Dauguma svetainių savininkų sužino apie įsilaužimą ne iš savų patikrų, o iš pašalinių šaltinių: lankytojo skambučio, hostingo pranešimo ar Google paieškos rezultato, kuriame prie svetainės pavadinimo atsirado perspėjimas. Iki to momento infekcija paprastai jau veikia kelias savaites.
Problemą apsunkina tai, kad šiuolaikinės infekcijos suprojektuotos taip, kad savininkas jų nematytų. Kenkėjiškas kodas aktyvuojamas selektyviai, tik lankytojams iš paieškos sistemų, tik mobiliuosiuose įrenginiuose ar tik konkrečiose šalyse. Pats savininkas, tiesiogiai atidarydamas svetainę savo naršyklėje, dažniausiai mato švarų puslapį.
Trumpas atsakymas: požymiai, rodantys galimą įsilaužimą
Jei pastebite bent vieną iš šių požymių, verta atlikti svetainės patikrą:
- Lankytojai skundžiasi peradresavimais į kazino, vaistų ar kitas svetimas svetaines
- Google paieškoje prie svetainės pavadinimo atsirado perspėjimas
- Hostingas sustabdė paskyrą dėl kenkėjiško kodo ar netipinės apkrovos
- Svetainėje atsirado naujų puslapių su svetimu tekstu ar spam nuorodomis
- Administratorių sąraše atsirado nežinomų vartotojų
- SEO pozicijos staiga krito be aiškios priežasties
- El. laiškai iš svetainės domeno patenka į spam
Diagnozei patvirtinti reikia patikrinti kelis šaltinius. Vienas požymis gali turėti ir kitų paaiškinimų — jei sutampa du ar trys požymiai, infekcijos tikimybė yra didelė.
Ką daryti per pirmas 30 minučių
Jei įtariate įsilaužimą, svarbu nepadaryti klaidų, kurios apsunkintų diagnostiką:
- Nepanikuokite ir netrinkite failų atsitiktinai — tai gali sunaikinti įrodymus ir apsunkinti valymo procesą
- Padarykite atsarginę kopiją (failai ir duomenų bazė) dar prieš bet kokius keitimus
- Patikrinkite [Google Search Console](https://search.google.com/search-console) → „Saugumas ir rankinis veiksmas" — ten matomi Google aptikti pažeidimai ir paveiktų URL pavyzdžiai
- Patikrinkite svetainę iš Google, telefono ir inkognito režimu — taip matysite tai, ką mato jūsų lankytojai
- Užfiksuokite požymius: URL, ekrano kopija, laikas — tai padės specialistui greitai orientuotis
- Jei yra redirect, Google perspėjimas ar renkami klientų duomenys — kreipkitės į specialistą, kol situacija nepablogėjo
Tiesioginiai požymiai
Nukreipimai į svetimas svetaines. Lankytojai, atėję iš Google ar Bing paieškos, nukreipiami į farmacijos, azartinių lošimų, suaugusiųjų turinio ar kitas neaiškias svetaines. Tipiškas šios infekcijos bruožas: ji veikia tik pirmajai sesijai ir tik lankytojams iš paieškos sistemų, todėl pats savininkas, atidaręs svetainę tiesiogiai, nieko nemato. Plačiau — kaip veikia peradresavimas į kazino puslapius.
Google perspėjimai. Paieškos rezultatuose pasirodo „Ši svetainė gali pakenkti jūsų kompiuteriui", arba naršyklė rodo raudoną blokavimo ekraną prieš įeinant į svetainę. Tai Google Safe Browsing sistemos atsakas į aptiktą kenkėjišką kodą: paprastai reiškia, kad infekcija veikia jau kelias savaites ar ilgiau. Ką daryti su tokiu perspėjimu — Google pažymėjo svetainę kaip pavojingą.
Nežinomi administratoriai CMS sistemoje. WordPress, PrestaShop ar kitoje sistemoje atsirado vartotojų, kurių nesukūrėte. Slaptieji administratoriai dažniausiai sukuriami automatiškai įsilaužimo metu ir naudojami kaip atsarginis prieigos kelias, nepriklausantis nuo slaptažodžių.
Svetimas turinys puslapiuose. Svetainėje atsirado naujų puslapių ar turinio japonų, kinų, rusų, ispanų ar kitomis kalbomis su kazino, vaistų ar spam raktažodžiais. Šie puslapiai dažniausiai matomi paieškos sistemų robotams, bet slepiami nuo lankytojų su vietiniu IP adresu ar tiesiogiai įvedusių svetainės adresą.
Netiesioginiai požymiai
Hostingas sustabdė paskyrą. Automatinės hostingo sistemos aptiko kenkėjišką kodą arba netipišką serverio apkrovą: spam siuntimą, kriptovaliutų kasymą ar neįprastą tinklo aktyvumą. Tai vienas aiškiausių signalų, nes hostingo automatika konfigūruota tokiems aptikimams.
Svetainė sulėtėjo be aiškios priežasties. Kenkėjiški skriptai gali naudoti serverio resursus foniniu būdu: kriptovaliutų kasymui, spam siuntimui arba kaip dalis platesnio botnet tinklo. Neįprastą apkrovos augimą be turinio ar lankomumo pokyčių verta patikrinti.
SEO pozicijų kritimas. Google gali rodyti saugumo įspėjimus ir sumažinti pasitikėjimą svetaine, todėl paspaudimų skaičius ir matomumas paieškoje gali kristi. Atsigauti prireikia žymiai ilgiau nei truko kritimas. Jei pozicijos staiga krito kelioms temoms vienu metu be jokių turinio pakeitimų, tai įspėjamasis signalas.
El. pašto blacklist. Jei el. laiškai, siunčiami iš hostingo domeno, patenka į spam, tai gali reikšti, kad serveris naudojamas spam kampanijoms. Patikrinti galima su viešai prieinamais įrankiais pagal serverio IP adresą.
Kodėl savininkas dažnai nieko nemato
Šiuolaikinės infekcijos naudoja techniką, vadinamą cloaking: kenkėjiškas kodas rodo skirtingą turinį skirtingiems lankytojams pagal kelis kriterijus:
- Šaltinis: peradresavimas aktyvuojamas tik lankytojams iš paieškos sistemų. Tiesioginiai lankytojai mato švarų puslapį
- Įrenginys: infekcija veikia tik mobiliuosiuose įrenginiuose, staliniuose kompiuteriuose viskas gerai
- Slapukas: po pirmo peradresavimo slapukas fiksuoja „jau matyta". Pakartotinai apsilankę lankytojai nebenukreipiami, tik visiškai nauji
- IP adresas: filtracija pagal geografiją. Jei serveris rodomas skirtingai pagal šalį, tai standartinė cloaking technika
- Laikas: kenkėjiškas kodas aktyvus tik tam tikromis valandomis ar dienomis
Būtent dėl to patikra reikalauja ne tik tiesiogiai atidaryti svetainę naršyklėje, o tikrinti iš kelių skirtingų šaltinių ir įrenginių.
Kaip tikrinti Google ir hostingo pranešimus
Google Search Console: svarbiausias šaltinis. Prisijunkite ir patikrinkite sekciją „Saugumas ir rankinis veiksmas". Čia matomi Google aptikti saugumo pažeidimai ir jų tipai. Jei svetainė dar nepridėta, tai verta padaryti visoms aktyviosioms svetainėms, nepriklausomai nuo to, ar yra požymių.
Google Safe Browsing tikrinimas. Adresu transparencyreport.google.com galima patikrinti, ar svetainė yra pažymėta kaip pavojinga. Tai atspindi tai, ką matys lankytojai naršyklėje atidarydami jūsų svetainę.
Hostingo el. laiškai. Patikrinkite el. pašto dėžutę, susietą su hostingo paskyra: automatiniai pranešimai apie kenkėjišką kodą ar sustabdytą paskyrą kartais patenka į nepastebėtą spam aplanką.
FTP žurnalai. Jei hostingas suteikia prieigą prie FTP prisijungimų žurnalų: patikrinkite paskutinius įrašus. Nežinomos IP adresų jungtys ar neįprastu laiku atlikti failų keitimai yra aiškus požymis.
Diagnostikos žingsniai: ką tikrinti
- 1Atidarykite svetainę inkognito režimu iš Google paieškos rezultato: taip imituojate naujo lankytojo kelią
- 2Paprašykite kito žmogaus iš kito įrenginio ir kito interneto ryšio atidaryti ir pranešti, ką mato
- 3Patikrinkite Google Search Console: ar yra saugumo pranešimų
- 4Peržiūrėkite administratorių sąrašą CMS sistemoje: ar nėra nežinomų vartotojų
- 5Patikrinkite neseniai pakeistus failus serveryje per FTP (rūšiuokite pagal pakeitimo datą)
- 6Peržiūrėkite
.htaccessfailą šakniniame kataloge: ar nėra neįprastų peradresavimo taisyklių - 7Patikrinkite duomenų bazę: ar turinyje nėra pašalinių skriptų ar nuorodų
Ko nedaryti sužinus apie galimą įsilaužimą
Neapsiribokite vien slaptažodžių keitimu. Slaptažodžius pakeisti reikės, tačiau tik po diagnostikos ir kenkėjiško kodo pašalinimo. Jei sistemoje liko backdoor, vien slaptažodžių keitimas nepadės: užpuolikas grįžta per paslėptą prieigą.
Nestatykite švarios kopijos ant viršaus. Tai dažna klaida: reinstaliuojamas WordPress, bet failų sistema ir duomenų bazė nepatikrinama. Kenkėjiškas kodas lieka ir po reinstaliacijos.
Nepasitikėkite tik viešais skeneriais. Tokie įrankiai tikrina tik viešai prieinamus puslapius: kenkėjiškas kodas, slypintis failų sistemoje ar duomenų bazėje, jiems neprieinamas. Neigiamas skenerio rezultatas nereiškia, kad svetainė švari.
Nedelskite. Kiekviena diena su aktyviu kenkėjišku kodu reiškia daugiau lankytojų, pamatančių kenksmingą turinį, ir didesnę tikimybę, kad Google Safe Browsing pažymės svetainę. Jei valymas jau buvo bandytas, bet požymiai grįžo — kodėl svetainė vėl užsikrečia po valymo.
Kontrolinis sąrašas: ar svetainė gali būti nulaužta
- Lankytojai skundžiasi peradresavimais ar svetimu turiniu
- Google paieškoje matomas perspėjimas prie svetainės
- Naršyklė rodo raudoną blokavimo ekraną
- Hostingas sustabdė paskyrą
- Administratorių sąraše yra nežinomų vartotojų
- Svetainėje atsirado naujų puslapių svetima kalba
- SEO pozicijos krito staiga be aiškios priežasties
- Google Search Console rodo saugumo pranešimus
- El. laiškai iš domeno patenka į spam
- FTP žurnaluose yra nežinomų prisijungimų
- Failų sistemoje yra neseniai pakeistų failų, kurių nekeitėte
Dažnai užduodami klausimai
Ar galima pačiam patikrinti, ar svetainė nulaužta?
Iš dalies. Google Search Console, viešieji saugumo tikrintuvai ir hostingo pranešimai gali atskleisti dalį požymių. Tačiau kenkėjiškas kodas failų sistemoje ir duomenų bazėje reikalauja tiesioginio serverio prieigos ir specifinių įrankių.
Ar antivirusinė programa kompiuteryje apsaugo svetainę nuo įsilaužimo?
Ne. Svetainės infekcija yra serverio lygio problema, nesusijusi su kliento kompiuteriu. Kompiuterio antivirusinė programa neaptinka ir negali pašalinti kenkėjiško kodo svetainės serveryje.
Kaip greitai po įsilaužimo paprastai atsiranda požymiai?
Dažniausiai požymiai tampa pastebimi praėjus 1–4 savaitėms po infekcijos, kai kenkėjiškas kodas ima aktyviai veikti. Tačiau kai kurie backdoor tipai gali būti neaktyvūs ilgiau, laukdami atakuotojo komandos.
Ar galima dirbti su svetaine, kol laukiama valymo?
Ribotai. Jei svetainė rodo akivaizdų kenkėjišką turinį ar peradresuoja lankytojus, rekomenduojama įjungti priežiūros režimą. Jei požymiai subtilūs ir tik aptikti skanerių, galima toliau dirbti, tačiau venkite keisti svarbių duomenų ar slaptažodžių iki valymo.
Kada kreiptis specialisto pagalbos
Jei patikrinimas patvirtino bent vieną požymį, verta atlikti pilną diagnostiką. Aptikti infekciją ir ją pilnai pašalinti — du skirtingi žingsniai. Apie patvirtintą įsilaužimą galima pranešti NKSC, kuris Lietuvoje registruoja ir koordinuoja kibernetinius incidentus. Jei įsilaužimo metu galėjo būti pasiekti, pakeisti ar nutekinti lankytojų ar klientų asmens duomenys, gali reikėti pranešti VDAI per 72 valandas pagal BDAR reikalavimus. Svetainės pažeidžiamumus galima patikrinti ir naudojantis nemokamu NKSC tikrinimo įrankiu.
Tokiu atveju verta atlikti svetainės saugumo auditą: patikriname svetainę ir pateikiame ataskaitą su visais rastais kenkėjiško kodo požymiais, jų lokacijomis ir rekomenduojamais žingsniais. Tai ne automatizuotas skeneris — rankinis specialisto patikrinimas, pasiekiantis ir failų sistemą, ir duomenų bazę.
Jei Google jau pažymėjo svetainę: svarbu, kad valymas būtų atliktas prieš pateikiant peržiūros užklausą. Priešingu atveju Google tikrina ir perspėjimo nepašalina, o pakartotinė peržiūros procedūra gali užtrukti žymiai ilgiau.
Dauguma svetainių savininkų pirmą požymį pastebi per kelias savaites ar net mėnesius po realaus įsilaužimo. Tarpas tarp užkrėtimo ir aptikimo trumpėja tik esant nuolatinei automatinei stebėsenai.
Dauguma svetainių savininkų pirmą požymį pastebi praėjus kelioms savaitėms ar net mėnesiams po realaus įsilaužimo. Tarpas tarp užkrėtimo ir aptikimo trumpėja tik esant nuolatinei automatinei stebėsenai.
Nuolatinė saugumo stebėsena apima savaitinį kenkėjiško kodo skenavimą ir automatinį pranešimą apie naujus pažeidimus — paprastai dar prieš tai, kai Google ar lankytojai tai pastebi. Tai ypač svarbu svetainėms, kuriose vykdoma el. prekyba ar tvarkomi klientų duomenys.
Reikia pagalbos
Susidūrėte su panašia situacija?
Aprašykite, kas vyksta — per nemokamą konsultaciją pasakysime, ką galima padaryti ir kiek tai kainuotų.
Nemokama konsultacija



