempio pagine di phishing).
• L'opzione per utilizzare Rimuovi URL in Search Console per velocizzare la rimozione di contenuti nuovi, indesiderati URL visibili all'utente creati dall'hacker e che non devono comparire Risultati della Ricerca Google.
• L'opzione per Chiedere a Google di ripetere la scansione di URL in Search Console per velocizzare l'elaborazione da parte di Google delle pagine pulite, ovvero le pagine nuove o appena aggiornate, che desideri compaiono nei risultati della Ricerca Google.
• Installazione della versione più recente e sicura del software.
• Rimozione di applicazioni o plug-in non necessari o inutilizzati che potrebbero rendere più vulnerabile in futuro.
• Ripristino dei contenuti non conformi ed eliminazione dei contenuti dell'hacker.
• Correggere la vulnerabilità della causa principale sfruttata dall'hacker.
• Modifica di tutte le password.
• Pianificazione per mantenere il tuo sito sicuro.

1. Individua le risorse di assistenza

Se dal tuo sito sono state ricavate informazioni riservate degli utenti (ad esempio, perché era parte di un attacco phishing), valuta se prendere in considerazione responsabilità aziendali, normative o legali prima di iniziare la pulizia sito o eliminare file. Nei casi di phishing, antiphishing.org offre risorse utili come il loro documento Cosa fare se il tuo sito è stato compromesso phisher.

2. Valuta l'ipotesi di accelerare la rimozione degli URL creati dall'hacker

Se l'hacker ha creato URL completamente nuovi e visibili agli utenti, puoi ottenere questi pagine rimosse più rapidamente dai risultati della Ricerca Google utilizzando Rimuovere URL in Search Console. Questo passaggio è facoltativo. Se elimini le pagine e poi configurare il server in modo che restituisca uno stato 404 codice, le pagine scompariranno naturalmente dall'indice di Google con il passare del tempo.

• La decisione di utilizzare la rimozione degli URL dipenderà probabilmente dal numero di nuovi pagine indesiderate create (troppe pagine potrebbero essere complicate da includere nella rimuovere gli URL), nonché i potenziali danni che queste pagine potrebbero causare agli utenti. Per evitare che le pagine inviate tramite la rimozione degli URL vengano visualizzate in nei risultati di ricerca, assicurati che anche le pagine siano configurate in modo da restituire un errore 404 Risposta File non trovato per gli URL indesiderati e rimossi.
• Non utilizzare questo strumento per richiedere la rimozione di pagine precedentemente valide che sono state danneggiate solo dall'hacker. Ti consigliamo di visualizzare queste pagine in risultati di ricerca dopo la pulizia. La funzionalità di rimozione degli URL è disponibile solo per le pagine non vorrai più comparire nei risultati.

3. Valuta l'ipotesi di accelerare l'elaborazione delle pagine pulite da parte di Google

Se disponi di pagine pulite nuove o aggiornate, puoi Chiedere a Google di ripetere la scansione di URL in Search Console per inviare queste pagine all'indice di Google. Questo è facoltativo; Se salti questo passaggio, le pagine nuove o modificate probabilmente scansionati ed elaborati nel tempo.

4. Avvia la pulizia del/i server.

È il momento di iniziare a pulire il sito in base alle note che hai preso durante la fase Valuta il danno e Identifica la vulnerabilità. La da eseguire in questo passaggio dipende dal tipo di backup a tua disposizione:

• Copia di backup pulita e aggiornata
• Copia di backup pulita, ma obsoleta
• Nessuna copia di backup disponibile

Innanzitutto, verifica che la copia di backup sia stata creata prima della compromissione del sito.

Copia di backup pulita e aggiornata

1. Ripristina la copia di backup.
2. Installa eventuali upgrade, aggiornamenti o patch disponibili per il software Sono inclusi software per il sistema operativo se sei tu ad avere il controllo del server e di tutte le applicazioni, come il sistema di gestione dei contenuti, la piattaforma di e-commerce, i plug-in o i modelli.
3. Valuta la possibilità di rimuovere dal tuo server il software che il sito non utilizza più (ad esempio, widget, plug-in o applicazioni) .
4. Correggi la vulnerabilità.
5. Assicurati che tutti i problemi rilevati durante il passaggio Valuta il danno vengono gestiti correttamente.
6. Cambia ancora una volta le password di tutti gli account correlati al sito (ad esempio, le credenziali di accesso per l'FTP, l'accesso al database, gli amministratori di sistema e account CMS). Nei sistemi basati su Unix:

passwd admin1

Copia di backup pulita, ma obsoleta

1. Crea un'immagine disco del tuo sito attuale anche se è ancora infetto. Questa copia è solo per sicurezza. Contrassegna la copia come infetta per distinguerla dagli altri. In un sistema basato su Unix, l'immagine del disco creata potrebbe essere:

dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz

1. Crea una copia di backup del file system del server, includendo immagini e contenuti multimediali . Se disponi di un database, esegui il backup anche del database.

tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql

1. Ripristina la copia di backup pulita ma obsoleta sul server.
2. Valuta se è possibile eliminare software sul tuo server (ad esempio, widget, plug-in o applicazioni) che il sito non utilizza più.
3. Se hai il controllo del server, aggiorna tutto il software, incluso il sistema operativo. e tutte le applicazioni software, come il sistema di gestione dei contenuti, piattaforma di e-commerce, plug-in e modelli. Assicurati di controllare e installare aggiornamenti e patch di sicurezza disponibili.
4. Correggi la vulnerabilità.
5. Eseguire un sito diff manualmente o in modo automatico. tra la copia di backup pulita e la copia attualmente infetta.

diff -qr www/ backups/full-backup-20120124/

1. Carica tutti i nuovi contenuti puliti che vuoi conservare dal copia infettata sul server aggiornato.

rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/

1. Controlla che ogni URL elencato al passaggio Valuta il danno è stato corretto.
2. Cambia ancora una volta le password di tutti gli account correlati al sito (ad esempio, credenziali di accesso per FTP, accesso al database, sistema amministratori e account CMS). Nei sistemi basati su Unix:

$passwd admin1

Nessuna copia di backup disponibile

Esegui due backup del tuo sito anche se è ancora infetto. Avere un extra backup ti aiuterà a recuperare i contenuti eliminati accidentalmente o ti consente di ripristinare e provare di nuovo se le cose vanno storte. Contrassegna ogni copia di backup come "infetta" come riferimento per il futuro.

Una delle copie di backup sarà un'immagine del disco o "versione clone" del tuo sito. Questo rende ancora più semplice il ripristino dei contenuti. Puoi lasciare da parte l'immagine disco in caso di emergenza. In un sistema basato su Unix, utilizza il seguente codice per creare un disco immagine:

dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz

L'altro backup sarà una copia del file system del tuo server, immagini incluse e file multimediali. Se ne hai uno, esegui anche il backup del database.

tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql

Se non hai un'immagine disco, crea due backup del database e due backup del file system.

Per pulire i contenuti del sito sulla nuova copia del file system di backup (non sul server stesso), procedi nel seguente modo:

1. Se la tua indagine precedente ha riscontrato autorizzazioni per i file troppo permissive, procedi e correggili. Assicurati di eseguire questa operazione sulla copia di backup, non sul server per trovare le regole.
2. Inoltre, nella copia di backup, pulisci tutti i file corrispondenti agli URL rilevati come compromesso dal passaggio Valuta il danno. Questi possono essere file di configurazione del server, JavaScript, HTML o PHP.
3. Assicurati di rimuovere (pubblicare una risposta 404) anche per i nuovi file creati dal che hai inviato o meno con lo strumento per la rimozione degli URL in Search Console.
4. Correggi la vulnerabilità, se presente nel tuo codice o nelle password decifrate. Le librerie di convalida dell'input o le verifiche di sicurezza possono essere utili.
5. Se il tuo sito ha un database, inizia a ripulire i record modificati dagli hacker la copia di backup. Prima di pensare di aver finito, controlla altre informazioni per assicurarti che il database sia pulito.
6. Cambia ancora una volta le password di tutti gli account correlati al sito (ad ad esempio le credenziali per l'accesso FTP, l'accesso al database, gli amministratori di sistema e account CMS). Nei sistemi basati su Unix, utilizza il seguente codice:

$passwd admin1

A questo punto, la copia di backup del sito precedentemente infetta deve contenere solo e pulirli. Conserva questa copia pulita e procedi con l'operazione numero 5.

5. Rimuovi il software non necessario

Valuta se è possibile rimuovere software dal tuo server, ad esempio widget, plug-in o applicazioni che il sito non utilizza più. Ciò può aumentare la sicurezza e semplificare la manutenzione futura.

6. Ripulisci tutti i server

1. Esegui una nuova installazione, anziché solo un upgrade. Gli upgrade possono lasciare file di una versione precedente. Se un file infetto rimane sul server, il tuo sito è più probabile che venga nuovamente compromesso.
   • La nuova installazione dovrebbe includere il sistema operativo se hai il controllo il server e tutte le applicazioni software, come i contenuti sistema di gestione, piattaforma di e-commerce, plug-in e modelli. Assicurati che per verificare la disponibilità di aggiornamenti e patch di sicurezza.
2. Trasferisci i contenuti in buono stato dalla copia del file system di backup pulita alla server installati di recente. Carica e ripristina solo i contenuti puliti noti o database. Assicurati di mantenere le autorizzazioni dei file e non sovrascrivono i file di sistema appena installati.
3. Cambia un'ultima volta le password per tutti gli account correlati al sito (ad es. credenziali di accesso per FTP, accesso al database, amministratori di sistema, e CMS). Nei sistemi basati su Unix, utilizza il seguente codice:

passwd admin1

7. Crea un piano di manutenzione a lungo termine

Ti consigliamo vivamente di eseguire le seguenti operazioni:

• Esegui regolarmente una copia automatica di backup del sito.
• Preoccupati di mantenere sempre aggiornato il software.
• Comprendere le pratiche di sicurezza di tutte le applicazioni, i plug-in e altri software di terze parti prima di installarli sul tuo server. Un titolo la vulnerabilità di un'applicazione software può influire sulla sicurezza del tuo l'intero sito.
• Richiedi la creazione di password complesse.
• Mantieni sicuri tutti i dispositivi utilizzati per accedere alla macchina (funzionamento aggiornato sistema e browser).

8. Verifica il completamento della pulizia

Assicurati che la risposta alle seguenti domande sia sempre "sì":

• Ho adottato le misure appropriate se l'hacker ha ottenuto personale personali?
• Il mio sito esegue la versione del software più recente e sicura?
• Ho rimosso tutte le applicazioni o i plug-in superflui o inutilizzati che potrebbero rendere il mio sito più vulnerabile in futuro?
• Ho ripristinato i miei contenuti ed eliminato quelli dell'hacker?
• Ho risolto l'origine principale della vulnerabilità che ha reso possibile la violazione del mio sito?
• Dispongo di un piano per mantenere sicuro il mio sito?

Ora puoi riportare il sito online.