Tip:
Highlight text to annotate it
X
[MUZIEK]
Hallo, ik ben Maile Ohye.
In onze serie video's over het herstellen van een gehackte site
bent u nu klaar om de schade te gaan inschatten.
Deze video is bedoeld voor site-eigenaren
die bericht ontvingen dat hun site is geïnfecteerd met malware
en die een redelijke technische kennis hebben van het bekijken van
broncode en het uitvoeren van opdrachten in de terminal.
Vanwege zijn kennis op het gebied van het bestrijden van malware, krijg ik hulp
van een engineer van het Safe Browsing-team van Google,
Lucas Ballard.
Hallo, Maile.
Bedankt dat je wilde helpen.
We hebben tot nu toe een overzicht van hacking gekregen
en bevestigd dat onze site is besmet met malware.
Nu kunnen we de schade gaan vaststellen.
Maar voordat we verdergaan, kun je uitleggen
wat malware precies is?
Natuurlijk.
Malware is een algemene term voor schadelijke software
die is bedoeld om een computer of netwerk te beschadigen.
Malware omvat dingen zoals virussen, wormen, spyware, keyloggers
en Trojaanse paarden.
Om iedereen op internet te beschermen tegen schadelijke software,
voert Google Safe Browsing-team overal op internet scanners uit
om schadelijke pagina's te vinden.
Onze automatische scanners bepalen of pagina's besmet zijn
door schadelijke content te detecteren.
De reputatie van de webmaster is geen factor in het proces.
Als uw site is geïnfecteerd met malware, bent u niet de enige.
We vinden ongeveer tienduizend nieuw geïnfecteerde sites per dag.
Dat is goed om te weten.
Kun je ook een concreet voorbeeld geven
van wat het betekent als een site is geïnfecteerd met malware?
Natuurlijk.
Wanneer legitieme sites worden aangemerkt als 'geïnfecteerd
met malware', komt dat omdat Google heeft vastgesteld
dat wanneer een gebruiker deze sites bezoekt,
hun browser automatisch een andere site bezoekt
die de browser aanvalt.
Meestal bezoekt de browser deze aanvalssite
omdat de legitieme site, of een van de bronnen
op de legitieme site,
is aangepast met content van de aanvalssite.
We geven deze meldingen weer, omdat wanneer een gebruiker
de geïnfecteerde pagina bezoekt, content van een aanvalssite
gebruikmaakt van een kwetsbaarheid in de browser van de gebruiker.
Zodra de hack is geslaagd, wordt schadelijke software
automatisch op de computer van de gebruiker gezet
zonder dat deze dit weet.
De schadelijke software kan spyware zijn voor het verzamelen
van bankgegevens van gebruikers of malware
die de geïnfecteerde computer gebruikt om spam te verzenden.
Nu de computer van de gebruiker besmet is,
heeft de hacker een extra knooppunt
in zijn malwarenetwerk, dat kan worden
gebruikt voor aanvallen op andere computers of websites.
Uit je voorbeeld blijkt wel
hoe malware zich als een besmettelijke ziekte verspreidt.
Leg eens uit hoe site-eigenaren
kunnen zien of hun site is geïnfecteerd met malware
en of hun site anderen heeft besmet.
Oké.
Google Safe Browsing geeft deze informatie openbaar weer
voor alle gebruikers, ongeacht of u
de geverifieerde site-eigenaar bent.
Laten we op onze laptop naar de diagnostische pagina gaan van Google Safe Browsing.
Laten we op onze laptop naar de diagnostische pagina gaan van Google Safe Browsing.
Die staat op www.google.com/safebrowsing/diagnostic?site=
en dan uw site.
Zo kan ik bijvoorbeeld googleonlinesecurity.blogspot.com toevoegen.
Hier ziet u de huidige status van uw site
wat betreft veilig surfen voor gebruikers.
Mijn team beheert de scanners die deze gegevens genereren.
Mijn team beheert de scanners die deze gegevens genereren.
Gelukkig is ons blog over online veiligheid veilig.
Laten we eens een met malware geïnfecteerde site bekijken
om te laten zien wat u te zien zou kunnen krijgen.
Het type informatie dat u ziet op de diagnostische pagina van
Safe Browsing is de huidige status van de site, oftewel:
is de site wel veilig?
Of is deze verdacht en gevaarlijk voor gebruikers?
Met malware geïnfecteerde sites worden uiteraard vermeld als verdachte sites.
Daaronder geven we weer wat er gebeurde toen Google de site bezocht
en tonen we meer gedetailleerde informatie.
Zo kunt u zien welke aanvalssites
zijn opgenomen vanaf uw site.
U kunt ook informatie bekijken over de aanval zelf.
De aanvalssite wordt gebruikt om de malware zelf te hosten,
om gebruikers te infecteren. Controleer of uw site is opgenomen
in een groter malwarenetwerk.
Als u op de aanvalssite of het netwerk klikt,
wordt meer informatie weergegeven in Safe Browsing.
De laatste informatie op deze pagina
geeft aan of uw site als tussenschakel is gebruikt
om andere sites te infecteren of malware te hosten.
Bedankt, Lucas.
Nu we weten wat malware inhoudt,
kun je uitleggen hoe je veilig onderzoek kunt doen
naar de schade op je eigen site?
Goede vraag.
Ik ben blij dat je dat vraagt.
Voordat u pagina's bekijkt, bestanden verwijdert of uw site aanpast,
beginnen we met verschillende tips voor het onderzoeken van malware.
Ten eerste: gebruik uw browser niet
voor het openen van een geïnfecteerde webpagina.
Zoals gezegd, wordt malware vaak verspreid
door gebruik te maken van zwakke plekken in de browser.
Een geïnfecteerde webpagina in uw browser openen
is vragen om problemen.
Ten tweede is het bij het onderzoeken van schadelijke code handig
toegang tot de server te hebben.
Omdat sommige malware zo is geconfigureerd dat deze
alleen wordt weergegeven op basis van user-agent, cookies, verwijzende URL,
tijdstip, besturingssysteem of browserversie,
is het goed de broncode van de pagina
te bekijken voor beter inzicht in de content
en het gedrag.
Ten derde zijn er een paar handige tools
voor het uitvoeren van diagnostische HTTP-verzoeken, of pagina-fetches,
voor het vaststellen van de schade aan uw site.
Omdat hackers vaak omleidingen configureren vanaf legitieme sites
naar aanvalssites, is alleen het bekijken van de broncode
misschien niet genoeg om omleidingen te detecteren.
U moet de pagina daadwerkelijk ophalen.
Twee handige en meestal gratis tools
zijn Wget en cURL.
Wget en cURL voeren HTTP-verzoeken uit
en kunnen worden geconfigureerd voor registratie van de verwijzer,
user-agent of browser.
Deze opties zijn handig bij het blootleggen
van enkele verfijnde technieken die hackers gebruiken
om detectie te voorkomen.
Zo kan de hacker de site configureren
om alleen om te leiden naar schadelijke content
wanneer de URL wordt opgevraagd vanaf een zoekresultatenpagina,
wat betekent dat als de gebruiker zocht op Google,
zijn verzoek voor een pagina een Google-verwijzing bevat.
Door alleen schadelijke content weer te geven
aan gebruikers met een Google-verwijzing, valt de hacker
meer echte mensen aan en voorkomt hij beter
dan hij wordt gedetecteerd door webmasters en scanners
voor malware.
Als u zoekt naar Wget of cURL,
zou u bronnen moeten kunnen vinden over het gebruik ervan.
Als ik even samenvat wat je hebt besproken:
wanneer u malware op uw site onderzoekt, moet u ten eerste
de pagina niet openen in een browser.
Ten tweede moet u de broncode van de pagina bekijken in een bestandssysteem.
En ten derde zoekt u naar omleidingen en controleert u de broncode
via Wget of cURL.
We zijn in Safe Browsing
al naar de diagnostische pagina gegaan
voor een beeld van hoe onze site is besmet.
Hierna moet u in het gedeelte 'Malware' kijken
van de Webmasterhulpprogramma's.
Als geverifieerde eigenaar van mijn site
log in ik bij de Webmasterhulpprogramma's, selecteer ik mijn site,
'Diagnostische gegevens' en 'Malware'.
Lucas, kun je ons meer vertellen over de informatie
die je team op deze pagina weergeeft?
Zeker.
De pagina 'Malware' bestaat uit twee knoppen
bovenaan: 'Tabel downloaden' en 'Een beoordeling aanvragen'.
U gebruikt de knop 'Een beoordeling aanvragen'
zodra uw site malwarevrij is.
Voordat we zover zijn, moeten we eerst
de schade vaststellen.
De tabel op deze pagina bevat een voorbeeld
van de geïnfecteerde URL's op uw site,
het type infectie dat onze scanners herkennen,
en de meest recente datum waarop het is gedetecteerd.
Als u op de URL klikt, gaat u naar de pagina 'Malwaredetails'
met specifieke actiepunten.
Soms wordt er geen infectietype weergegeven.
Hoewel onze scanners de URL detecteren als schadelijk,
kunnen we het specifieke gedrag niet identificeren.
Voor de andere typen geef ik uitgebreide uitleg
in een afzonderlijke video.
Nadat elke voorbeeld-URL in de Webmasterhulpprogramma's
is onderzocht, is de laatste actie van deze stap
het algemeen inschatten van de schade aan uw site.
Ja.
De video over beoordelen van schade aan het bestandssysteem is de laatste video
voor deze stap.
Beoordelen van de schade aan het bestandssysteem
helpt u een lijst op te stellen met bestanden die zijn gewijzigd of toegevoegd
door de hacker. Dit helpt bij de latere opschoonstappen.
Bedankt, Lucas.
U kunt voor elk malwaretype op uw site
de bijbehorende video's van Lucas bekijken over onderwerpen
zoals serverconfiguratie, SQL- injectie en foutsjablonen.
Zodra u de schade heeft onderzocht voor alle malwaretypen op uw site,
moet u een algemene beoordeling van uw bestandssysteem
uitvoeren.
Zodra u deze stappen heeft voltooid,
gaat u verder met de volgende stap: het identificeren van de kwetsbaarheid.
We komen steeds dichter bij herstel.
Ga zo door.