Webhostingy jsou ideálním terčem hackerů, protože velmi mnoho webových stránek využívá komunitně vyvíjené aplikace, jako např. WordPress, Joomla, Drupal apod. Tyto aplikace mají svůj zdrojový kód volně dostupný ke stažení, a proto nic nebrání útočníkovi analyzovat tento kód a vytvořit exploit, který dokáže následně využít.
Aby byl kyberútok hackerů úspěšný, potřebují získat přístupy na mnoho serverů, ze kterých si umí udělat síť softwarových robotů, tzv. botnet. Útoky se však dají dělat i v menším měřítku, ale jen velmi zřídka si dá hacker námahu a prolomí bezpečnost webové aplikace.
Co z toho hackeři mají?
Důvod, proč se někdo zabývá infikováním aplikací běžících na hostingu je ten, že po získání přístupu si tam útočník může nahrát svůj kód a spouštět jím zvolené skripty, které mohou dělat všechno, co je na serveru povoleno.
V 99 % je to práce robotů (naprogramovaný software). Robot skenuje internet a tam, kde najde díru v kódu stránky se „zastaví“, uloží svůj kód a jde dál. Tento nežádoucí cizí kód může způsobit buď „jen“ nefunkčnost stránky, v horších případech je však ničení hlubší a trvalé.
Velmi častým úkazem je zařazení serveru do botnetu, který rozesílá miliony spamových e-mailů denně. Obsahem takových e-mailů jsou často nabídky na pofidérní produkty (viagra, různá „udělátka“ či nigerijský investor), které se snaží nalákat lidi ke koupi.
Mohou však obsahovat i jiné formy útoku, jako např. Phishing, kdy se útočník snaží získat přihlašovací údaje do jiných stránek (např. webmail – opět na rozesílání spamu, sociální sítě nebo internet banking aj.). K čím většímu přístupu serverů má útočník přístup, tím je více flexibilní, aby byl jeho útok silnější a konstantní.
Jak to vlastně dělají?
Ve většině případů útočníci využívají buď veřejně známé zranitelnosti v aplikacích, nebo dokonce sami hledají způsoby, jak nahrát na hosting svůj kód. V poslední době se stává trendem vkládat infikovaný kód do prémiových témat a pluginů, které se šíří pomocí P2P sítí, případně na úložištích. Režie útočníka na infiltraci svého skriptu je minimální a spoléhá se na kooperaci s programátorem (uživatelem aplikace), který infikovaný balík nainstaluje do své aplikace.
Co může hacknutý web způsobit?
Když útočník získá přístup na hosting, tak má stejné možnosti na hostingu, jako když se oprávněný uživatel přihlásí přes FTP – ba dokonce ještě větší. Ve většině případů chce útočník profitovat z možnosti mít aktivní přístup k velkému množství serverů a podle svých potřeb je zapojit do botnetu, který může kdykoliv využít k dalšímu útoku. Vzhledem k tomu, že pro útočníka je mnohem efektivnější mít možnost využít server pro své potřeby, jak se prozradit mazáním dat. Existují také útoky, které se specifikují v šifrování souborů a za poplatek je rozšifrují. Je ale velká pravděpodobnost, že útočník získá údaje k databázi a bude mít přístup i k citlivým údajům.
Jak sa bránit?
Jedna z nejdůležitějších věcí je aktualizace aplikací, aby byly vždy v aktuální verzi. To zajistí, že bezpečnostní díry, které byly objeveny, jsou opraveny a útočník nebude moci použít tuto chybu, aby nahrál na hosting svůj kód. Taktéž je vhodné použít i bezpečnostní pluginy, které vytvářejí opatření, aby při zkoušení zranitelnosti útočník nebyl schopen identifikovat aplikaci, případně její verzi. Takové pluginy mění URL na přihlášení do administrace, schovávají v <meta> tazích verzi aplikací apod. Určitě nestahujte pluginy z warez fór, případně z neznámých stránek, protože je velmi velká šance, že budou obsahovat škodlivý kód.
Jak se bráníme proti hackerům ve WebSupportu?
Vyvíjíme vlastní nástroj (Web Scanner), který pravidelně skenuje hostingy a snaží se najít infikované soubory. Pokud se mu podaří najít napadený hosting, omezíme jeho funkčnost v co největší míře, aby infikovaný skript nebyl schopen vykonávat aktivitu. Následně okamžitě upozorňujeme zákazníka a navrhneme mu vhodné řešení.
Zkontrolujte, zda je vaše stránka v bezpečí
Kontrolu vlastního hostingu můžete provést kdykoliv ve vlastní režii. Snadno tak zjistíte, zda neobsahuje malware nebo jiný škodlivý skript. Stačí se přihlásit do WebAdminu a ve správě hostingu najít Web Scanner.
Pokud chcete vyzkoušet jiný nástroj, otestujte Sucuri. Máte zkušenosti s jinými nástroji, doporučte nám je v komentářích.