Digital Crime By An Anonymous Hacker
Digital crime by an anonymous hacker

Meu site foi hackeado, e agora?

Fonte: Pedro Dias

Seu site foi invadido ou hackeado e você acabou descobrindo isso da pior maneira… Não desespere! Mantenha a calma e leia. É um problema comum nos dias que correm.

Juntamente com o problema de comprar um domínio penalizado, ter um side invadido é um cenário comum entre webmasters e proprietários de sites. Provavelmente você notou um aviso nos resultados de busca; foi alertado por um amigo; recebeu uma notificação no seu navegador, ou um aviso em alguma ferramenta. Independentemente de como foi alertado, é necessário acima de tudo, manter calma e analisar o que realmente aconteceu. É importante que o problema seja identificado corretamente, para que tudo seja corrigido da forma mais rápida e eficiente.

Aviso de Malware no Chrome
Não importa o tamanho do seu site, se ele usa uma tecnologia popular ou CMS comum, está sujeito a ser alvo de uma invasão maliciosa. Invasões exploram falhas de segurança, buscando obter acesso a um sistema. Elas podem ser executadas por uma pessoa mal intencionada black hat, ou uma pessoa bem intencionada que pretende reportar vulnerabilidades e reforçar um sistema white hat.

Como acontece uma invasão de um site

Normalmente, para qualquer uma destas características, a invasão de um site implica que o cibercriminoso complete os seguintes passos:

  1. Descubra uma falha de segurança presente num plug-in ou software;
  2. Crie um programa, ou script que explore essa vulnerabilidade de modo a ganhar acesso ao sistema em que está instalado;
  3. Rastreie a web em busca de sites que façam uso desse plug-in ou versão de software;
  4. Opcionalmente instale um código ou software furtivo para manter um vector de acesso;
  5. Use esse acesso para injectar o conteúdo desejado.

Porque hackers invadem sites

A maioria dos motivos para hackear um site, são financeiros. Ciber criminosos pretendem ganhar dinheiro através de SPAM, ou distribuição de adware e malware. Usualmente, a intenção é beneficiar da reputação do seu site durante o maior período de tempo sem ser notado. Então, a invasão tende a ser implementada de uma maneira que nem sempre é óbvia, e preferencialmente que dificulte a detecção imediata. Tudo tem que parecer funcionar normalmente para o proprietário do site. Quanto mais tempo a invasão passar despercebida, mais o ciber criminoso vai conseguir explorar e monetizar.

Como ciber criminosos monetizam em cima de invasão de sites?

Para entender os motivos de uma invasão, precisamos isolar os 4 motivos mais comuns que normalmente levam à invasão de um site:

  • Puro defacement (desfiguração de um site com imagens e textos), normalmente feito por iniciantes que querem demonstrar a hackers mais experientes que têm as habilidades necessárias para entrar num grupo ou obter status;
  • Beneficiar da reputação e relevância estabelecida de um site para alavancar a visibilidade de outros sites hackeados;
  • Beneficiar da reputação e relevância estabelecida de um site para distribuição de adware, de modo a injectar anúncios em qualquer site que o usuário visite;
  • Beneficiar da reputação e relevância estabelecida de um site para distribuição de malware de modo a infectar o maior número possível de sites, servidores e outros computadores para roubo de credenciais de acesso a contas bancárias ou informações pessoais que depois podem ser usadas ou vendidas.

É recomendado assumir que, uma vez que o seu site tenha sido alvo de invasão, o invasor pode ter acesso ilimitado no seu servidor; bem como adicionar ou remover qualquer tipo de informação que lhe seja favorável.

Processo de Recuperação

O primeiro passo no processo de recuperação é decidir quem vai lidar com esse processo. Avalie se o problema está dentro do seu conhecimento, ou se você precisa de ajuda de um profissional ou alguém de confiança. Acima de tudo, é importante que a pessoa envolvida tenha conhecimentos necessários para lidar com tecnologia e segurança de servidores.

Em alguns casos, é possível que você não consiga lidar com o problema sozinho. Em caso de dúvida, é recomendado entrar em contato com o fornecedor do seu serviço de hospedagem. Isto aplica-se especialmente a sites hospedados em servidores compartilhados, onde o webmaster não tem acesso completo ao servidor.

Coloque seu site offline

Para iniciar o processo de recuperação, é recomendado que coloque seu site offline. Pelo menos até tudo estar resolvido. Para isso, e de modo a minimizar o impacto do seu site nos motores de busca, recomenda-se que faça com que suas páginas/URLs retornem um estado HTTP 503 “Service Unavailable”.

Avalie a Extensão da Invasão e Danos

É recomendado tentar descobrir o motivo ou vulnerabilidade que levou à invasão do seu site. Entender, de entre as 4 razões listadas acima, qual se aplica ao seu caso. Foi apenas um caso de puro defacement, ou o ciber criminoso injetou links escondidos? Existem páginas suspeitas com termos que antes não apareciam no seu site, ou em um idioma diferente?

Na maioria dos casos, é relativamente fácil identificar se novas páginas, URLs ou links foram injetados no seu servidor. Fazendo uso do comando [site:] no Google você conseguirá identificar padrões de URLs com termos ou nomes estranhos, ou mesmo em idiomas diferentes.

Os operadores do Google podem ajudar

Por exemplo, é comum sites serem invadidos para alavancar outros sites de venda de items de farmácia como [viagra], [cialis], [phentermine], etc. Nesses casos, um bom começo para identificar a extensão do problema é usar o comando [site: +domínio +termo]. Por exemplo [site:example.com cialis], provavelmente irá listar todas as páginas do site que contêm o termo [cialis].

Identifique um padrão nas URLs–um bom começo é olhar extensão das URLs. É comum que as URLs injectadas sejam diferentes das URLs legítimas do seu site. Para revelar URLs com uma extensão específica, podemos usar o comando [ext:] seguido do nome da extensão. Por exemplo [ext:html] irá listar todas as URLs com extensão html.

Usando [site:] em combinação com [ext:] pode ser de grande ajuda. Por exemplo, o comando [site:example.com ext:html] irá listar, provavelmente, todas as URLs ou páginas de um site com a respectiva extensão. Use o seu instinto de detective.

Site Hackeado com SPAM

Em geral, um site invadido com SPAM visa ser um veículo intermediário. O invasor pretende usar a reputação e visibilidade do seu site para alavancar outros sites. Estes tipos de invasão, normalmente, têm como sintomas o aparecimento de páginas estranhas e links escondidos que apontam para sites externos.

Site Hackeado com Phishing, Malware ou AdWare

Um site invadido com distribuição de Malware ou Adware, ou mesmo para ataques de Phishing, pode ser mais difícil de diagnosticar. Normalmente, os sintomas são menos visíveis, e nem sempre se refletem nos resultados de busca do site. Em geral, estes tipos de invasão têm como sintomas a inclusão de arquivos JavaScript ou código malicioso no HTML das páginas de um site. Esse código visa infectar navegadores e computadores desprotegidos ou desatualizados que visitem esses sites.

É recomendado inspeccionar a página de safebrowsing do Google. Insira o endereço do seu site e veja que tipo de vulnerabilidade o Google encontrou durante o processo de rastreamento. Essa página é também referenciada a partir dos avisos ou notificações na Search Console, ou da página de aviso de Malware do Google. Outra URL útil para diagnóstico e detecção de casos de Phishing é o Norton Safe Web.

Aviso Malware Google

Colete Informação e Identifique as Vulnerabilidades

Para identificar o que foi afetado e respectivas vulnerabilidades, tente descobrir o que foi modificado nos arquivos do seu servidor. Um bom começo é procurar arquivos criados ou modificados recentemente. Se você tem um servidor Apache, usar a seguinte linha de comandos pode ajudar:

  1. find ${1} -type f | xargs stat –format ‘%Y :%y %n’ 2>/dev/null | sort -nr | cut -d: -f2-

Esse comando vai listar todos os arquivos dentro do diretório onde for executado (incluindo subdiretórios), por ordem de data modificada. Depois, procure qualquer arquivo estranho ou modificado recentemente e avalie o conteúdo dos mesmos. Não esqueça de inspeccionar os logs do seu servidor. Procure atividades suspeitas: tentativas de login, histórico de comandos, contas de usuários desconhecidos, etc.

Limpe o seu Servidor

A melhor maneira de limpar um servidor, e certificar-se que todas as modificações feitas pelo ciber criminoso foram desfeitas, é através de uma instalação nova de software–tanto o sistema operativo como o CMS usado para servir o site. Mas, antes de proceder a uma nova instalação do seu servidor, certifique-se que possui um cópia backup do seu site e todos os recursos necessários–base de dados, recursos externos, etc.

É recomendado também que inspeccione os arquivos de backup, pois estes podem conter modificações feitas pelo invasor do site. A última coisa que você quer é restaurar o seu site usando uma cópia contaminada com malware, ou vulnerabilidades que permitam explorar uma entrada em seu servidor. Após o processo de reinstalação e restauro verifique se tudo está atualizado. Especialmente plugins, scripts e versão do seu CMS. Por último, e se não o fez inicialmente, mude as suas credenciais de acesso! Tanto de acesso ao servidor como acesso ao seu CMS (caso possua um). Por fim coloque seu site online novamente.

Pedido de Revisão para um site hackeado

Nem sempre a opção de enviar um pedido de revisão é disponibilizada nas Ferramentas do Google para Webmasters. Em muitos casos, se o seu site é apenas um intermediário e não hospeda conteúdo malicioso, ou não foi aplicada uma ação manual, a opção de revisão de Malware não fica disponível. Em geral, um pedido de revisão de Malware pode demorar cerca de 24h até ter efeito, e se o site for considerado como limpo, o seu pedido será processado e aceite.

A maioria das revisões são automatizadas e não são feitas por pessoas. Então, certifique-se que está mesmo tudo limpo! Pois apenas uma URL infectada, ou fragmento de código malicioso esquecido, pode fazer com que seu pedido seja rejeitado.

Para que um pedido de revisão tenha sucesso é necessário identificar que tipo de ataque seu site sofreu: Phishing, Malware/Adware ou SPAM. O processo está muito bem documentado na Central de Ajuda. Recomendo que leia com atenção!

Se tem uma conta de Ferramentas do Google para Webmasters, é recomendado manter o desempenho do site sob vigilância constante durante os primeiros dias após a invasão.

Perguntas Comuns

O que fazer com URLs que ficaram indexadas, e estão retornando erros no meu site?
Não se preocupe, certifique-se apenas que essas URLs retornam um erro 404 ou 410, o Google vai gradualmente começar a eliminar essas referências dos resultados de busca. O processo pode demorar algumas semanas.

O que fazer com a quantidade de links de outros sites invadidos que apontam para o meu site?
Não precisa fazer nada, o Google reconhece esses padrões de links e isso muito provavelmente não irá afetar o seu site de uma maneira negativa.

Onde posso obter mais ajuda?
No Fórum do Google de Ajuda a Webmasters.

 

Open chat
Powered by