Tip:
Highlight text to annotate it
X
[MUSIIKKI SOI]
Hei, olen Maile Ohye.
Tämä video jatkaa hakkeroitujen sivustojen korjaamisohjesarjaa.
Olet nyt valmis arvioimaan vahingon laajuuden.
Tämä video on tarkoitettu sivuston omistajille, jotka
saivat ilmoituksen sivustonsa haittaohjelmatartunnasta
ja jotka osaavat tarkastella sivustonsa lähdekoodia
ja suorittaa komentoja terminaalissa.
Haittaohjelmien torjunnassa
meitä auttaa Googlen selaussuojatiimiin kuuluva
Lucas Ballard.
LUCAS BALLARD: Hei, Maile.
MAILE OHYE: Kiitos avustasi.
Tähän mennessä olemme antaneet yleistietoja hakkeroinnista
ja vahvistaneet, että sivustossa on haittaohjelmatartunta.
Nyt olemme valmiita arvioimaan vahingon laajuuden.
Selitätkö kuitenkin ensin,
mitä haittaohjelmilla tarkoitetaan?
LUCAS BALLARD: Toki.
Haittaohjelmat ovat yleiskäsite ohjelmistoille,
joiden tarkoitus on vahingoittaa tietokonetta tai verkkoa.
Haittaohjelmia ovat esimerkiksi virukset, madot, vakoiluohjelmat,
näppäinpainalluksien tallentajat ja troijalaiset.
Googlen selaussuojatiimi suojaa verkon käyttäjiä
haittaohjelmilta etsimällä
haitallisia verkkosivuja.
Automaattiset skannerimme tarkistavat haitallista sisältöä
etsimällä, ovatko sivut saaneet haittaohjelmatartunnan.
Verkkovastaavan maine ei vaikuta tarkistukseen.
Jos sivustosi on saanut haittaohjelma- tartunnan, et ole yksin ongelmasi kanssa.
Löydämme päivittäin noin 10 000 uutta tartunnan saanutta sivustoa.
MAILE OHYE: Kiitos, näistä tiedoista on varmasti hyötyä.
Voitko myös kertoa konkreettisesti, mitä
sivuston haittaohjelma- tartunta tarkoittaa?
LUCAS BALLARD: Jo vain.
Jos hyvämaineinen sivusto merkitään haittaohjelmatartunnan
saaneeksi, Google on määrittänyt,
että kävijän siirtyessä sivustoon
selain avaa automaattisesti toisen sivuston, joka
hyökkää selainta vastaan.
Selain siirtyy hyökkäyssivustoon
yleensä, koska hyvämaineiseen sivustoon tai johonkin sen käyttämistä
resursseista on lisätty
sisältöä hyökkäyssivustosta.
Ilmoitamme käyttäjille haittaohjelma- sivuista, koska kun käyttäjä siirtyy
tartunnan saaneelle sivulle, hyökkäyssivuston sisältö
käyttää hyväkseen käyttäjän selaimen haavoittuvuutta.
Jos haavoittuvuus löytyy, haittaohjelma ladataan
käyttäjän tietokoneelle automaattisesti
käyttäjän huomaamatta.
Haitallinen ohjelmisto voi olla vakoiluohjelma, joka kerää
käyttäjän pankkitietoja, tai haittaohjelma, joka
lähettää roskasisältöä tartunnan saaneen tietokoneen avulla.
Tartunnan saanut tietokone on nyt uusi väline
hakkerin haittaohjelmaverkostossa,
ja hakkeri voi käyttää sitä apuna
hyökätessään toisten tietokoneiden tai sivustojen kimppuun.
MAILE OHYE: Esimerkistäsi käy selvästi ilmi,
että haittaohjelmat leviävät tartuntatautien tavoin.
Selitä vielä, miten sivustojen omistajat
voivat selvittää, onko heidän sivustonsa saanut haittaohjelmatartunnan
tai onko sivustoa käytetty tartuttamaan muita.
LUCAS BALLARD: OK.
Googlen selaussuoja näyttää nämä tiedot julkisesti
kaikille käyttäjille, ei vain
sivuston vahvistetuille omistajille.
Siirryn nyt kannettavalla tietokoneellani Googlen
selaussuojan diagnostiikka- sivulle.
Osoite on www.google.com/safebrowsing/diagnostic?site=
ja sivustosi osoite.
Käytän tässä esimerkkinä sivustoa googleonlinesecurity.blogspot.com.
Täällä näkyy sivustosi tila,
eli voivatko käyttäjät selata sivujasi turvallisesti.
Tiimini on vastuussa skannereista,
joiden avulla nämä tiedot luodaan.
Verkkoturvallisuusblogimme näyttää onneksi olevan turvassa.
Tutustutaan seuraavaksi haittaohjelma- tartunnan saaneeseen sivustoon.
Näitä tietoja voi näkyä myös oman sivustosi yhteydessä.
Selaussuojan diagnostiikka- sivulla näkyy
sivuston nykyinen tila, eli
onko sivusto turvallinen käyttää
vai onko se epäilyttävä ja vaaraksi käyttäjille.
Haittaohjelmatartunnan saaneet sivustot ovat tietenkin epäilyttäviä.
Googlen sivustovierailukohdassa
näkyy tarkempia tietoja ongelmasta.
Saatat nähdä esimerkiksi, mitkä
hyökkäyssivustot on yhdistetty sivustoosi.
Saat myös tietoja itse hyökkäyssivustosta.
Hyökkäyssivuston tehtävä on yleensä toimia ylläpitäjänä
haittaohjelmille, joita käyttäjille tartutetaan, ja tarkistaa, onko
sivustosi liitetty osaksi suurempaa haittaohjelmaverkostoa.
Klikkaamalla hyökkäyssivustoa tai -verkostoa
saat siitä lisää tietoja.
Viimeiset sivulla näkyvät tiedot
kertovat, käytettiinkö sivustoasi muiden sivustojen tartuttamiseen
tai haittaohjelmien ylläpitoon.
MAILE OHYE: Kiitos, Lucas.
Nyt kun tiedämme enemmän haittaohjelmista, voitko selittää,
miten omaan sivustoomme aiheutettuja vahinkoja
voi tutkia turvallisesti?
LUCAS BALLARD: Hyvä kysymys.
Mainiota, että tämä tuli esille.
Annan ensin muutamia vinkkejä haittaohjelmien tutkimiseen.
Sen jälkeen voidaan aloittaa sivujen katselu, tiedostojen poisto ja sivuston muokkaaminen.
On tärkeää, että et
avaa tartunnan saanutta sivua selaimellasi.
Kuten aiemmin mainitsin, haittaohjelmat leviävät
yleensä selaimen haavoittuvuuksien kautta.
Tartunnan saaneen verkkosivun avaaminen selaimessa
aiheuttaa vain lisää ongelmia.
Haitallisen koodin tutkimista helpottaa,
jos sinulla on pääsy palvelimellesi.
Osa haittaohjelmista on määritetty niin, että se näkyy vain tietyn
käyttäjäagentin, evästeen, viittaavan sivun,
ajankohdan, käyttöjärjestelmän tai selaimen version perusteella.
Haitallisen koodin sisältö ja käyttäytyminen saadaan
siis paremmin selville
tarkastelemalla sivun lähdekoodia.
Muutaman hyödyllisen työkalun avulla voit suorittaa
diagnosointiin tarvittavia HTTP- pyyntöjä eli noutaa sivuja
arvioidessasi sivustollesi aiheutunutta vahinkoa.
Hakkerit hyökkäävät sivustojen kimppuun usein hyvämaineisissa
sivustoissa sijaitsevien uudelleen- ohjauksien kautta, joten uudelleen-
ohjauksia voi olla hankala löytää pelkän sivun lähdekoodin avulla.
Tässä tapauksessa täytyy noutaa kyseinen sivu.
Kaksi hyödyllistä ja ilmaista työkalua
ovat Wget ja cURL.
Molemmat tekevät HTTP-pyyntöjä,
ja ne voi määrittää sisältämään viittaavan sivun,
käyttäjäagentin tai selaimen tiedot.
Näiden ominaisuuksien avulla
voidaan löytää edistyneitä tekniikoita, joiden avulla hakkerit
yrittävät välttää paljastumista.
Hakkeri voi esimerkiksi määrittää sivuston ohjaamaan käyttäjän
haitalliseen sisältöön vain, jos
URL-osoitetta pyydetään hakutulossivulta.
Jos käyttäjä teki haun osoitteessa google.com,
sivupyynnön viittaava sivu on Google.
Näyttämällä haitallista sisältöä
vain käyttäjille, joiden viittaava sivu on Google, hakkeri pystyy
kohdistamaan sisällön oikeisiin ihmisiin ja pysyy näin
paremmin salassa verkkovastaavilta
ja haittaohjelmaskannereilta.
Kun haet Wget- ja cURL-työkaluja,
löydät myös sivustoja, joissa annetaan lisätietoja niiden käytöstä.
MAILE OHYE: Yhteenveto käsittelemistäsi asioista on siis, että
kun tutkitaan oman sivuston haittaohjelmatartuntaa,
sivuja ei saa avata selaimessa,
sivun lähdekoodia kannattaa tarkastella tiedostojärjestelmässä
ja uudelleenohjauksia ja lähdekoodia kannattaa tutkia
Wget- tai cURL-työkalun avulla.
LUCAS BALLARD: Tutustuimme jo Selaussuojan diagnostiikkasivuun,
jolla näkyy yleiskuva
sivustosi ongelmista.
Seuraavaksi kannattaa tarkistaa
Verkkovastaavan työkalujen haittaohjelmaosio.
MAILE OHYE: Olen sivustoni vahvistettu omistaja, joten
kirjaudun sisään Verkkovastaavan työkaluihin, valitsen sivustoni,
Diagnostiikka ja Haittaohjelmat.
Lucas, kerrotko lisää
tällä sivulla näkyvistä tiedoista?
LUCAS BALLARD: Toki.
Haittaohjelmat-sivun ylälaidassa on kaksi painiketta,
Lataa taulukko ja Pyydä tarkistusta.
Klikkaa Pyydä tarkistusta -painiketta,
kun sivustosi on jälleen puhdas.
Ennen sitä sinun täytyy
kuitenkin arvioida vahingon laajuus.
Sivun taulukossa on esimerkkejä
sivustosi tartunnan saaneista URL-osoitteista,
tartunnan tyyppi
sekä päivä, jolloin tartunta löydettiin viimeksi.
Klikkaamalla URL-osoitetta siirryt Haittaohjelman tiedot -sivulle,
jolla voit tehdä eri toimintoja.
Kaikille URL-osoitteille ei ole ilmoitettu tartunnan tyyppiä.
Tässä tapauksessa skannerit havaitsivat URL-osoitteen olevan
haitallinen, mutta tarkkaa käytöstyyppiä ei löytynyt.
Eri tartuntatyypit
esitellään toisessa videossa.
Kun olet tutkinut kaikki Verkkovastaavan työkaluissa näkyvät
URL-osoite-esimerkit, tämän vaiheen viimeinen tehtävä
on arvioida sivustolle aiheutunut vahinko yleisellä tasolla.
MAILE OHYE: Kyllä.
Tiedostojärjestelmän vahingot on
tämän vaiheen viimeinen video.
Tiedostojärjestelmän vahinkojen arviointivaiheessa luot
luettelon tiedostoista, joita hakkeri muokkasi tai jotka hän lisäsi.
Luettelo auttaa puhdistamaan sivuston myöhemmissä vaiheissa.
Kiitos, Lucas.
Suosittelemme tutustumaan sivustoasi koskeviin Lucasin
haittaohjelmatyyppivideoihin.
Niitä ovat muun muassa palvelimen määritykset, lisätty SQL-koodi ja virhemalli.
Kun olet tutkinut kaikki sivustosi haittaohjelmatyyppien aiheuttamat
vahingot, muista suorittaa yleinen tiedostojärjestelmän arvio.
Kun nämä toimet on tehty,
siirry seuraavaan vaiheeseen, joka on haavoittuvuuden tunnistaminen.
Sivustosi puhdistaminen on jo hyvässä vauhdissa.
Jatka samaan malliin.