Nejčastější potíže (malware, ochrana CMS, suhosin)

V průběhu provozu webové aplikace na našem hostingu může dojít k některým nečekaným situacím, které mohou zapříčinit nežádoucí chování webové stránky, nebo zamezí přihlášení do administrace používaného redakčního systému. 

Nemusí se vždy jednat o technickou vadu, ale o účelové nastavení serveru, kterým naší administrátoři zvyšují zabezpečení provozovaných služeb. Níže naleznete řešení pro nejčastější potíže.
 

 

Malware na hostingu
 

UPOZORNĚNÍ: Níže uvedeným informacím věnujte prosím zvýšenou pozornost, jejich nerespektování může vést až k pozastavení hostingových služeb na doméně. Pokud uvedeným informacím nerozumíte, obraťte se prosím na autora své webové prezentace. 

Při provozu webové prezentace může dojít k nepříjemné situaci, kdy je do obsahu stránek podvodnou cestou vpašován malware. Jedná se o škodlivý kód, který je zneužíván ke kybernetickým útokům, rozesílání spamu či napadání počítačů návštěvníků infikovaných stránek.

Malware se na stránky dostane ve většině případů zneužitím bezpečnostní chyby v samotném kódu webové aplikace. Nejčastěji dojde ke zneužití zastaralé verze redakčního systému jako je Joomla, Wordpress, OsCommerce apod. Je proto velmi důležité udržovat tento systém aktuální, včetně všech jeho pluginů a používaných šablon vzhledu.

Jestliže dojde k napadení webu, doporučujeme následující postup:

  1. Aktualizujte redakční systém (CMS) včetně všech pluginů a témat na aktuální verzi. Aktualizaci provádějte pravidelně, některé systémy nabízejí automatické aktualizace. 
  2. Změňte heslo do administrace CMS. Nové heslo si nenechávejte zasílat emailem
  3. Zkontrolujte obsah všech souborů na serveru. Pokud naše systémy nalezly nějaké napadené soubory, došlo u nich automaticky ke změně koncovky na .malware. Přejmenování napadených souborů může způsobit špatný chod stránek. Je nutné každý tento soubor projít a odstranit z něj závadný kód. Poté můžete soubor přejmenovat na původní název. Nepotřebné soubory okamžitě odstraňte
Tip: Pokud tento článek čtete v návaznosti na email s oznámením o nalezeném malware, využijte seznam souborů s podezřelým obsahem, který jsme Vám s upozorněním zaslali.


Autoři malware jsou velmi vynalézaví a dokáží svůj kód chytře ukrýt. Místo čištění proto můžete případně obnovit web ze zálohy z doby před napadením. Obratem poté proveďte změnu hesla adminstrace redakčního systému a update CMS a všech pluginů a témat, bez těchto kroků je jen otázkou času, než se malware na webu objeví znovu.

Pro orientaci si můžete své stránky také nechat zkontrolovat online scannerem na malware např. sitecheck.sucuri.net.

Je ale potřeba mít na paměti, že tento scanner neodhalí a z principu ani nemůže odhalit všechen malware, běžně se stává, že výsledek scanu je OK, ale stránky jsou přesto infikované. 

 



Ochrana zákaznických CMS před robotickými útoky

Při vstupu do administrace CMS, typicky WordPress, Joomla apod., nebo na jinou jeho komponentu, např. rozhraní xmlrpc.php, se může zobrazit požadavek na zadání jména a hesla. Zpráva také říká, že se má jako jméno a heslo zadat cms. Jedná se o ochranu před robotickými útoky na CMS ze zahraničí.

Jako jméno a heslo napište tato tři písmena: cms. Poté můžete pokračovat do administrace svého redakčního systému, kde již pokračujete svými přístupovými údaji.

Toto opatření jsme byli nuceni zavést z důvodu masivně se šířících útoků na formuláře a některé komponenty nejčastěji používaných redakčních systémů. Jedná se o prevenci přetěžování a výpadků serverů a také jako obrana proti neoprávněným přístupům do administrace webové aplikace.

Opatření se uplatní převážně při přístupu z jiné země, než z jaké jste si svůj hosting objednali. V ostatních případech byste jím neměli být obtěžování.

Na přání jsme schopni toto opatření na serveru zcela vypnout, ale podmínkou je, že využívané CMS není aktuálně cílem útoku resp. že si naše opatření nahradíte adekvátním opatřením vlastním, např. omezení přístupu na vybrané IP adresy nebo vlastním heslem přes soubor .htaccess.

Opatření je plošné a zatím trvalé, ale v případě, že vlna útoků dlouhodobě pomine, jsme připraveni jej zase zrušit. Situaci trvale sledujeme.

 


Suhosin

Na našem sdíleném hostingu na platformě Linux využíváme v PHP patch Suhosin, který zvyšuje úroveň zabezpečení serveru a brání celé řadě způsobů zneužívání webových prezentací. Suhosin odvádí svou práci velmi kvalitně, nicméně v ojedinělých případech může omezovat funkčnost webových stránek.

Pokud se do této situace dostanete a nelze věc vyřešit na úrovni aplikace, můžete si pro svůj web Suhosin vypnout následující direktovou v souboru .htaccess:

php_flag suhosin.simulation On