LEIA ATÉ O FINAL
O Meu site foi hackeado(invadido) e agora?
Primeira coisa a se fazer nestes casos é se acalmar e ler atentamente este post do começo ao fim, não basta apenas ler a parte que mais lhe interessa ou a parte que você “acha” que vai resolver o seu problema, primeiro é preciso entender como ocorre as invasões por códigos maliciosos para depois identificar o tipo de invasão que o seu site sofreu e por fim trabalhar na solução e evitar que este problema volte a ocorrer no futuro.
Quais os tipo de invasões que existem?
Existem vários tipos, segue algumas delas:
1- Invasão por códigos maliciosos oculto nos arquivos PHP.
2- Descuido ou uso de senhas fáceis tanto do banco de dados quanto da área administrativa de seu site.
3- Site mal programado ou falhas de segurança do próprio desenvolvedor.
5- Computador do administrador do site ou da hospedagem infectado por vírus ou trojans, que tem como intuito roubar suas senhas ou dados.
Logicamente existem outras formas de um usuário mal intencionado com conhecimento suficiente em programação web e hospedagem invadir seu web site (independente da plataforma e hospedagem utilizada), como por exemplo invasão através de pastas com permissões 777, mas tudo é uma questão de falta de atenção ou até mesmo falha de segurança por parte do utilizador ou desenvolvedor.
O que são códigos maliciosos ocultos ou criptografados?
Os códigos maliciosos geralmente ficam ocultos dentro de arquivos PHP aleatórios, fazendo com que seu site tenha falhas de segurança onde o usuário mal intencionado poderá invadir a qualquer momento que ele achar necessário liberando a ele acesso ao seu banco de dados e arquivos FTP da hospedagem da vitima, a maioria dos códigos maliciosos são criptografados pela função eval(), isso facilita a localização deles, pois, a maioria dos web sites seja ele um sistema próprio ou sistema open secure (código aberto) não utilizam criptografia em seus códigos PHP, justamente pelo projeto ou sistema ser gratuito e código aberto para estudo ou edições, muitos usuários de sistemas do tipo CMS como Joomla, Word Press e outros, são as principais vitimas deste tipo de invasão, devido que estes sistemas de CMS são gratuitos e muito utilizado pela maioria dos desenvolvedores ou administradores de web sites, então os usuários mal intencionados distribuem seus códigos maliciosos geralmente em templates, módulos, plug-ins e outros para os demais baixar na internet.
Isso nunca aconteceu comigo antes, por que só agora?
Muitos usuários e administradores que tem seus web sites hackeados(invadidos) por códigos maliciosos, se perguntam: “mas eu uso esta plataforma a anos e nunca tive este problema antes, por que só agora?” ou também tem a pergunta: “tenho vários web sites com os mesmos arquivos e o mesmo sistema, por que só um determinado site foi invadido e os demais não?” A resposta para estas 2 perguntas mais frequentes é muito simples, tudo funciona perfeitamente até ocorrer o problema, seja ele invasão ou outros, ou seja, nada funciona para sempre, por tanto, ao utilizar um sistema que tenha códigos maliciosos você esta vulnerável a ser invadido e esta invasão poderá ocorrer a qualquer momento, ou também pode ser que nunca ocorra, isso por que os usuários mal intencionados geralmente utilizam buscadores como a Google para encontrar qual web site esta vulnerável a este tipo de invasão, eles tem suas maneiras de localizar esta vulnerabilidade, ou seja, todo site que possui códigos maliciosos e estão cadastrado nos buscadores, são encontrados com facilidade pelos invasores e se tornam alvos fáceis, com isso podemos entender por que alguns sites são invadidos e outros não, mesmo usando os mesmos arquivos supostamente contendo os códigos maliciosos, os sites que possuem um melhor posicionamento nos buscadores são os primeiros a serem invadidos, algumas invasões são feitas silenciosamente apenas para roubar dados importantes e nenhum dano é causado ao sistema do web site, outras invasões além de ser para roubar os dados acabam danificando o sistema do web site propositalmente e deixando uma mensagem ao administrador.
Como identifico o tipo de invasão que o meu site esta sofrendo?
Simples, você que possui um web site desenvolvido em Joomla, Word Press ou até mesmo outras plataformas prontas de CMS ou BLOG, os primeiros passos para identificar o tipo de invasão são:
1-Antes de tomar qualquer concussão precipitada que possa prejudicar os dados que ainda restam de seu web site, é fazer um BACKUP do banco de dados e também de todos seus arquivos FTP que estão na hospedagem do site invadido.
2-Após realizar os BACKUP você precisa tomar uma providencia para evitar que seu site continue online e que o invasor (usuário mal intencionado) continue tendo acesso aos seus arquivos e banco dedados, independente do tipo de invasão que o seu site estiver sofrendo, primeiro peça ajuda a um profissional capacitado na área de vírus e trojans para fazer uma varredura em seu computador a fim de encontrar vírus ou trojans, depois altere todas suas senhas, incluindo cPanel, banco de dados onde seu site esta configurado, senhas de FTP e principalmente a senha de todos os administradores que possuem acesso ao site, pois, de nada adiantaria você fazer todas as alterações de senhas e esquecer das senhas dos administradores do site, que com certeza o usuário mal intencionado (invasor) já possui, e se não for alterada facilitaram uma nova invasão ao site.
3-Agora você precisa alterar o endereço da pasta public_html que esta localizada dentro da pasta principal do FTP de sua hospedagem para: public_html_qualquer_coisa, exemplo: vamos supor que eu tenha uma hospedagem na Imagehost e meu login do cPanel é: login:
Então irei alterar a pasta /login/public_html para /login/public_html_old
Feito isso, todos que tentarem acessar meu site não irão conseguir (estará indisponível), devido que a pasta padrão do HTTP do sistema foi alterada, como o nosso objetivo era deixar os arquivos do site indisponível para evitar maiores danos, até que o tipo de invasão seja identificada e a devida solução tomada, vamos ao próximo passo.
4-Como ainda não sabemos que tipo de invasão o site sofreu e também já temos um pouco de conhecimento sobre os tipos de invasões e o que são códigos maliciosos, vamos agora começar procurando estes códigos, não é uma tarefa fácil, pois, eles podem estar ocultos dentro de qualquer script PHP de seu site, primeiro comece procurando qualquer script PHP que não faça parte de seu site, caso seu site seja alguma plataforma pronta de CMS como Joomla, Word Press e outros, esta tarefa fica mais fácil, basta baixar do site oficial a mesma versão do sistema de seu site e comparar qualquer arquivo .php que não faça parte do sistema, se houver algum arquivo suspeito abra ele com qualquer editor de texto e verifique se nele contem códigos criptografados do tipo eval(qualquer coisa) ou até mesmo qualquer outro tipo de criptografia, se houver alguma função do tipo eval(), podemos constatar que a invasão em seu site ocorreu devido a códigos maliciosos ocultos em seus arquivos PHP, mas não ache que é só remover este arquivo e seu problema estará resolvido, além de procurar arquivos PHP que não fazem parte do sistema você precisa procurar dentro de cada arquivo a existência de código malicioso, que posa estar oculto no script, nos quais geralmente são criptografados do tipo eval(), se você constato que seus arquivos PHP possui códigos maliciosos ou arquivos indevidos que não fazem parte do sistema de seu site, então podemos afirmar que a falha de segurança que possibilitou esta invasão ocorreu por conta disso.
Não encontrei nenhum código malicioso em meu site, e agora?
Se você não encontro nenhum código malicioso em seus arquivos PHP, então tudo indica que a invasão ocorreu por outros motivos, talvez senha fácil, talvez seu computador estava ou esta infectado por vírus, trojans ou até mesmo pode ser uma falha de segurança no seu próprio web site, neste caso recomendamos entrar em contato com um profissional na área de segurança web.
Já identifiquei o tipo de invasão que o meu site esta sofrendo, é por códigos maliciosos, como resolvo?
Para resolver o problema você tem 2 opções, primeira seria remover todos os arquivos FTP de seu web site e fazer uma nova instalação do sistema utilizado em seu web site, utilizando arquivos do sistema baixados do site oficial do desenvolvedor e não de sites de terceiros, e principalmente evitar o uso de módulos, templates e plug-ins desconhecidos que não sejam também baixados do site oficial, ou, antes de utilizar qualquer código ou script de terceiros fazer uma verificação em busca de códigos maliciosos ocultos nos arquivos PHP antes de enviar para a hospedagem, seguindo os 4 passos de verificação e identificação que você leu neste post anteriormente, a segunda alternativa seria remover todos os códigos maliciosos que possam estar oculto nos arquivos PHP e verificar qual arquivo foi danificado e o repor novamente, sempre utilizando o código fonte baixado direto do site oficial independentemente de qual seja sua plataforma.
Como se prevenir contra invasões diversas?
Primeiramente você precisa tomar cuidado com qual provedor de hospedagem vai hospedar seu site, não analise preços e custos, analise a qualidade e segurança que o provedor oferece, pois, o seu prejuízo com uma invasão será muito maior.
A Imagehost possui diversos recursos para evitar este tipo de invasão, a maioria de nossos servidores possui por padrão segurança adicional que impede a execução dos códigos maliciosos em seus scripts PHP, este tipo de proteção dificilmente você encontra em outros provedores de hospedagem, sendo assim, só pelo simples fato da maioria dos códigos maliciosos não conseguirem ser executados nos servidores da Imagehost, isso já é um grande passo na prevenção de invasões por códigos maliciosos, mas mesmo assim você tem que tomar algumas medidas de segurança e prevenção, abaixo você pode ver algumas dicas e observações que vão lhe ajudar a se prevenir contra qualquer tipo de invasão:
- Tome cuidado com todas suas senhas, nunca use senhas fáceis e principalmente tome cuidado ao digitar suas senhas em um computador desconhecido ou que possa estar infectado por vírus ou trojans.
- Nunca utilize nenhum script ou sistema crackeado (pirata), a maioria deles possuem códigos maliciosos ocultos como brinde.
- Nunca faça o download de um script ou sistema em site de terceiros, procure conhecer o desenvolvedor e baixar do próprio site oficial, ou então não faça nenhum download, utilize o instalador automático de vários scripts prontos que a HDR oferece no seu painel de hospedagem, nos quais são constantemente atualizados e 100% seguro.
- Antes de instalar, configurar ou enviar para a hospedagem de seu web site qualquer script, modulo, plugin em PHP, faça uma busca por códigos do tipo eval() ou qualquer outro código malicioso que você conheça.
- Efetue bloqueios por IP nas pastas administrativas de seu web site, isso evita o acesso administrativo do site para usuários não autorizados, mesmo que eles possuam a senha, não conseguira ter acesso sem a sua liberação.
- Nunca utilize a permissão 777 para uma determinada pasta ou arquivo.
Fim
Após identificar o tipo de invasão que seu site sofreu e tomar as devidas providencias para resolver a falha de segurança e evitar que novas invasões ocorra, você pode altera novamente a pasta public_html_old para o nome correto public_html, fazendo com que seu site volte a funcionar para os internautas novamente.
Estas foram as dicas fundamentais para identificar e resolver uma invasão por código malicioso, esperamos que este post tenha lhe ajudado