Tip:
Highlight text to annotate it
X
MAILE OHYE: Cześć, jestem Maile Ohye.
W kolejnym filmie z serii o odzyskiwaniu zaatakowanej witryny
zajmiemy się oceną szkód.
Ten film jest dla osób,
które dostały wiadomość o zainfekowaniu ich witryny
złośliwym oprogramowaniem i mają dość wiedzy technicznej,
by czytać kod źródłowy i używać poleceń na terminalu.
Jest tu ze mną Lucas Ballard, inżynier Google zajmujący się
funkcją Bezpieczne przeglądanie, który opowie, jak walczyć
ze złośliwym oprogramowaniem.
LUCAS BALLARD: Cześć, Maile.
MAILE OHYE: Dziękuję, że zaoferowałeś pomoc.
Omówiliśmy już problem ataku hakerów i potwierdziliśmy,
że przejęta witryna rozsyła złośliwe oprogramowanie.
Jesteśmy gotowi do oceny szkód.
Czy zanim zaczniemy, możesz wyjaśnić,
co to jest złośliwe oprogramowanie?
LUCAS BALLARD: Jasne.
Złośliwe oprogramowanie to ogólna nazwa programów,
które powodują szkody na komputerze lub w sieci.
Są to m.in. wirusy, robaki, programy szpiegowskie,
keyloggery i konie trojańskie.
Aby chronić przed nimi użytkowników sieci,
zespół Bezpiecznego przeglądania Google skanuje internet,
szukając szkodliwych stron.
Automatyczne skanery wykrywają
złośliwe treści na zainfekowanych stronach.
Reputacja webmastera nie ma przy tym znaczenia.
Infekcje złośliwym oprogramowaniem są częste.
Codziennie znajdujemy 10 000 nowo zainfekowanych witryn.
MAILE OHYE: Dobrze wiedzieć.
Możesz podać konkretny przykład tego,
co taka infekcja oznacza dla witryny?
LUCAS BALLARD: Oczywiście.
Gdy wiarygodna witryna dostaje etykietę
„zainfekowana złośliwym oprogramowaniem”,
to znaczy, że według Google odwiedzający ją użytkownik
jest automatycznie kierowany do innej,
która atakuje jego przeglądarkę.
Przeglądarka trafia do atakującej witryny
zwykle dlatego, że pierwotna witryna
lub jeden z jej zasobów został tak zmieniony,
by zawierał treści ze szkodliwej witryny.
Ostrzegamy użytkowników przed zainfekowanymi stronami,
bo gdy na nie wchodzą, kod atakującej witryny
wykorzystuje lukę w zabezpieczeniach przeglądarki.
Po udanym ataku złośliwe oprogramowanie
bez wiedzy użytkownika jest automatycznie przesyłane
na jego komputer.
Może to być program szpiegowski, który zbiera dane logowania
do witryn banków, lub inny program,
który z zainfekowanego komputera wysyła spam.
Po przejęciu komputera użytkownika
haker ma kolejny węzeł
w swojej sieci złośliwego oprogramowania
używanej do ataków na komputery i witryny.
MAILE OHYE: Ten przykład pokazuje,
że złośliwe oprogramowanie jest jak choroba zakaźna.
Jak właściciel witryny może sprawdzić,
czy jego witryna jest zainfekowana
i czy atakuje komputery?
LUCAS BALLARD: OK.
Bezpieczne przeglądanie Google publicznie informuje o tym
wszystkich użytkowników, a nie tylko zweryfikowanego
właściciela witryny.
Wejdźmy na laptopie na stronę diagnostyczną
w Bezpiecznym przeglądaniu Google.
Piszemy www.google.com/ safebrowsing/diagnostic?site=
i adres witryny.
Na przykład googleonlinesecurity.blogspot.com.
Jest tu bieżący stan witryny wskazujący,
czy użytkownicy mogą bezpiecznie przeglądać jej strony.
Mój zespół zarządza skanerami, które generują
te dane.
Nasz blog o bezpieczeństwie online jest zabezpieczony.
Sprawdźmy witrynę ze złośliwym oprogramowaniem,
by pokazać informacje, które mogą się tu pojawić.
Dane na stronie diagnostycznej w Bezpiecznym przeglądaniu
to bieżący stan witryny, który wskazuje,
czy jest ona bezpieczna,
czy raczej zagraża użytkownikom.
Zainfekowane witryny są oznaczone jako podejrzane.
Poniżej jest szczegółowy opis tego,
co stało się podczas odwiedzin Google w witrynie.
Np. widać tu listę wywołanych
witryn atakujących.
Są też informacje o tych witrynach.
Witryna atakująca zawiera złośliwe oprogramowanie,
które infekuje komputery. Możesz sprawdzić,
czy Twoja witryna jest w sieci takiego oprogramowania.
Gdy klikniesz witrynę atakującą lub sieć,
zobaczysz więcej danych z Bezpiecznego przeglądania.
Ostatnia część strony informuje,
czy Twoja witryna pośredniczy w infekowaniu innych
lub zawiera złośliwe oprogramowanie.
MAILE OHYE: Dziękuję, Lucas.
Skoro wiemy, co to jest złośliwe oprogramowanie,
czy możesz wyjaśnić, jak bezpiecznie zbadać
szkody w witrynie?
LUCAS BALLARD: Trafne pytanie.
Dobrze, że je zadałaś.
Zanim otworzysz strony, usuniesz pliki czy poprawisz witrynę,
poznaj kilka wskazówek, jak badać złośliwe oprogramowanie.
Po pierwsze: nie otwieraj
zainfekowanych stron w przeglądarce.
Złośliwe oprogramowanie często rozprzestrzenia się,
wykorzystując luki w jej zabezpieczeniach.
Otwierając w niej zainfekowane strony,
prosisz się o kłopoty.
Po drugie: podczas kontroli złośliwego kodu przydaje się
dostęp do serwera.
Czasem złośliwe oprogramowanie ujawnia się w zależności
od klienta użytkownika, plików cookie, strony odsyłającej
pory dnia, systemu operacyjnego lub wersji przeglądarki,
więc dobrze jest zobaczyć
kod źródłowy strony, by poznać jej zawartość
i sposób działania.
Po trzecie: jest kilka przydatnych narzędzi
do diagnostyki żądań HTTP i pobierania stron
podczas oceny szkód w witrynie.
Hakerzy często ustawiają przekierowania z normalnych witryn
do tych atakujących i samo przejrzenie kodu strony
może nie wystarczyć, by je wykryć.
Musisz pobrać stronę.
Dwa pomocne, bezpłatne narzędzia
to Wget i cURL.
Oba pozwalają wysyłać żądania HTTP,
w których możesz podać stronę odsyłającą,
klienta użytkownika i informacje o przeglądarce.
Ta funkcja pomaga wykryć niektóre
zaawansowane metody, których używają hakerzy,
by uniknąć wykrycia.
Np. haker może tak ustawić witrynę,
by kierowała do złośliwych treści tylko wtedy,
gdy jest otwierana ze strony wyników wyszukiwania.
Jeśli użytkownik szukał czegoś na google.com,
żądanie strony zawiera stronę odsyłającą Google.
Wyświetlanie złośliwych treści
tylko użytkownikom Google pozwala hakerowi
kierować je do rzeczywistych osób
oraz lepiej unikać wykrycia przez webmasterów
i skanery złośliwego oprogramowania.
Po wyszukaniu Wget i cURL znajdziesz
w wynikach materiały o tym, jak używać tych narzędzi.
MAILE OHYE: Podsumujmy wskazówki.
Podczas badania złośliwego oprogramowania w witrynie
nie otwieraj stron w przeglądarce,
przejrzyj kod źródłowy strony w systemie plików
oraz poszukaj przekierowań i sprawdź kod źródłowy,
używając Wget lub cURL.
LUCAS BALLARD: Na stronie diagnostycznej
w Bezpiecznym przeglądaniu
są ogólne informacje o stanie witryny.
Kolejne miejsce to sekcja o złośliwym oprogramowaniu
w Narzędziach dla webmasterów.
MAILE OHYE: Jako zweryfikowany właściciel witryny loguję się
do Narzędzi dla webmasterów, wybieram witrynę, a potem klikam
Diagnostyka i Złośliwe oprogramowanie.
Lucas, powiesz nam więcej o danych,
które Twój zespół podaje na tej stronie?
LUCAS BALLARD: Jasne.
Strona Złośliwe oprogramowanie ma u góry dwa przyciski,
Pobierz tę tabelę i Zgłoś prośbę o sprawdzenie.
Tego drugiego użyjesz po usunięciu
złośliwego oprogramowania z witryny.
Wcześniej jednak
trzeba ocenić szkody.
Tabela na stronie zawiera przykładowe
zainfekowane URL-e z witryny,
typ infekcji rozpoznany przez nasze skanery
i datę ostatniego wykrycia.
Kliknięcie URL-a wyświetla stronę szczegółów
z określonymi funkcjami.
Przy niektórych URL-ach nie ma typu infekcji.
Skanery wykryły, że URL jest złośliwy,
ale nie udało się stwierdzić, jak działa.
Każdy typ infekcji
dokładnie omówię w osobnym filmie.
Po zbadaniu przykładowych URL-i
z Narzędzi dla webmasterów ostatnia czynność
w tym kroku to ogólna ocena szkód w witrynie.
MAILE OHYE: Tak.
„Ocena szkód w systemie plików” to ostatni film
o tym etapie.
Taka ocena pozwala przygotować
listę plików zmienionych lub dodanych przez intruza,
która ułatwi czyszczenie witryny w kolejnych krokach.
Dziękuję, Lucas.
Więcej o wszystkich typach złośliwego oprogramowania
dowiesz się z filmów Lucasa o konfiguracji serwera,
wstrzykniętym SQL-u, szablonie błędu itp.
Po zbadaniu szkód związanych z każdym typem
złośliwego oprogramowania w witrynie wykonaj ogólną ocenę
systemu plików.
Gdy to zrobisz, zacznij kolejny krok,
czyli znajdowanie luki w zabezpieczeniach.
Jesteśmy coraz bliżej zakończenia odzyskiwania.
Oby tak dalej.