Segítség! Feltörték a weboldalamat! Mi történhetett?

A weboldalak többségét jellemzően kétféle megoldással törik fel:

1. A webtárhelyen futó szoftver (Wordpress, Joomla, Drupal, stb.), vagy annak valamelyik kiegészítője (plugin) biztonsági hibát tartalmazott, és azt kihasználták. Tipikus esete annak, ha a webtárhelyen a szoftverek elavult verziói vannak telepítve, azokon nincsenek a legutolsó frissítések telepítve.
   A webtárhelyre telepített szoftverek biztonsági frissítéseinek rendszeres telepítése a webtárhely használójának egyik legfontosabb feladata!
2. A támadó valamilyen módon megszerezte a webtárhely, vagy a webtárhelyen futó szoftver hozzáféréséhez szükséges adatokat, pl. felhasználónév-jelszó párost.

A jelszó megszerzésének tipikus módjai:

1. A felhasználó megtévesztésen alapuló adatlopási (phising) áldozata lett, és jóhiszeműen megadta a jelszavát illetékteleneknek.
2. A felhasználó gyenge jelszót használt, így azt próbálgatásos (szótár-alapú) módszerrel sikeresen megfejtették.
3. A felhasználó ugyanazt a jelszót használta több weboldal vagy szolgáltatás eléréséhez, és egy másik weboldalt vagy szolgáltatást feltörtek, és az ott megszerzett jelszóval beléptek.
4. A felhasználó valamelyik saját használatú eszközét (notebookját, okostelefonját, stb.) feltörték és hozzáfértek az azon tárolt adatokhoz, például az azon elmentett jelszavakhoz, vagy megfigyelhették a felhasználó tevékenységét.

Mi a teendő biztonsági incidens esetén?

A legfontosabb és általában a legnehezebb dolog megállapítani, hogy pontosan mikor és milyen módon történt az incidens. A támadók gyakran "pihentetik" a feltört rendszereket, azaz a sikeres bejutást elkövetően akár hetekig, hónapokig nem mutatnak aktivitást, ezáltal észrevétlenek maradnak.

A biztonsági incidens részleteinek felderítéséhez szükséges és hasznos kellék a weboldal és az azzal kapcsolatos szolgáltatások naplófájljainak elemzése. A naplófájlokat a tárhelyszolgáltató tudja rendelkezésre bocsátani. A felderítéshez nélkülözhetetlen lehet abban tapasztalattal rendelkező szakember (webfejlesztő, hálózatbiztonsági szakember, stb.) bevonása.

Az incidens után a webtárhelyen elhelyezett fájlokat és a weboldal által használt adatbázisokban tárolt adatokat többé nem lehet érintetlennek tekinteni. A kártékony kóddal megfertőzött fájlokat, szoftvereket és adatbázisokat szinte lehetetlen utólag tökéletesen átnézni, auditálni.

A legjobb, és leggyakrabban egyetlen valódi megoldás egy garantáltan érintetlen biztonsági másolat visszaállítása.

Természetesen, a biztonsági másolat visszaállítását követően újra fennállhatnak azok a körülmények, amelyek az illetéktelen bejutást lehetővé tették. A következő lépések tehát:

1. Az esetlegesen elmaradt biztonsági frissítések haladéktalan telepítése.
2. Az esetlegesen kompromittálódott felhasználói fiókok és jelszavak azonnali jelszóváltoztatása.
3. Amennyiben érzékeny adatok, különösen az Adatvédelmi Törvény és a GDPR által érintett személyes adatok kerülhettek illetéktelenek kezébe, az illetékes hatóságok értesítése.