Untuk menjaga situs tetap bersih dan mencegah peretasan di masa mendatang, Anda memerlukan hal berikut:
- Akses administrator {i>shell<i} atau terminal ke server situs Anda: web, {i>database<i}, file
- Mengetahui perintah terminal atau {i>shell<i}
- Pemahaman tentang kode (seperti PHP atau JavaScript)
- Penyimpanan untuk membuat cadangan situs Anda, termasuk file, {i>database<i}, dan gambar
Tindakan berikutnya
Kami akan membahas beberapa tindakan pada langkah ini:
- Tempat untuk menemukan sumber daya tambahan jika Anda yakin peretas bermaksud untuk mendapatkan informasi pribadi (seperti halaman phishing).
- Opsi untuk menggunakan Hapus URL di Search Console untuk mempercepat penghapusan yang sama sekali baru dan tidak diinginkan, URL yang dapat dilihat pengguna dan dibuat oleh peretas yang tidak ingin Anda tampilkan Hasil Google Penelusuran.
- Opsi untuk Meminta Google untuk meng-crawl ulang URL Anda di Search Console untuk mempercepat pemrosesan halaman bersih oleh Google -- berarti halaman yang baru atau baru diperbarui -- yang ingin Anda muncul di hasil Google Penelusuran.
- Penginstalan software versi terbaru dan paling aman.
- Penghapusan aplikasi atau plugin yang tidak perlu atau tidak terpakai yang dapat membuat membuat situs Anda menjadi lebih rentan di masa mendatang.
- Memulihkan konten yang baik dan menghapus konten peretas.
- Memperbaiki akar penyebab kerentanan yang dieksploitasi oleh peretas.
- Mengubah semua {i>password<i}.
- Membuat rencana untuk menjaga keamanan situs Anda.
1. Temukan referensi dukungan
Jika informasi rahasia pengguna diperoleh dari situs Anda (misalnya, karena itu adalah bagian dari serangan {i>phishing<i}), Anda perlu mempertimbangkan tanggung jawab bisnis, peraturan, atau hukum sebelum Anda mulai membersihkan situs Anda atau menghapus file apa pun. Dalam kasus {i>phishing<i}, antiphishing.org memiliki sumber daya yang berguna seperti dokumen mereka Hal yang harus dilakukan jika situs Anda diretas oleh pelaku phishing.
2. Pertimbangkan untuk mempercepat penghapusan URL baru yang dibuat peretas
Jika peretas membuat URL dapat dilihat pengguna dan benar-benar baru, Anda dapat meminta halaman lebih cepat dihapus dari hasil Google Penelusuran menggunakan Menghapus URL di Search Console. Langkah ini opsional. Jika Anda hanya menghapus halaman kemudian konfigurasikan server Anda untuk mengembalikan status 404 kode, halaman secara alami akan keluar dari indeks Google seiring waktu.
- Keputusan untuk menggunakan Penghapusan URL mungkin akan bergantung pada jumlah halaman yang tidak diinginkan dibuat (terlalu banyak halaman mungkin rumit untuk disertakan dalam Hapus URL), serta potensi kerusakan yang dapat ditimbulkan oleh halaman tersebut bagi pengguna. Untuk menjaga agar halaman yang dikirimkan melalui Penghapusan URL tidak muncul lagi di hasil penelusuran, pastikan halaman dikonfigurasi dengan menampilkan kode 404 Respons File tidak Ditemukan untuk URL yang tidak diinginkan dan telah dihapus.
- Jangan gunakan alat ini untuk meminta penghapusan halaman yang sebelumnya bagus hanya dirusak oleh peretas. Anda akan ingin halaman ini muncul di hasil penelusuran setelah dibersihkan. Penghapusan URL hanya untuk halaman Anda tidak ingin muncul dalam hasil.
3. Pertimbangkan untuk meminta Google mempercepat proses halaman bersih Anda
Jika Anda memiliki halaman bersih baru atau yang diperbarui, Anda dapat Meminta Google untuk meng-crawl ulang URL Anda di Search Console untuk mengirimkan halaman ini ke indeks Google. Ini adalah opsional; jika Anda melewatkan langkah ini, laman baru atau yang dimodifikasi mungkin di-crawl dan diproses seiring waktu.
4. Mulai bersihkan server Anda
Sekarang saatnya untuk mulai membersihkan situs Anda berdasarkan catatan yang Anda buat selama Mengevaluasi kerusakan dan Identifikasi kerentanan. Tujuan jalur yang akan Anda ambil pada langkah ini tergantung pada jenis cadangan yang Anda miliki:
- Backup bersih dan terkini
- Backup bersih tapi usang
- Tidak ada backup
Pertama-tama, periksa apakah cadangan Anda dibuat sebelum situs Anda diretas.
Backup bersih dan terkini
- Pulihkan backup Anda.
- Instal semua upgrade, update, atau patch software apa pun yang tersedia. Hal ini mencakup perangkat lunak untuk OS jika Anda mengendalikan server, dan semua aplikasi, seperti sistem pengelolaan konten, platform e-commerce, plugin, atau template.
- Pertimbangkan untuk menghapus perangkat lunak yang tidak lagi digunakan situs dari server Anda (seperti widget, plugin, atau aplikasi) .
- Perbaiki kerentanan.
- Pastikan semua masalah yang ditemukan selama Menilai kerusakan akan ditangani.
- Ubah sandi sekali lagi untuk semua akun yang berhubungan dengan situs (misalnya, {i>login<i} untuk akses FTP, akses {i>database<i}, administrator sistem, dan akun CMS Anda). Pada sistem berbasis Unix:
passwd admin1
Backup bersih tapi usang
- Buat disk image situs Anda saat ini meskipun situs tersebut masih terinfeksi. Salinan ini dibuat hanya demi keamanan. Tandai salinan sebagai terinfeksi untuk membedakan dengannya dari yang lain. Pada sistem berbasis Unix, pembuatan citra disk bisa jadi:
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
- Buat salinan sistem file cadangan dari server Anda, termasuk gambar dan media . Jika Anda memiliki basis data, cadangkan basis data itu juga.
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
- Pulihkan salinan bersih tapi usang di server.
- Pertimbangkan apakah Anda dapat menghilangkan perangkat lunak di server Anda (misalnya, {i>widget<i}, plugin, atau aplikasi) yang tidak lagi digunakan situs.
- Meningkatkan semua perangkat lunak, termasuk OS jika Anda mengendalikan server, dan semua aplikasi perangkat lunak, seperti sistem pengelolaan konten, platform e-commerce, plugin, dan template. Pastikan untuk memeriksa dan menginstal {i>update<i} dan {i>patch<i} keamanan yang tersedia.
- Perbaiki kerentanan.
- Jalankan
diff
situs baik secara manual maupun otomatis -- antara cadangan bersih dan salinan yang terinfeksi saat ini.
diff -qr www/ backups/full-backup-20120124/
- Upload konten baru dan bersih yang ingin Anda lindungi dari salinan yang terinfeksi pada server yang telah ditingkatkan versinya.
rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
- Periksa apakah setiap URL yang tercantum dari Mengevaluasi kerusakan telah dikoreksi.
- Ubah sandi sekali lagi untuk semua akun yang berhubungan dengan situs (misalnya, login untuk akses FTP, akses database, sistem administrator, dan akun CMS). Pada sistem berbasis Unix:
$passwd admin1
Tidak ada backup
Buat dua cadangan situs Anda meskipun situs itu masih terinfeksi. Memiliki tambahan cadangan akan membantu memulihkan konten yang tidak sengaja terhapus, atau memungkinkan Anda mengembalikan lagi jika keadaan menjadi kacau. Labeli tiap backup dengan "terinfeksi" untuk referensi di masa mendatang.
Salah satu backup tersebut adalah gambar disk atau "versi kloning" situs Anda. Ini format ini membuat pemulihan konten menjadi lebih sederhana. Sisihkan gambar disk untuk keadaan darurat. Pada sistem berbasis Unix, gunakan kode berikut untuk membuat {i>disk<i} gambar:
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
Cadangan lainnya akan menjadi salinan sistem file dari server Anda, termasuk gambar dan file media. Jika Anda memiliki database, cadangkan juga database tersebut.
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
Jika Anda tidak memiliki citra disk, buat dua cadangan database dan dua cadangan sistem file.
Untuk membersihkan konten situs di salinan sistem file cadangan baru (bukan server itu sendiri), lakukan hal berikut:
- Jika penyelidikan Anda sebelumnya menemukan bahwa izin file terlalu longgar, lanjutkan lalu perbaiki. Pastikan Anda melakukan hal ini pada salinan cadangan, bukan server itu sendiri.
- Juga pada salinan cadangan, bersihkan semua file yang terkait dengan URL yang ditemukan seperti disusupi dari artikel Menaksir kerusakan. Ini mungkin berupa file konfigurasi server, JavaScript, HTML, atau PHP.
- Pastikan Anda juga menghapus (memberikan respons 404) file baru yang dibuat oleh peretas, yang mungkin telah Anda kirimkan atau belum menggunakan alat Penghapusan URL di Search Console.
- Perbaiki kerentanan jika ada dalam kode atau sandi Anda yang diretas. Perpustakaan validasi masukan atau audit keamanan mungkin dapat membantu.
- Jika situs Anda memiliki basis data, mulailah membersihkan kumpulan data yang dimodifikasi oleh peretas di cadangan Anda. Tepat sebelum Anda merasa telah selesai, periksalah kembali {i>record<i} untuk memastikan {i>database<i} terlihat bersih.
- Ubah {i>password<i} sekali lagi untuk semua akun yang terkait dengan situs (untuk misalnya, {i>login <i}untuk akses FTP, akses {i>database<i}, administrator sistem, dan akun CMS Anda). Pada sistem berbasis Unix, gunakan kode berikut:
$passwd admin1
Pada tahap ini, salinan cadangan situs Anda yang pernah terinfeksi seharusnya hanya berisi data yang bersih. Sisihkan salinan yang bersih ini dan lakukan langkah #5.
5. Hapus software yang tidak diperlukan
Pertimbangkan apakah Anda dapat menghapus perangkat lunak di server Anda, seperti {i>widget<i}, plugin, atau aplikasi, yang tidak lagi digunakan situs. Hal ini dapat meningkatkan keamanan dan menyederhanakan pemeliharaan di masa depan.
6. Bersihkan semua server
- Lakukan penginstalan bersih, bukan hanya upgrade. Upgrade dapat meninggalkan file
dari versi sebelumnya. Jika file yang terinfeksi tetap ada di server, situs Anda
kemungkinan besar akan diretas lagi.
- Instalasi baru harus mencakup OS jika Anda mengendalikan server, dan semua aplikasi perangkat lunak, seperti konten pengelolaan akun, platform e-commerce, plugin, dan template. Pastikan untuk memeriksa update dan {i>patch<i} keamanan yang tersedia.
- Transfer konten yang bagus dari salinan sistem file cadangan yang bersih ke server yang baru diinstal. Upload dan pulihkan hanya versi bersih yang diketahui {i>file<i} atau {i>database<i}. Pastikan untuk menjaga izin akses file yang sesuai dan tidak menimpa file sistem yang baru diinstal.
- Lakukan satu perubahan sandi terakhir untuk semua akun yang terkait dengan situs Anda (misalnya, login untuk akses FTP, akses database, administrator sistem, dan akun CMS). Pada sistem berbasis Unix, gunakan kode berikut:
passwd admin1
7. Buat rencana perawatan jangka panjang
Sebaiknya Anda melakukan hal berikut:
- Buat backup situs Anda secara otomatis dan rutin.
- Waspada saat terdapat update software.
- Pahami praktik keamanan semua aplikasi, plugin, dan perangkat lunak pihak ketiga sebelum Anda menginstalnya di server Anda. Sebuah sekuritas kerentanan dalam satu aplikasi perangkat lunak dapat mempengaruhi keamanan seluruh situs.
- Terus buat sandi yang rumit.
- Menjaga keamanan semua perangkat yang digunakan untuk login ke mesin (operasi yang diupdate sistem dan browser).
8. Periksa kembali apakah pembersihan telah selesai
Pastikan Anda dapat menjawab "ya" untuk pertanyaan berikut:
- Apakah saya sudah mengambil langkah yang tepat jika peretas mendapatkan pribadi tertentu?
- Apakah situs saya menjalankan software versi terbaru yang paling aman?
- Apakah saya telah menghapus semua aplikasi atau plugin yang tidak perlu atau tidak terpakai yang dapat membuat situs saya lebih rentan di masa mendatang?
- Apakah saya telah memulihkan konten saya dan menghapus konten peretas?
- Apakah saya telah memperbaiki akar penyebab kerentanan yang memungkinkan situs saya diretas?
- Apakah saya memiliki rencana untuk menjaga agar situs saya tetap aman?
Sekarang Anda dapat membuat situs Anda kembali online.