Meu site foi hackeado, e agora? Saiba o que fazer

Juntamente com o problema de comprar um domínio penalizado, este é um cenário comum entre webmasters e proprietários de sites. Provavelmente você notou um aviso nos resultados de busca, foi avisado por um amigo, recebeu uma notificação no seu navegador ou um aviso nas Ferramentas para Webmasters de um motor de busca. Em primeiro lugar é necessário manter calma e analizar o que realmente aconteceu; é importante que o problema seja identificado corretamente para que tudo seja corrigido da forma mais rápida e eficiente.

Aviso de Malware no Chrome
Não importa o tamanho do seu site, se ele usa uma tecnologia ou CMS comum, está sujeito a ser alvo de uma invasão maliciosa. Invasões comuns utilizam falhas de segurança para acessar um sistema e podem ser executadas por uma pessoa mal intencionada (black hat), ou uma pessoa bem intencionada que pretende reportar vulnerabilidades e reforçar um sistema (white hat).

Normalmente para qualquer uma destas características, a invasão de um site implica que o cibercriminoso complete os seguintes passos:

  1. Descubra uma falha de segurança presente num plugin ou software;
  2. Crie um programa, ou script que explore essa vulnerabilidade de modo a ganhar acesso ao sistema em que está instalado;
  3. Rastreie a web em busca de sites que façam uso desse plugin ou versão de software;
  4. Opcionalmente instale um código ou software furtivo para manter um vector de acesso;
  5. Use esse acesso para injectar o conteúdo desejado.

A maioria dos motivos para hackear um site, são financeiros. Ciber criminosos pretendem ganhar dinheiro através de SPAM ou distribuição de adware e malware. Usualmente a intenção é beneficiar da reputação do seu site durante o maior espaço de tempo sem ser notado, então a invasão tende a ser implementada de uma maneira que nem sempre é óbvia e preferencialmente que dificulte a detecção imediata. Tudo tem que parecer funcionar normalmente para o proprietário do site. Quanto mais tempo a invasão passar despercebida, mais o ciber criminoso vai conseguir explorar e monetizar.

Mas como um ciber criminoso monetiza em cima de invasão de sites? Para entender os motivos de uma invasão precisamos isolar os 4 motivos mais comuns que levam à invasão de um site:

  • Puro defacement (desfiguração de um site com imagens e textos), normalmente feito por iniciantes que querem demonstrar a hackers mais experientes que têm as habilidades necessárias para entrar num grupo ou obter status;
  • Beneficiar da reputação e relevância estabelecida de um site para alavancar a visibilidade de outros sites hackeados;
  • Beneficiar da reputação e relevância estabelecida de um site para distribuição de adware, de modo a injectar anúncios em qualquer site que o usuário visite;
  • Beneficiar da reputação e relevância estabelecida de um site para distribuição de malware de modo a infectar o maior número possível de sites, servidores e outros computadores para roubo de credenciais de acesso a contas bancárias ou informações pessoais que depois podem ser usadas ou vendidas.

É recomendado assumir que, uma vez que o seu site tenha sido alvo de invasão, o invasor pode ter acesso ilimitado no seu servidor, bem como adicionar ou remover qualquer tipo de informação que lhe seja favorável.

Processo de Recuperação

O primeiro passo para iniciar o processo de recuperação é decidir quem vai lidar com o processo de limpeza e recuperação do seu site. Se o problema está dentro do seu conhecimento ou se você precisa de ajuda de um profissional ou alguém de confiança. Acima de tudo é importante que a pessoa envolvida tenha conhecimentos necessários para lidar com tecnologia e segurança de servidores.

Em alguns casos é possível que você não consiga lidar com o problema sozinho, e será necessário entrar em contato com o fornecedor do seu serviço de hospedagem. Isto aplica-se especialmente a sites hospedados em servidores compartilhados onde o webmaster não tem acesso completo ao servidor.

Coloque seu site off-line

É recomendado que coloque seu site off-line até tudo estar resolvido. Para isso, e de modo a minimizar o impacto do seu site nos motores de busca, recomenda-se que faça com que suas páginas retornem um estado HTTP 503 “Service Unavailable”.

Avalie a Extensão da Invasão e Danos

É bom tentar descobrir qual o motivo que levou à invasão do seu site. Entender de entre as 4 razões listadas acima, qual se aplica ao seu caso. Foi apenas um caso de puro defacement? Ou o ciber criminoso injetou links escondidos? Existem páginas suspeitas com termos que antes não apareciam no seu site, ou em um idioma diferente?

Na maioria dos casos é relativamente fácil identificar se novas páginas foram injectadas no seu servidor. Fazendo uso do comando [site:] no Google você conseguirá identificar padrões de URLs com termos ou nomes estranhos, ou mesmo em idiomas diferentes.

Por exemplo é comum sites serem invadidos para alavancar outros sites de venda de items de farmácia como [viagra], [cialis], [phentermine], etc. Nesses casos, um bom começo para identificar a extensão do problema é usar o comando [site: +domínio +termo], por exemplo [site:example.com cialis], provavelmente irá listar todas as páginas do site que contêm o termo [cialis]. Identifique algum padrão nas URLs, um bom começo é olhar extensão das URLs, é comum as URLs injectadas serem diferentes das URLs legítimas do seu site. Para revelar URLs com uma extensão específica podemos usar o comando [ext:]seguido do nome da extensão, por exemplo [ext:html] irá listar todas as URLs com extensão html. Usando [site:] em combinação com [ext:] pode ser de grande ajuda, por exemplo o comando [site:example.comext:html] irá listar provavelmente todas as URLs ou páginas de um site com a respectiva extensão. Use o seu instinto de detective 🙂

Site Hackeado com SPAM

Em geral, um site invadido com SPAM visa ser um veículo intermediário. O invasor pretender usar a reputação e visibilidade do seu site para alavancar outros sites. Estes tipos de invasão normalmente têm como sintomas o aparecimento de páginas estranhas e links escondidos que apontam para sites externos.

Site Hackeado com Phishing, Malware ou AdWare

Um site invadido para distribuição de Malware ou Adware, ou mesmo para ataques de Phishing pode ser mais difícil de diagnosticar. Normalmente os sintomas são menos visíveis e nem sempre se refletem nos resultados de busca do site. Estes tipos de invasão em geral têm como sintomas a inclusão de arquivos JavaScript ou código malicioso no HTML das páginas de um site. Esse código visa infectar computadores desprotegidos ou desatualizados que visitem esses sites.

É recomendado inspeccionar a página de safebrowsing do Google correspondente ao seu site. Por exemplo para o meu domínio a a URL éhttps://www.google.com/safebrowsing/diagnostic?site=www.pedrodias.net. Basta substituir o domínio no final da URL para acessar outro site, mas normalmente esse link é acessível a partir da página de aviso de Malware do Google. Outra URL útil para diagnóstico e detecção de casos de Phishing é o Norton Safe Web.

Aviso Malware Google

Colete Informação e Identifique as Vulnerabilidades

Para identificar o que foi afetado e respectivas vulnerabilidades, tente descobrir o que foi modificado nos arquivos do seu servidor. Um bom começo é procurar arquivos criados ou modificados recentemente. Se você tem um servidor Apache, usar a seguinte linha de comandos pode ajudar:

xx.JPG

Ele vai listar todos os arquivos dentro do diretório onde for executado (incluindo subdiretórios) por ordem de data modificada. Depois procure por qualquer arquivo estranho ou modificado recentemente e avalie o conteúdo dos mesmos. Não esqueça de inspeccionar os logs do seu servidor, procure atividades suspeitas: tentativas de login falhadas, histórico de comandos, contas de usuários desconhecidos, etc.

Limpe o seu Servidor

A melhor maneira de limpar um servidor e certificar-se que todas as modificações feitas pelo ciber criminoso foram desfeitas, é através de uma instalação nova de software — tanto o sistema operativo como o CMS usado para servir o site. Mas antes de proceder a uma nova instalação do seu servidor, certifique-se que possui um cópia backup do seu site e todos os recursos necessários — base de dados, recursos externos, etc.

É recomendado também que inspeccione os arquivos de backup, pois eles podem conter modificações feitas pelo invasor do site, a última coisa que você quer é restaurar o seu site usando uma cópia contaminada com malware ou portas de entrada para o seu servidor. Após o processo de reinstalação e restauro verifique se tudo está atualizado, especialmente plugins, scripts e versão do seu CMS. Por último mude as suas credenciais de acesso, tanto de acesso ao servidor como acesso ao seu CMS (caso possua um). Por fim coloque seu site online novamente.

Pedido de Revisão

Nem sempre a opção de enviar um pedido de revisão é disponibilizada na sua conta de Ferramentas do Google para Webmasters. Em muitos casos, se o seu site é apenas um intermediário e não hospeda conteúdo malicioso, a opção de revisão de Malware não fica disponibilizada nas Ferramentas do Google para Webmasters. Normalmente um pedido de revisão de Malware demora cerca de 24h até ter efeito se o site for considerado como limpo — As revisões são automatizadas e não são feitas por pessoas, então certifique-se que está mesmo tudo limpo, pois apenas uma URL infectada pode fazer com que seu pedido seja rejeitado.

Para que um pedido de revisão tenha sucesso é necessário identificar que tipo de ataque seu site sofreu: Phishing, Malware/Adware ou SPAM. O processo está muito bem documentado na Central de Ajuda do Google. Recomendo que leia com atenção.

Se tem uma conta de Ferramentas do Google para Webmasters, é recomendado manter o desempenho do site sob vigilância constante durante os primeiros dias após a invasão.

Perguntas Comuns

O que fazer com URLs que ficaram indexadas, e estão retornando erros no meu site?
Não se preocupe, certifique-se apenas que essas URLs retornam um erro 404 ou 410, o Google vai gradualmente começar a eliminar essas referências dos resultados de busca. O processo pode demorar algumas semanas.

O que fazer com a quantidade de links de outros sites invadidos que apontam para o meu site?
Não precisa fazer nada, o Google reconhece esses padrões de links e isso muito provavelmente não irá afetar o seu site de uma maneira negativa.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s