At udrede en hacket hjemmeside er nogle gange en simpel, ligetil opgave, andre gange er det en længere process med mange finesser. Processen kan groft inddeles i fem punkter, der beskrives her.
Hvordan det bør foregå afhænger af en analyse af omfanget af hacket, websiden, webhost, samt vigtigheden af oppetid og digital synlighed. Derfor skal nedenstående fem punkter læses som generelle og vejledede, og den egentlige process vurderes på en per-case basis og aftales med ejer / administrator, eller tovholder på projektet, som også vil være primære kontakt.
- Analyse & strategi
- Scanning for og rengøring af inficeret kode
- Hærdning & optimering af sikkerhed
- Remediering af hacket
- Rådgivning i cybersikkerhed
De tre første punkter er nødvendige i alle situationer, imens de to sidste afhænger af den individuelle case og ønsker fra kontakt.
Under alle omstændigheder søger vi at gennemføre de tre første trin inden for 24 timer, så driften af hjemmesiden kan fortsættes sikkert. Samtidig fører vi log og holder tovholder informeret undervejs.
1. Analyse og strategi
Omfanget og typen af hackerangreb analyseres udefra, sammen med detaljer fra kontakt. Udefra tages der udgangspunkt i IOC's (indicators of compromise). Det vil det oftest være sådan, at hacket opdages via en af disse IOC's. De kan se ud på mange måder og under processen vil flere sandsynligvis dukke op, hvorfor den indledende strategi er fleksibel. Her er typiske eksempler på IOC's:
- Det kan være emails, der pludselig lander i spam fordi domæne er blacklisted som følge af spam-udsendelse
- Hosten har registreret at hjemmesiden er hacket og deaktiveret den
- Ukendt spam-indhold kan være synlig på hjemmesiden eller Google viser fremmede sider under resultater
- Google har blacklisted og fjernet hjemmesiden fra sit indeks
- Omderigeringer til ukendte sider fra hjemmesiden
Her er en længere liste af typiske tegn på, at en hjemmeside er blevet hacket.
Baseret på IOC's, typen af hjemmeside og en række andre variabler, samt behov og ønsker fra kontakt udvikles en strategi til løsning af problemet så hurtigt og elegant som mulig.
2. Scanning og rengøring
Første opgave er at sørge for at uautoriseret adgang øjeblikkeligt afbrydes og uvedkomne låses ude fra CMS og/eller server.
CMS, webserver og database scannes for fremmed kode, virus og ukendte filer, der ikke hører til. Når disse filer og koder er identificerende fjernes de/erstattes med legitime core filer og derved rengøres hjemmesiden. Ligeledes foretages der et audit af eksisterende brugere, privilegier og legitimations oplysninger
Hvordan resten reelt set forløber afhænger af strategien. Det kræver fx. flere ressourcer at fastslå nøjagtig hvordan hacket er foregået. Det vil sige, hvilken sårbarhed der er udnyttet til at skaffe uautoriseret adgang til hjemmesiden. Kontakten kan fx. vælge at det ikke er en prioritet og i så falde vil vi benyttet et "shotgun approach", hvor alt hærdes og optimeres på én gang, uden at bruge ressourcer på et fastslå, hvor sikkerhedsbruddet er opstået.
Hvor lang tid processen tager herunder afhænger desuden i høj grad af om der forelægger en relevant og funktionel backup af hele hjemmesiden. Her er det nemmere at gennemskue sårbarheder og hærde dem, inden uautoriseret adgang har fundet sted, og egentlig rengøring af filer og database kan måske undgås.
Ny hjemmeside som bedre løsning
I nogle tilfælde er den optimale løsning er at bygge et nyt website med det eksisterende (ikke-hackede) medie- og tekst indhold. Med et eksisterende design og struktureret indhold er det ofte en bedre løsning.
Hvis hjemmesiden samtidig består af primært statisk indhold, kan en statisk hjemmeside være ideelt, da det ikke behøver meget sikkerhed eller vedligehold til sammenligning med CMS (fx. WordPress) og vil være 100% sikret imod fremtidige hack forsøg.
Vi tilbyder hurtig og fleksibel udvikling af statisk hjemmeside, såvel som CMS baseret hjemmeside.
3. Hærdning af hjemmeside
Hærdning går som navnet antyder ud på at optimere, forstærke og forskanse hjemmesiden imod fremtidige hack.
Scanning og rengøring af hjemmesiden flyder sammen med hærdning af hjemmeside, der i korte drag går ud på at stramme op på hjemmesidens sikkerhed generelt. Det vil sige, foruden at rette op på de sårbarheder vi mener, der er udnyttet i angrebet, så er det nødvendigt at stramme op på hjemmesidens og serverens (hvis muligt) generelle sikkerhed.
Hvis hackere først har haft held til at hacke en hjemmeside én gang, er det vores erfaring, at hjemmesiden er mere udsat fremadrettet.
4. Remediering efter hack
Remediering er udredning af følgerne af hacket. Disse er ofte mere ødelæggende end hacket selv. Det værende sagt er remediering er ikke altid en nødvendighed og kommer primært an på typen af hack, samt hvorledes virksomheden bruger hjemmesiden.
Her er nogle situationer, hvor remediering i høj grad anbefales:
- Hjemmesiden er blacklisted af Google på grund af ondsindet kode. Hjemmesiden er nu usynlig, ads er deaktiverede og alt SEO-arbejde spildt.
- Hjemmesiden er registreret på spamlister og øvrige sikkerhedsorganer eller simpelthen deaktiveret af webhost. Typisk betyder det, at business mails ender i spam hos modtager.
- Hjemmesiden kan have indsat spam-indhold og uvildigt indgå i et netværk af sider, der er hackede og som linker imellem hinanden. Selv hvis Google ikke blacklister hjemmesiden, kan den derfor ende med at blive vist i meget uheldige søgninger, samt associereret med det uheldige spam-indhold.
Typisk vil skaden være større jo længere tid der går og en direkte deaktivering fra webhost er oftest det bedste udfald, da det forhindrer hackerne i at gøre mere skade.
5. Rådgivning i cybersikkerhed
Rådgivning i cybersikkerhed i forbindelse med hjemmesider består af en række best-practices, der sikrer hjemmesiden ikke hackes igen som følger af menneskelig fejl eller uopmærksomhed.
Der er desuden tale om generelle principper, der kan og bør anvendes på tvær af alle digitale online aktiver en virksomhed måtte have og anvende i daglig drift.
