Vánoce jsou svátky klidu a míru, to ovšem naplatí pro hackery a tvůrce malware. Během zimních svátků AVAST Virus Lab objevil novou infekci, která se šíří pomocí napadených serverů s nainstalovaným reklamním systémem OpenX. avast! je zatím jediným antivirem, který tuto hrozbu detekuje, což u uživatelů budí dojem že jde o falešný poplach. Mohu Vás ujistit, že se jedná o skutečnou hrozbu.
Označení je JS:Redirector-BJB nebo JS:Redirector-BJC a tato infekce byla potvrzena na 930 serverech provozujících OpenX po celém světe. To znamená, že denně je od nákazy zachráněno nejméně 130 tisíc lidí používajících avast! antivirus.
Průběh nákazy serveru a důsledky pro uživatele, který tuto stránku navštíví, jsou popsány v nedávném příspěvku o malvertisingu. Dnes bych se rád zaměřil na to, jak správně vyčistit, aktualizovat a zabezpečit infikovaný server. Pod tímto odstavcem můžete vidět pět nejvíce navštěvovaných a zároveň infikovaných serverů. Je mezi nimi i ten Váš?
- openx.skinet.cz
- ads.qiuck.cz
- ads.czol.org
- adone.multimedia.cz
- nase.broumovsko.cz
Pokud používáte OpenX nebo Revive AdServer před verzí 3.0.2, nejste zabezpečeni!
Níže najdete několik bodů, které Vás provedou procesem čištění, mějte ale na paměti, že aktualizace na poslední verzi Revive AdServer je nezbytná, jinak bude mít server známé bezpečnostní problémy.
1. Zálohování souborů - Stáhněte všechny soubory z FTP do svého počítače a oskenujte je antivirovým programem. Pokud je nějaký soubor označen jako škodlivý, smažte ho okamžitě z FTP. Pokud je to možné, zálohujte i databázi pro případ, že nastanou problémy při aktualizaci.
2. Hledání zadních vrátek - Hledejte na FTP soubory, které tam nepatří. Můžete je poznat například podle data vytvoření (soubor s jiným datem než ostatní v adresáři) nebo podle zašifrovaného obsahu. Také můžete porovnat zdrojové kódy oficiální instalace se svými a odhalit nově přidané soubory. Pokud používáte OpenX ve verzi 2.8.10, smažte soubor "flowplayer-3.1.1.min.js", protože obsahuje zadní vrátka.
3. Čištění databáze - První krok je změna hesel, jak pro admina tak pro databázi. Také zkontrolujte, zda v databázi nejsou žádní neznámí uživatelé. To by mělo zajistit klid během aktualizace. Dále musíte v databázi prozkoumat tabulky "Banners" a "Zones." Pokud v nich najdete škodlivý javascript, smažte ho. Obvykle se nachází v kolonkách "Append" nebo "Prepend". Posledním krokem je update nového hesla v konfiguračním souboru, abychom mohli dál aktualizovat.
4. Aktualizace programu - Stáněte si poslední verzi Revive AdServer do počítače. OpenX změnil v létě 2013 svůj název, takže nejnovější verze je na tomto odkazu. Následujte pokyny, které najdete na oficiálních stránkách o aktualizaci OpenX a Revive AdServeru. Při problémech použijte zálohované soubory.
5. Zabezpečení serveru - Po aktualizaci zbývá už jen několik kroků. Zkontrolujte, že heslo do databáze a hesla uživatelů jsou neprolomitelná. Nepoužívejte žádná hesla z minulosti. Nenechávejte na FTP žádné staré zálohy ani instalační soubory a nakonec změnte i heslo k FTP, protože to mohl hacker zjistit také.
Nekteří lidé si myslí, že aktualizace vyřeší všechny jejich problémy, ale tak tomu bohužel není. Velice často musí administrátor, nebo vlastník webových stránek provést všechny zmíněné kroky, aby se infekce zbavil nadobro. Nezapomeňte vždy změnit všechna hesla.
Děkujeme, že používáte avast! Antivirus a doporučujete nás svým přátelům a rodině. Pokud chcete zůstat v obraze, sledovat novinky a probíhající soutěže, sledujte nás také na Facebooku, Twitteru, Google+, Instagramu a Pinterestu. Podnikatelé – podívejte se na naše firemní produkty.