Ennen kuin tapauksen tutkiminen aloitetaan tarkemmin, on kaikkien järjestelmien salasanat ja käyttäjätunnukset vaihdettava. Tämä pitää sisällään sisällönhallintajärjestelmät, tietokantatunnukset, järjestelmän ylläpidon, jne. Tämän jälkeen tarkistetaan kaikkien käyttäjätilien käyttölokit epäilyttävän toiminnan varalta, kuten epäonnistuneiden kirjautumisyritysten, uusien käyttäjätilien luomisen, tiedostojen käyttölupien muutosten jne. osalta.
Tämän jälkeen otetaan tarkasteluun sivuston Google Search Console. Search Console saattaa auttaa saamaan paremman käsityksen hyökkäyksen vakavuusasteesta. Katso kohdasta ”Message Center and Security Issues”, näkyykö merkkejä hyökkäyksestä.
Lisäksi hyökkääjät ovat saattaneet muokata sivuston sisältöä tai tiedostoja. Siksi on syytä vertailla sisältöä sivuston viimeisimmän varmuuskopion kanssa. Näin voidaan varmistaa, onko muutoksia tehty.
Kun tiedot on kerätty, seuraavana tehtävänä on sivuston kloonaaminen ennen testien suorittamista. Tämä on tärkeää, koska jotkut testit (kuten penetraatiotestit) saattavat vaikuttaa sivustoon haitallisesti. Kun kloonattu järjestelmä on valmis, voidaan aloittaa haavoittuvuuksien skannaaminen. Ensisijaisena tavoitteena on löytää kohta, josta hyökkääjät ovat päässeet järjestelmään, ja paikata se.
Kun asiaa lähestytään järjestelmän tarkastamista ajatellen, olisi ihanteellista, että skannauksessa käytetään maineikasta verkkohaavoittuvuuksien skanneria. Skannausten olisi syytä kattaa useita eri asioita, kuten
vanhentuneiden ohjelmistojen haavoittuvuudet
heikot ja toistuvasti käytetyt salasanat
verkkopalvelimen virheelliset asetukset
haittaohjelmat / haitalliset tiedostot
sallivat koodauskäytännöt
Kun haavoittuvuuksien skannaaminen on valmis, siirrytään penetraatiotestaukseen. Mitkään näistä välineistä ja tekniikoista eivät tietenkään takaa, että tarkka tulokohta löydetään. Siksi tulokohtaa kannattaa etsiä myös manuaalisesti. Tämä voi viedä runsaasti aikaa automatisoituun työkaluun verrattuna, mutta tarjoaa paremmat mahdollisuudet tarkan haavoittuvuuskohdan löytämiseen.
Kun kaikki ongelmat on löydetty, haavoittuvuudet pitää paikata. Kutakin korjausta on syytä testata useamman kerran ennen muiden haavoittuvuuksien paikkaamista. Korjaustapa vaihtelee tilanteesta riippuen. Jos esimerkiksi oletetaan, että hakkerointi tapahtui sivuston kirjautumissivuun kohdistuneen väsytyshyökkäyksen avulla, olisi mahdollinen korjaustapa muuttaa kirjautumisen oletuksena toimiva URL-osoitteet.
Seuraavaksi on palautettava sivuston viimeisin varmuuskopio (ajalta ennen hyökkäystä). Kun palautus on tehty, pitää varmistaa, että kaikki teemat, liitännäiset ja widgetit on päivitetty viimeisimpään saatavilla olevaan versioon. Lisäksi sivuston pitää sisältää löydettyjen haavoittuvuuksien paikkaukset.
Mikäli kelvollista varmuuskopiota ei ole, voidaan sivuston palauttamiseen käyttää olemassa olevaa järjestelmää. Tällöin sivustosta pitää tehdä useita kopioita, joista yhtä käytetään sisällön palauttamiseen. Ihanteellista olisi, että sivusto on asennettava puhtaana samalla, kun hoidetaan löydetyt haavoittuvuudet. Seuraavaksi voidaan siirtää haavoittumaton sisältö kopiosta.
Lopuksi seuraa tarkkailuvaihe. Kyllä, haavoittuvuudet on paikattu ja sivuston on palautettu. Tehtyjä muutoksia sekä muita yksityiskohtia, kuten kirjautumislokeja, on kuitenkin tarkkailtava. On mahdollista, että hyökkääjät saattavat yrittää uudelleen, kun sivusto on jälleen toiminnassa, ja organisaationne on syytä olla varautunut tällaiseen yritykseen.
Jos tämä kaikki vaikuttaa pelottavalta, ei syytä huoleen. C-YBER auttaa. Asiantuntijatiimimme voi tehdä lopun jatkuvista hyökkäyksistä, auttaa yritystänne saamaan sivustonne täysin haltuunne sekä ehkäisemään sivuston hakkeroinnin tulevaisuudessa.
Miksi kiduttaisitte itseänne yrittämällä korjata sivustoanne, kun voitte antaa asian asiantuntijoiden hoidettavaksi? Soittakaa siis meille numeroon (+372) 602 3532. Voitte myös lähettää meille sähköpostia osoitteeseen info@c-yber.fi.
