The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

Gehackt met malware

Deze stap is van toepassing op sites die zijn gehackt om malware te verspreiden. Vaak wordt in zoekresultaten de waarschuwing Deze site kan schade toebrengen aan uw computer weergegeven. Deze stap is een van de langste in het herstelproces. In deze stap stelt u een lijst samen van de beschadigde bestanden op uw site. U gebruikt deze lijst in de latere stap Uw site schoonmaken en bijhouden.

Als uw site is geïnfecteerd met spam – dus niet met malware – en in zoekresultaten de waarschuwing Deze site is mogelijk gehackt wordt weergegeven, leest u de pagina Schade door spam beoordelen (gehackt met spam).

Wat u nodig heeft:

  • Beheerderstoegang via shell/terminal tot de servers van uw site: internet, database, bestanden
  • Kennis van shell/terminal-opdrachten
  • De mogelijkheid om SQL-zoekopdrachten uit te voeren in de database.

Wat u gaat doen:

Voorbereiding

  1. Gebruik geen browser om pagina's op uw site weer te geven. Omdat malware zich vaak verspreidt door misbruik te maken van kwetsbaarheden van de browser, kunt u uw computer beschadigen als u een geïnfecteerde malwarepagina in een browser opent.
  2. Maak een document waarin u de bevindingen van deze stap vastlegt. Dit document bevat uiteindelijk (ten minste) de naam/locatie van elk beschadigd bestand met opmerkingen over de mate waarin het bestand is beschadigd. Dit document dient als basis voor Uw site schoonmaken en bijhouden.
  3. Bekijk indien nodig extra bronnen:
    • Bekijk de video hierboven om te zien hoe malware werkt en hoe u uzelf beschermt tijdens uw onderzoek naar malware.
    • Bekijk de diagnostische pagina Google Safe Browsing voor algemeen beschikbare informatie over het mogelijke gevaar van een site voor gebruikers. U kunt de status van uw site opzoeken in een lijst via een URL die er vergelijkbaar uitziet als:
      http://www.google.com/safebrowsing/diagnostic?site=<your-site>
      Bijvoorbeeld: http://www.google.com/safebrowsing/diagnostic?site=webmastercentralblog.blogspot.com
  4. Gebruik cURL of Wget om HTTP-verzoeken uit te voeren (bijvoorbeeld om een pagina op te halen).

    Deze gratis beschikbare tools zijn nuttig bij de diagnose van omleidingen en kunnen tevens informatie verstrekken over de verwijzende URL of user-agent. Het is nuttig om een specifieke verwijzende URL of user-agent toe te voegen om hackers na te bootsen. Sommige hackers versturen namelijk schadelijke content alleen naar gebruikers met specifieke user-agents of verwijzende URL's om meer 'echte' mensen te targeten en te voorkomen dat ze door site-eigenaren en malwarescanners worden ontdekt.

    $curl -v --referer "http://www.google.com" <your-url>

Onderzoek van specifieke malware-infectie op uw site

  1. Selecteer uw geverifieerde site in Search Console en klik op Beveiligingsproblemen.
  2. Onderzoek alle categorieën malware (bijvoorbeeld serverconfiguratie, invoeging van SQL) die in 'Beveiligingsproblemen' bij uw site staan vermeld. Klik op 'Details weergeven' voor meer informatie over geïnfecteerde URL's per categorie. (Details kunnen fragmenten bevatten van code die de hacker heeft ingevoegd.) Kopieer voor elke categorie de volgende elementen naar uw onderzoeksdocument:
    • Alle voorbeelden van geïnfecteerde URL's voor de malwarecategorie in Beveiligingsproblemen.
    • Alle andere beschadigde pagina's die u tijdens uw onderzoek aantreft.
    • Gedetailleerde bevindingen over de geïnfecteerde URL's, zoals het type schade.
  3. Hieronder vindt u informatie die u bij het onderzoek naar elke malwarecategorie kan helpen:

Beoordelen van de schade aan het bestandssysteem

Log vervolgens in op het bestandssysteem van uw site voor diepgaander onderzoek. De hacker kan onder andere bestaande pagina's of databaserecords hebben gewijzigd, geheel nieuwe pagina's met spam hebben gemaakt, functies hebben geschreven waardoor op schone pagina's spam wordt weergegeven, 'achterdeuren' hebben gemaakt waardoor de hacker toegang heeft tot uw site, of waardoor schadelijke taken worden uitgevoerd totdat deze 'achterdeuren' worden verwijderd.

Als uw site online is, kunt u deze voor de volgende stap weer offline halen.

  1. Als u over een goede back-up van uw site beschikt, kunt u bestanden vergelijken om te bepalen welke bestanden sinds de back-up zijn gemaakt of gewijzigd. Voeg deze bestanden aan uw lijst toe, omdat u deze waarschijnlijk nader wilt onderzoeken. Gebruik op Unix-systemen een opdracht zoals:
    $ diff -qr <current-directory> <backup-directory>
    Bijvoorbeeld:
    $ diff -qr www/ backups/full-backup-20120124/
    Het volgende kan ook:
    $ md5sum <current-page> <backup-page>
    Bijvoorbeeld:
    $ md5sum www/page.html backups/full-backup-20120124/page.html
  2. Controleer de logbestanden voor de server, toegang en foutmeldingen op verdachte activiteiten, zoals mislukte inlogpogingen, de opdrachtgeschiedenis (met name die van de root), het maken van onbekende gebruikersaccounts, enzovoort. De hacker kan deze logbestanden voor zijn eigen doeleinden hebben gewijzigd. (Voorbeelden zijn te zien in de video voor Het beveiligingsprobleem identificeren.)
  3. Controleer configuratiebestanden, zoals .htaccess en httpd.conf, op omleidingen. Hackers maken vaak voorwaardelijke omleidingen op basis van de user-agent, tijd van de dag of verwijzende URL.
  4. Controleer op te soepele toegangsrechten voor mappen en bestanden. Hackers passen toegangsrechten vaak aan. Als de site-eigenaar de soepele toegangsrechten niet ontdekt, kan de hacker altijd opnieuw inbreken op de site. Bestanden met een waarde groter dan 644 (rw-r--r--) en mappen met een waarde groter dan 755 (rwxr-xr-x) kunnen beveiligingsrisico's met zich meebrengen. Controleer of alle mildere toegangsrechten echt noodzakelijk zijn. Als uw systeem Unix gebruikt, typt u:
    $ find <your-dir> -type d -not -perm 755 -exec ls -ld {} \;
    $ find <your-dir> -type f -not -perm 644 -exec ls -la {} \;
  5. Gebruik voor databases een tool als phpMyAdmin om record voor record te onderzoeken.

Volgende stap

De volgende stap in het proces is Het beveiligingsprobleem identificeren.