Jak i gdzie reklamować sklep internetowy?

Szkolenie Pasywny Ebiznes - zapraszam

Ostatnio już drugi raz miałem doświadczenie ze zhackowaną stroną, poprzednim razem strona była oparta na skrypcie wordpress, a tym razem jakiś pan/pani z łotwy (lub poprzez łotwę) dokonał ataku na jedną z modyfikacji oscommerce.

Modyfikacje jakiej dokonały oba te ataki, nie były nijak widoczne ‘gołym okiem’ na stronie. Nie służyły one też zhackowaniu dla samego zhackowania. Niosły ze sobą jedną prostą korzyść dla tego który to zrobił, jednym słowem „pozycjonowanie’ – umieszczały na stronie dodatkowe linki do jakichś stron (z v iagrą i innym nie wiadomo do końca czym…).

Pierwszą z tych modyfikacji znalazłem analizując statystyki strony, odkryłem, że ludzie wchodzą na moją stronę wpisując frazy których na niej nie ma. Nie dało mi to spokoju… Na mojej stronie jednak nic nie mogłem znaleźć, szukałem zarówno w kodzie strony jak i bazie danych, nigdzie nic nie było.

W między czasie znalazłem w jaki sposób to działa, działało na zasadzie cloakingu – było widoczne tylko dla wyszukiwarek. Ja jako użytkownik tego nie widziałem. Pomogło mi przeglądanie kopii stron zachowanych w google, jak i narzędzia do wykrywania cloakingu .

Nadal jednak nie mogłem znaleźć tej wklejki u mnie w kodzie, doszło nawet do tego, że zaktualizowałem skrypt, a to nadal się pojawiało. Zacząłem podejrzewać jakąś ogólną dziurę w serwerze. Dopiero potem mnie olśniło, że aktualizując skrypt pozostawiłem jeden nie naruszony plik z konfiguracją (config.php). I jak się okazało wklejka hackera właśnie tam była. A nie mogłem jej znaleźć, bo była zakodowana Jakiś taki dziwny fragment kodu tam siedział, szczerze – myślałem że to jakaś część programu, a nie ruszałem jej bo nie wiedziałem do czego jest :p

Drugi przypadek ataku hackera, był już prostszy przeze mnie do odnalezienie. Biorąc się za edycje plików sklepu oscommerce, zauważyłem dziwną wklejkę w każdym z plików php. Przypatrzyłem się ostatnim datom zapisu plików i we wszystkich plikach php była taka sama, podczas gdy inne pliki na serwerze miały inną. Sprawdziłem jeszcze inne skrypty na serwerze i nie miałem już wątpliwości że to coś niepożądanego…

Wklejka była w każdym pliku z rozszerzeniem php!!!, zawierała pewną instrukcję i odwoływała się do ukrytych plików na serwerze!!! Niestety nie udało mi się rozpoznać jej działania (sposobem którym zrobiłem to poprzednio), ale szukając na forach anglojęzycznych, znalazłem informacje o tym, ze wstawia ona linki na stronę gdzieś w odległych od pola wyświetlania na ekranie „divach”.

Na szczęście udało nam się to pousuwać, po logach strony widać było że ktoś obcy jakoś dostawał się na plik filemanager.php w oscommerce, i to chyba to było źródłem ataku, biorąc pod uwagę to, że plik ten pewnego dnia „zniknął samoczynnie” z serwera.

Czy to jest groźne?

Hmm.. pod względem technicznym nic się nie stało, zarówno sklep jak i blog chodziły normalnie z tą wklejką. Ale tu nie o ten wzgląd chodzi, google z tego co wiem, banuje i nakłada filtry na strony stosujące wyżej wymienione techniki pozycjonowania (a raczej spamowania) w wyszukiwarkach. Innymi słowy przez hackera można wylecieć ze swoją stroną z indeksu!! Inną bardziej oczywistą szkodą jest zwiększenie się ilości linków na stronie, co też ma ujemny wpływ na pozycję strony. Nie mówiąc już nic o zagrożeniu utratą czy też wypłynięciu danych ze sklepu….

Jak to znaleźć?

A raczej jak jak to znalazłem (nie twierdzę, ze nei ma prostszych sposobów, ale ich nie znam), powtórzę jeszcze raz w punktach:

• Sprawdzać jak wygląda kopia strony w wynikach wyszukiwania google (u mnie były dodatkowe linki w stopce).
• Sprawdzać w narzędziach do wykrywania cloakingu czy wszystko jest w porządku.
• Przepatrzyć statystyki, czy przypadkiem ktoś nie pojawił się na naszej stronie wpisując jakieś słowa których u nas teoretycznie nie ma.
• Sprawdzać czy pliki na serwerze zajmują tyle samo co pliki instalacyjne (rzecz jasna nie wszystkie).
• Sprawdzać daty modyfikacji plików.
• Przeszukać kod pod kątem zakodowanych wklejek.

W obu przypadkach wyglądało ta jakoś tak:

eval(base64_decode(‘aWYoZnVu –tu było wiecej takich literek – T0JBTFNbJ3NoX25=’));

Jak to usunąć?
W obu moich przypadkach, trzeba było to wykasować z plików, w drugim trwało to trochę dłużej bo wszystkie pliki php były zainfekowane ale było do zrobienia (są narzędzia do modyfikacji wielu plików jednoczesnie). Trzeba tez zobaczyć co znaczył ten kod, a więc trzeba go było odkodować i zobaczyć do czego się odwoływał – pierwszy odwoływał się do obcego serwera, ten drugi zaś odwoływał się do plików ukrytych na serwerze (które też trzeba było usunąć).

No i nie zapomnieć o zmianie WSZYSTKICH haseł związanych ze stroną (nawet tego do bazy danych).

Czy da się temu zapobiec?
W obu tych moich zaobserwowanych przypadkach dało się!!! W przypadku wordpressa miałem bardzo starą wersję skryptu.. wystarczyło ja od czasu do czasu aktualizować. W przypadku zaś oscommerce już po fakcie znalazłem na anglojęzycznym forum tego skryptu podstawowe zasady bezpieczeństwa, gdzie jasno było napisane że plik filemanager należy jak najszybciej usunąć

Warto też pozakładać dodatkowe hasło na katalog admina np. przy pomocy .htaccess.