Časté problémy » Virus na stránce

Virus na stránce

Hlásí Vám prohlížeč nebo antivirus nebezpečnou stránku na doméně, kterou máte u nás? Nebo je obsah jiný než by měl být?

K neoprávněné změně stránek dochází nejčastěji z důvodu získání FTP hesla uloženého na zavirovaném PC. Nejčastěji bylo pozorováno u programu Total Commander. Druhou častou příčinou je nezabezpečený PHP kód (zahrnuje i neaktualizované redakční systémy), který pak umožní upload škodlivého kódu.

Doporučujeme následující opatření:

1. Proveďte antivirovou kontrolu všech PC, na kterých máte uloženo heslo (resp. e-mail s konfiguračním listem) a z kterých se pomocí FTP připojujete.
2. Změňte si FTP/MySQL heslo na adrese www.nastavit.domenu.cz. To je nutné pouze v případě, že došlo k prozrazení Vašeho hesla.
3. Zkontrolujte zabezpečení PHP skriptů a nastavení práv v FTP adresáři, zejména ve smyslu zamezení uploadu škodlivého kódu pomocí PHP. Pokud používáte redakční systém, je nutné provést upgrade všech komponent, doporučuje se obecně změna hesel do administrace a vypnutí případných nebezpečných doplňků.
4. Poté uložte své stránky do webprostoru znovu, tj. s odstraněným virem.
5. Doporučujeme také zkontrolovat vypnutí register_globals (pouze tarify obsahující PHP umístěné na serveru Saturn). Poměrně častou příčinou tohoto stavu je zapnutá PHP funkce register_globals na doméně. Novým zákazníkům je tato funkce automaticky vypnuta, vzhledem k relativní nebezpečnosti se zapíná pouze na požádání na adrese www.nastavit.domenu.cz. Důvodem napadení je poté zabezpečení PHP skriptu. Pokud funkci register_globals Vaše skripty nevyžadují, dopoporučujeme tuto funkci v nastavení vypnout. Pokud Vás zajímá více informací o této problematice, přečtěte si zajímavý článek zde:
   http://www.linuxsoft.cz/article_print.php?id_article=636
6. Po uložení odvirovaných stránek může stále prohlížeč (zejm. Firefox) hlásit nebezpečnou stránku. Využívá totiž databáze nebezpečných stránek, do které přispívá mj. vyhledávač Google. Pro odstranění viru na Vašich stránkách není vyřazení z této databáze okamžité, chvíli trvá než se změna do databáze promítne. Pro urychlení je možno zažádat o revizi stránky pomocí "webmaster tools" poté, co si na http://www.google.com založíte účet a autorizujete se jako webmaster domény jedním z nabízených způsobů. Zpravidla do několika hodin je pak Vaše doména vyřazena z databáze nebezpečných stránek (je-li vše v pořádku). Pokud byste si nevěděli rady s vyřazením stránky, je možno nás kontaktovat a můžeme celý proces na Google podat za Vás, účtováno je pak jako jedna započatá hodina práce technika. 

Nový konfigurační list si můžete nechat poslat na adrese www.nastavit.domenu.cz. V případě zavirovaného PC doporučujeme nejprve provést změnu hesla i u cílového e-mailu, než si jej necháte poslat. Stejně tak je důležité předem provést důslednou antivirovou/antispyware kontrolu Vašeho PC, aby nenastala stejná situace. Dále nedoporučujeme sdělovat heslo třetí osobě a neukládat ho v FTP programu (např. Total Commander, LeechFTP, FileZilla apod.).

Pokud již nemáte zálohu své stránky nebo si nevíte s výše uvedeným rady (např. původní webmaster již není k dosažení), můžeme se pokusit o obnovu domény ze zálohy. Je třeba nás kontaktovat co nejdříve, aby byla záloha ještě k dispozici (archivace probíhá několik týdnů zpětně). Je dobré si také vzpomenout, kdy byla Vaše stránka naposledy v pořádku funkční. Ruční obnova administrátorem je placená služba a její součástí je změna hesel a náhrada hesla ve skriptech pro připojení k databázi. Podotýkáme však, že neřeší případné špatně zabezpečené skripty a pokud stále špatně napsané PHP skripty umožní útočníkovi napadnout web, není vyloučeno opětovné napadení. V takovém případě je třeba zajistit opravu nejlépe původním tvůrcem.
Druhou možností je aktivace našeho bezplatného redakčního systému WEBEDIT.ONLINE, což jsou de facto nové bezplatné stránky, které si upravujete sami. Aktivace je možná v administraci www.nastavit.domenu.cz

Update: V poslední době bylo zaznamenáno několik virů, které provádí přesměrování stránek pomocí skrytého souboru .htaccess, který se nakopíruje do Vašeho FTP prostoru po prolomení hesla. Pokud jej k funkci stránek nepoužíváte, je dobré ponechat podporu .htaccess na stránce www.nastavit.domenu.cz vypnutou (implicitní hodnota).