Átkattintás után reklám oldalra jutok

Átkattintás után reklám oldalra visz!

Átkattintás után reklám oldalra jutok – ezzel a hibával keresett meg a napokban az egyik ügyfelem, akinek a weboldalát kezelem.

Mi történt?

Valaki talált egy biztonsági rést, és bejutott a weboldalra.

Ez nagyon nem jó!

Ami a fejemben kattogott: a hiba forrását mihamarabb meg kell találni és helyre kell állítani a weboldal működését!

Milyen tüneteket produkált a hiba?

Beírtam a weboldal címét (azaz a domaint), pl.: https://valami.hu

Rákattintottam egy menüpontra pl.: https://valami.hu/rolunk -> a weboldal azonnal átnavigált egy új weboldalra, ami egy reklámot tartalmazott, először egy kis “pörgő motívum” jelezte, hogy teljesen más felületen vagyok, mint ahonnan elindultam, majd hamarosan betöltődött a reklám is. Majd végül jött egy kiírás, hogy milyen internet szolgáltatónál vagyok stb.

Ez a hiba azonban egy nap, egy böngészőben csak egyszer ütötte fel a fejét. Inkognító módban és másik böngészőben való tesztelés után tudtam újra megjeleníteni / előcsalogatni a hibát.

Fontos megjegyeznem, hogy NE KATTINTS RÁ A REKLÁMRA, ZÁRD BE A REKLÁM ABLAKOT! ha a reklámra rákattintasz, esélyes, hogy a saját gépedet is megfertőzheted és viszed tovább, majd adod át másnak is a hibát!

Mit tettem ezután?

Nem vagyok biztonsági szakember, de azért próbáltam minél előbb megtalálni a hibát és helyreállítani az oldalt!

Először az alábbi alapvető lépéseket tettem meg:

  • letöltöttem egy korábbi biztonsági mentést a teljes tárhely adatokról és az adatbázisról is,
  • visszaállítottam egy korábbi adatbázis mentést (sajnos nem oldotta meg a hibát),
  • a felesleges, nem használt felhasználókat töröltem az oldalról,
  • a felesleges és kikapcsolt bővítményeket töröltem az oldalról,
  • a sablonok közül csak azt hagytam meg, amit a weboldal használ + egy alapértelmezett wordpress sablont, minden mást töröltem az oldalról,
  • frissítés nem volt az oldalon, naprakész volt minden, tehát valahol máshol jutottak be.

Beléptem a tárhelyre, majd nézelődtem, keresgéltem.

Az index.php fájlt teleírták felesleges karakterekkel, így a nem oda tartozó részeket töröltem. Ez megoldotta a hibát, aztán kiderült, hogy mégsem! A nyelvi oldalnál továbbra is előjött a hiba!

Nekiálltam összehasonlítani a hibás és egy régebbi (2 héttel korábbi) biztonsági mentést fájl és mappaszinten.

Számomra ismeretlen nevű bővítményt (zend-fonts-wp) találtam a plugins (bővítmények mappában), amit biztosan nem láttam korábban az admin felületen keresztül. Illetve tudtam, hogy én ilyen nevű bővítményt biztosan nem telepítettem az oldalra.

A bővítmény (zend-fonts-wp) mappának a zend-fonts-wp.php fájlját megnyitottam.

A fájl fejléce hasonlóan van felépítve, mintha egy teljesen normális, legális bővítményről lenne szó:

Lejjebb görgetve a fájlban kiderült, hogy rejtőzködik az admin felületen található bővítmények között (AHA, tehát ezért nem láttam!):

Haladtam tovább a fájlban, ahol kiderült, hogy ez a galád létrehozott egy wzen-time-table nevű táblát is az adatbázisban:

Ezek után megkerestem és töröltem ezt a táblát az adatbázisból!

A honlap adminisztrátori jogosultságú felhasználóinak IP címét letárolta az adatbázis táblába, gondolom, hogy minél lassabban derüljön ki a fertőzés, hogy addig is tudjon működni a háttérben.

A fertőzés utolsó lépése, ahol megtörténik az átirányítás a véletlenszerűen generált reklám oldalakra:

Ehhez hasonló reklám oldakra dobja át a malware a felhasználókat (az adminisztrátort NEM!)

Megoldás lépései összefoglalva:

  • zend-fonts-wp mappa törlése a …/wp-content/plugins/ mappából,
  • adatbázisból a wzen-time-table tábla törlése,
  • tárhely index.php tartalmának átnézése, feleslegesen hozzáadott tartalom törlése onnan.

Biztonsági lépések, amiket megtehetsz a jövőre nézve:

  • A legegyszerűbb módja annak, hogy webhelyed lépést tartson a legfrissebb javításokkal, ha engedélyezed a bővítmények és témák automatikus frissítését . Ezt mindig a webhely napi biztonsági mentési szolgáltatásával együtt kell alkalmazni, mivel a bővítmények- és wordpress -frissítések esetenként inkompatibilitást okozhatnak (főleg, ha sokféle bővítmény található az oldalon), ami tönkreteheti webhelyedet vagy hibákat okozhat.
  • A felesleges, nem használt és/vagy kikapcsolt bővítményeket töröld az oldaladról!
  • A felesleges felhasználókat töröld az oldalról.
  • Minimum 16 karakterből álló (kis és nagy betűt, számot, speciális karaktert tartalmazó) jelszót állíts be a felhasználónvedhez!
  • Legyen tűzfal és biztonsági bővítmény az oldalon!

Jó munkát kívánok!

Posted on: 2021-10-08, by :

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Ez az oldal az Akismet szolgáltatást használja a spam csökkentésére. Ismerje meg a hozzászólás adatainak feldolgozását .