Ükskõik mis ka ei juhtunud – kas arvati ära liiga lihtne administraatori salasõna, murti sisse mõne uuendamata tarkvara kaudu või langes ettevõte küberrünnaku ohvriks – kui koduleht on katki, siis tuleb see kiiremas korras päästa. Kuidas seda kõige paremini teha? Siin on seitse sammu, mis aitavad hullema ära hoida.
1. Teata kohe oma hostingupartnerile
Esimene, mida peaksid tegema kahtluse korral, et keegi on sisse murdnud – teata sellest oma veebimajutuse ettevõttele, kui midagi kahtlast on juhtunud. Neil on võimalik kiiresti edasine kahju ära hoida ja ligipääs kontole sulgeda. Samuti võib veebiteenuse pakkuja juba varasematest kogemustest teada, mis tüüpi rünnakuga on tegu ja kuidas selle kahjusid paremini ära hoida. Teenusepakkuja käest saab küsida ka varukoopia kohta ning salvestada see eraldi tulevase taastamise tarbeks.
2. Võta kahjustatud sait maha ja sulge sellele avalik ligipääs
Veel parem, kui sul on sellisteks puhkudeks ette valmistatud mõni lihtne staatiline ilma eriliste keerukusteta koduleht, ideaalis tavalise HTML-ina. See võib esitleda firma kontakte, mida veebist tavaliselt kõige rohkem otsitakse ning seal saab anda ka selgitusi, millal veeb jälle kättesaadavaks muutub.
Ajutisel lehel on hea ka vabandada klientide ees võimalike ebameeldivuste pärast.
Kodulehe kiire eemaldamine avalikust võrgust on vajalik kõigi külastajate turvalisuse tagamiseks, sest sissemurdjad võivad jätta kuhugi peitu mõne kahjuliku koodi, mis üritab külastajate kaudu edasi levida ning nende arvuteid nakatada.
3. Kontrolli, kas lisaks veebile on ka mujale sisse murtud
Võimalik, et veebikontole sisse saades jõuti ka edasi liikuda ja näiteks e-posti haldamine üle võtta. Kontrolli üle, kas e-post, FTP, SSH ja muud kontod on kontrolli all ning muidugi vaheta ka kiirelt kõigi kontode salasõnad. Vaja võib minna ka Google´i teenuste, Facebooki kontode jm firma esindatuse ülevaatamist, et poleks võimalik kuskilt ettevõtte mainet kahjustades midagi konto omaniku teadmata postitada.
Google´i ja Facebooki teenustes ei tee paha korra üle vaadata, kes on saitide administraatorid ja kui sinna on lisandunud uusi tundmatuid nimesid, siis tuleks need eemaldada (ja ligipääsu salasõna muidugi ka tuleks enne ära vahetada).
4. Kontrolli, mis on kodulehel muutunud
Nüüd on aeg käsile võtta kodulehe failid ja andmebaas – seal olevaid faile või andmebaasikirjeid tuleb vaadata muutmis- ja loomiskuupäeva järgi ning leida muudatused, mis just häkkimise hetkel või natuke varem on tekkinud. Võimalik, et läheb vaja ka spetsialisti abi, kes oskab öelda, mis failid peaksid kuuluma sisuhalduse süsteemile (näiteks WordPressile) ja millised mitte. Kontrolli üle kataloogide ja failide ligipääsuõigused. Serveris olevad failid võiks üle kontrollida ka mõne viirusetõrje või pahavaradetektoriga.
Muidugi annab väga head infot ka logifail, kust selguvad viimased tegevused saidil.
Kogutud info põhjal proovi selgeks teha, mis juhtus? Kas oli liiga lihtne parool, sattus kuidagi kodulehe failide sekka mõni viirus (näiteks administraatori kontoga nakatunud arvutist), uuendamata tarkvara või veel midagi?
5. Alusta taastamist
Taasta varukoopiast kodulehe rünnaku-eelne seis, milleks tuleb tavaliselt taastada nii failid kui andmebaasi olek. Kui rünnaku hetk on enam-vähem teada, võib siiski juhtuda, et sissemurdmine toimus varem, seega peaks ka varukoopia enne kindlasti üle kontrollima.
Peale taastamist tuleks üle käia ka Google´i otsingutulemused ning kui sealt leiab häkitud sisuga lehe, siis peaks taastatud lehe laskma Google´il uuesti üle indekseerida. Kui aga häkker on tekitanud ise uusi linke, siis peaks need osingust välistama või asendama oma sisuga ja uuesti Google´i otsingus indekseerima.
Kui võimalik, paigalda sisuhalduse tarkvara puhtalt uuesti, kontrolli üle andmebaas ja lisa oma sisuga andmebaas uuele tarkvarale. Ainult moodulite uuendamisest ei pruugi abi olla.
6. Kontrolli üle, kas lekkis konfidentsiaalset ja personaalset infot
Kui kodulehel oli klientide personaalset infot, võib olla vajalik ka nende hoiatamine. Otsi GDPR-iga seonduvat infot, mida sel puhul peaks tegema või konsulteeri vastava juristiga. Kui kodulehel oli erinevaid kasutajakontosid, siis vaata, millist infot registreerimisel koguti.
7. Lase Google´il veeb üle vaadata
Google´il on üsna head ja põhjalikud vahendid veebilehtedes turvalisuse kontrollimiseks, sest keegi ei taha ju kasutajatele otsingutulemustena kahjulikke nakatunud lehti soovitada. Täpsemad juhendid, kuidas edasi tegutseda, leiab siit. Vastus saabub Google´ilt tavaliselt mõne päevaga.
