Érdekes összeállítást közölt a HVG.hu – a McAfee nemrégiben közölt tanulmányára hívta fel a figyelmet, melyben azokat a kulcsszavakat listázzák, amelyekre a feljövő oldalak jórésze bizony vírust is telepíthet a gépre.
A hackerek, vírusok terjeszteni kívánó bűnözők bizony sokkal korábban felfedezték a SEO-ban megnyilvánuló értékeket, és igyekeznek az organikus kereső forgalmat is vírusterjesztésbe átkonvertálni – úgy tűnik, hatékonyabban teszik ezt, mint bármely komolyabb cég.
Screensavers, free games, iphone, Barack Obama – izgalmas a kínálat a top10 listáról.
Ezzel kapcsolatban azonban van egy komoly probléma: méghozzá az, hogy ez a jéghegy, avagy a longtail csúcsa. A vírusok ugyanis képesek a TE organikus keresőforgalmadat is kihasználni, amelyet ki kell valahogy védened.
Az elmúlt hónapokban több kétségbeesett segítségkérésre is válaszolnom kellett – az történt, hogy a weblap bár ott volt valamely kulcsszavakra a Google.hu-n, de a találat alatt egy figyelmeztetést lehetett olvasni. Eszerint az adott lapra való kattintás veszélyes lehet a felhasználó számítógépére, ezért ne kattintson. Firefoxban rákattintva a linkre a böngésző be sem töltötte az oldalt, hanem egy teljes képernyős figyelmeztetést rakott ki, mely szerint vírusos lehet az adott oldal.
Az azonnali effekt természetesen az, hogy alaposan leredukálódik a keresőből érkező forgalmad, a másodlagos hatás pedig az oldalad / céged / terméked iránti bizalom rombolása. A számítástechnikához kevéssé értő látogatód csak azt látja, hogy “basszus, ez az oldal vírust akar telepíteni a gépemre!”. Marketing szempontból nem túl jó üzenet, ugye?
De mi történhetett, hogyan kerülhetett vírus a honlapodra?
Egyfelől, feltörhették a szervert is, de manapság ez talán a kevésbé valószínű. Szerver feltörés ellen a jobb tárhely szolgáltatóknál van olyan opció, hogy bizonyos IP címekre / tartományokra tudod korlátozni az FTP hozzáférést – ha dinamikus is az IP címed, akkor is egy minimális védelmet kapsz az adott tartományra való szűkítéssel, és akkor legalább a török / ukrán / kínai IP címekről nyomulú hackerek nem fognak tudni hozzáférni az FTP-hez. Ha egy online üzleted múlik a dolgon, akkor lehet, hogy érdemesebb költeni egy statikus IP cím fenntartására.
A jellemző vírusterjesztési módszer azonban nem a szerver direkt feltörése, hanem a szerver védelmének megkerülése. A ma terjedő vírusok jó százaléka ugyanis nem feltétlenül (csak) a bankkártya adataidat akarja megszerezni, hanem bizony az FTP eléréseket is szívesen átnyálazzák a hátad mögött. És nem csak elküldik a vírusgazdának, de egyéb aljasságokat is csinálnak: a TE gépedről fellépnek a TE FTP-szerveredre, és betelepítenek mindenféle csúnyaságot a TE honlapodra. Ez ellen pedig az FTP IP-cím korlátozása sem véd, hiszen Tőled megy fel a vírus a szerverre. Így a Te honlapodat is egy vírusterjesztővé alakítják.
Amit később jó eséllyel abból vehetsz észre, hogy a Google a Te honlapod mellé is rak egy csinos figyelmeztetést: ne kattints ide.
De pont a minap hallottam egy másik finom esetről: egy site iframe-ben húzott be tartalmat egy partneroldalról, a partneroldal viszont vírusos volt: a Google viszont a vétlen sitera is kiírta a figyelmeztetést emiatt.
Van még két olyan kár, amit okozhatnak Neked a hackerek, és amit ki kell védened: pár éve megnéztem egy honlap forráskódját, és láthatatlan linkeket fedeztem fel rajta. A támadók a phpNuke biztonsági hibáit kihasználva pornó és warez siteokra mutató kulcsszavas linkeket helyeztek el az oldalon, és ha nem veszem észre, ma is ott lennének ezek a linkek. Kell részleteznem, mi a hosszútávú hatás? Bizalomvesztés a Google részéről, visszaeső helyezések, csökkenő organikus forgalom, és totális értetlenség, hogy akkor most mi van.
Egy másik sokkal direktebb kár az az AdWords accountod megszerzése: most már az AdWords jelszavakat is lopják ugyanis, így a Te pénzedből finanszírozva made for adsense oldalakat, vagy terjesztve vírusokat.
A tanulság tehát:
– legyél biztonságos szerveren, ha van IP korlátozásra lehetőség, használd ki
– ne sajnáld a licenszdíjat egy jó vírusirtóra / tűzfalra: egyetlen nap több pénzt bukhatsz, mint annak az ára
– felejtsd el az iframe-et.
Mi a teendő akkor, ha a Te oldalad is áldozatául esett egy vírusnak?
1. Totális vírusirtás a gépeden
2. Víruskeresés az FTP szerveren, korábbi, vírusmentes állapot felrakása a szerverre generic sildalis
3. Google Webmaster Toolsban látni fogod szintén a figyelmeztetést, itt kérheted néhány kattintással a figyelmeztetés eltörlését. Ha mázlid van, pár nap alatt átfut – volt, akinek nem volt mázlija, és hetekig tartott.
KIEGÉSZÍTÉS:
Pont előkerült a téma a SEO fórumon is, a tagok két, témába vágó linket is ajánlottak:
Webpage Security Report – megnézi az oldaladat, hogy van-e rajta bármi gyanús. Sőt, kiírja azt is, ha véletlen valaki olyanra linkelnél, akinek az oldalával nincs valami rendben.
Egy apró trükk a Total Commander biztonságosabbá tételéhez – hogy a TC-ből, amelyet valószínűleg a legtöbben használnak FTP hozzáférésre, ne tudják a vírusok megszerezni az FTP jelszavakat.
Valamint Mosquito hívta fel a figyelmet a Google Safebrowsingra is, amivel szintén csekkolhatod a honlapod állapotát, THX!
es hat van ez a nagyon hasznos eszkoz a google-tol, a safebrowsing – http://www.seoblog.hu/keresooptimalizalas-seo/serpguard – amivel ellenorizni is tudod a weboldalad allapotat
Köszi, bele is raktam a postba.
Azert van mas is. A nagy webkettes mamorban bizony a legtobben eszeveszettul pakolnak be alkalmazasokat es mas nyalanksagokat az oldalukba. Nem kell a te oldaladat megkerulni vagy feltorni – ahacker okos es szeret keves munkaval nagy eredmenyt elerni – hanem azokat az oldalakat veszik celba, amelyeket mindenfele alkalmazasokon keresztul nagy tomegek becsatolnak a sajat oldalukra. Merras, en mar beszeltem neked errol, de elkuldtel a fenebe ezzel 🙂
Szoval a Web2 kivaloan alkalmas arra, hogy egyszerre, nagy tomegben fertozzon, elso lepcsoben azokat a johiszemu oldalakat, akik sajat tartalmukba idegen (es ellenorizetlen) tartalmakat olvasztanak be, aztan onnan pedig mar szabad az ut 🙂
@Brod: egen, mert sikerült a lehető legparanoidabb módon előadnod, amely szerint már a jobb oldali sidebarba betett facebook és google friend connect dolgok is valami hihetetlen életveszélyt jelentenek biztonsági szempontból. 🙂 Illetve emlegettél valamit, hogy a wikipedia.org mekkora veszélyes cucc.
Jun: olyan is volt 🙂 mivel sajnos a wikinek nemigazan jol van megirva a vedelme, szamos fertozest a wiki oldalakba beszurt kodok kovetnek el. Ugyanigy a twsitter, facebook alkalmazasok altal elkovetett fertozesekkel is tele van a net, szoval en nem csipazom a dolgokat 🙂 a web2 ellen igen is vedekezni kell – vallalati szinten legalabbis 🙂
Brod, a jobb oldalon található friendconnect és facebook beszúrások miben veszélyeztetik a blogomat / a látogatóim gépét?
Jun: azert pl te is hallottal mar a kepekbe helyezheto malware kodokrol, nem? Szal feltoltok egy fertozott kepet a profilomba, te meg jol kipakolod, es mindjart fertozo forrassa valik a sajat oldalad. Ez persze csak egy pelda, de a facebookos fertozesekkel tele a sec. sajto 🙂
És akkor ennek mi a megoldása, minden blogger kapja le azonnal a FB / Google Friend Connect cuccokat a blogjából? 🙂
Jun: ebben az esetben es megkozelitesben nem az szamit, hogy a tartalom honnan jon – hiszen a te url-ed pl elvileg megbizhato LENNE – ha nem rangatnal bele kulso tartalmakat, amelyek URL szempontjabol a te oldaladrol szarmazonak tunnek. A web2 tulleptette az enterprise security url alapu osztalyozasat, hiszen pl egy seo-s kolleganak kincs a te honlapod, annak blokkolasa a munkavegzesre akar karosan is hathatna. Szoval url alapon nem lehet ma mar vedelmet adni, csak es kizarolag tartalmi vizsgalati alapon. Tehat magat az oldaltartalmadat kell a rendszereknek elemeznie.
igazabol a megoldas az lenne, ha a web2-es oldalak/rendszerek figyelnenek oda a biztonsagra. De nem teszik. Nagyon jol elhatarolodik mindenki a rendszerukre fejlesztett alkalmazasoktol – mondvan, hogy nem ok keszitettek, csak az api-t adtak hozza. Kod szinten ezek az alkalmazasok nincsenek ellenorizve, es bosegesen lehetoseget adnak a tamadasokra. Mivel a web2 kozossegi rendszerek nem figyelnek oda a biztonsagra, ezert ezt masnak kell megtennie. Maganoldalrol en persze leszarom, hogy kinek hogy fertozodik a gepe, vagy, hogy ki mit csinal, viszont enterprise security oldalrol nezve azert ez nem ilyen egyszeru.
De mondok mas valamit. Itt volt a tmobil-vodafon botrany. Marmint hogy a vodas marketinges egy olyan uzenetet nyomott a twitterbe, amit nem hagyatott jova es utolag a voda el is hatarolodott tole. Maganvelemenyem persze az, hogy a voda vezetosege huje fasz volt, de ez most mindegy.
Enterprise security oldalrol a twitter egy ellenorizetlen csatorna. Ha a vodanak van megfelelo rendszere, akkor engedelyezheti a twitter OLVASASAT, viszont az IRASAT tilthatja. Jelen esetben szabalyozhatta volna, hogy a kollega nem irhatott volna a twitterre (persze a pelda santit, hiszen elvileg neki volt jogosultsaga erre) – mindenesetre a peldabol az latszik, hogy a web2-es tartalmakat kitiltani nem kell – pl url alapon a twitter blokkolasa meglehetosen durva megoldas lenne – viszont megfelelo rendszerrel lehet szabalyozni, hogy mely alkalmazasat, alkalmazasokat ki es hogyan hasznalhatja a vallalaton belulrol.
en nem arrol beszeltem, hogy a web2-t fullba tiltani kell, viszont kurva nagy szukseg van arra, hogy a tartalmakat ellenorizzek.
[…] footer.php filet. Sajnos akkor is képes erre, ha amúgy a template fileokra nincsen írási jog. Erről egyébként már írtam korábban is, a módszer azóta sem változott. Amellett, hogy érdemes rendszeresen utánaolvasgatni annak, […]