Haittaohjelma voi vaania tutullakin sivustolla

Verkkosivujen julkaisujärjestelmä, kuten WordPress, Drupal tai Joomla, on syytä pitää päivitettynä viimeisimpään versioonsa. Päivittämätön järjestelmä on altis hyökkäyksille. Murrettu sivusto voi toimia haittaohjelmalataukseen johtavan tapahtumaketjun käynnistäjänä.

Suosittuihin julkaisujärjestelmiin julkaistaan säännöllisesti uusia päivityksiä. Päivitysten tarkoitus on sekä tuoda järjestelmään uusia ominaisuuksia että korjata puutteita, virheitä ja haavoittuvuuksia. Vaikka järjestelmän ylläpitäjä katsoisikin pärjäävänsä hyvin ilman uusia ominaisuuksia, turvallisuutta parantavat päivitykset on kriittisen tärkeää asentaa.


Murrettu sivusto käynnistää tapahtumaketjun

Kyberturvallisuuskeskuksen tietoon tulee viikoittain lukuisia suomalaisia murrettuja sivustoja ja blogeja, jotka käyttävät päivittämättömiä tai puutteellisesti suojattuja julkaisujärjestelmiä, kuten WordPress, Joomla tai Drupal. Murretuille sivustoille lisätään haittakoodia, jonka avulla sivuilla vierailija ohjataan latamaan haittaohjelmia. Viimeaikoina murrettujen sivustojen avulla on pyritty levittämään erityisesti erilaisia kiristyshaittaohjelmia, jotka salaavat uhrin tietokoneelta, sekä mahdollisilta USB- ja verkkolevyiltä löytyvät tiedostot ja vaativat lunnaita niiden avaamiseksi.


Myös mainos voi toimia uudelleenohjaajana

Haittaohjelmat voivat levitä luotetuilla sivustoilla näytettävien mainosten yhteydessä ilman, että sivustoa on murrettu. Mainoksen kautta levitettävä haittaohjelma voi tarttua, vaikka käyttäjä ei klikkaisi mitään.


Pelkkä julkaisujärjestelmän päivittäminen ei riitä

Sivustoille murtautuminen tapahtuu usein käyttämällä tunnettuja haavoittuvuuksia tai arvaamalla heikko ylläpitäjän salasana. Joissain tapauksissa salasanoja sisältävä julkaisujärjestelmän asetustiedosto on ollut saatavilla avoimesti myös muille kuin ylläpitäjälle. Julkaisujärjestelmien liitännäisistä tai teemoista löytyy haavoittuvuuksia, joita voidaan hyödyntää tietomurtoihin. Samoin julkaisujärjestelmien tarvitsemat palvelinohjelmistot, kuten PHP tai MySQL on pidettävä ajan tasalla.


Etsi merkkejä murrosta

Haitallinen ohjelmakoodi on Wordpress-alustalla usein lisätty tiedostoon
wp-includes/nav-menu.php ja Joomla-alustalla tiedostoon includes/defines.php. Näiden lisäksi verkkorikolliset jättävät takaoven yhteen tai useampaan eri tiedostoon palvelimella. Tiedostoista kannattaa etsiä esimerkiksi merkkijonoja "//istart" tai "//iend", joiden väliin haitallinen koodi on lisätty. Usein haitallisen koodin avulla muodostetaan komentopalvelimen osoite, jolta murrettu sivusto kyselee, mihin haittaohjelmia jakavaan sivustoon vierailijoita ohjataan.


Lisää vinkkejä, ohjeita ja tietoja yleisemmin aiheeseen liittyen löydät aiemmin julkaistuista ohjeista ja Tietoturva nyt! -artikkeleistamme:

Verkkomainoksiin ujutettu haittakoodia

Ohje 2/2016 Verkkosivujesi pimeä puoli - Ohjeita sisällönhallintajärjestelmien kyberuhkien torjumiseksi

Ylläpitäjä: Vanhentunut WordPress vaarantaa sivuston ja sen käyttäjien turvallisuuden

Takaoven avulla palvelintasi käyttää joku muu

Murretut Wordpress ja Joomla -sivustot ohjaavat haittaohjelmia jakaville sivustoille


Päivityshistoria

Asiasanat: Tietoturva , Haittaohjelma , Kyberturvallisuus , Tietomurto , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248