Help for hacked sites: Quarantine your site
Articles,  Blog

Help for hacked sites: Quarantine your site


[MUSIC PLAYING] Hi. I’m Maile Ohye back with the
next video in our series to help with recovery for
your hacked site. By now you’ve seen
our first video, Overview of a Hacked Site. This video, entitled Quarantine
Your Site, is tailored to site owners who feel
they have the technical skill to recover on their own,
or they have a support team ready and only need the
general instructions. The following videos, which
aim to provide those instructions, assume you have
the ability to log into your site with full permissions
through shell or terminal access, perform system
administrator tasks, and modify code. If you’re working alone and
these skills seem too technical, you may consider
reviewing a prior video. Contact your hoster and build
a support network, because completing tasks in this and the
following videos will be difficult without
such knowledge. The goal of this video is to
help you quarantine your site. To quarantine your site, we
suggest three actions that will make it difficult for the
cyber criminal’s infection to spread, and therefore unlikely
to cause further harm to your site or your site’s visitors. We’ll start with taking
your site offline. Second, contacting your
hoster to make them aware of the situation. And last, changing all
user passwords related to the website. This can potentially make the
cyber criminals reentry to your site more difficult, and
buys time while you improve your site’s defenses. Now that you’ve heard the
overview, let’s start by taking your site offline so that
your website’s pages are no longer served to visitors. Keep in mind that you’ll likely
soon need to bring your site back online for short
periods of time during future recovery steps. We recommend taking your site
completely offline, often by stopping your web server. Just using a robots.txt
disallow, or responding with the 4xx or 5xx status code, like
404 or 503, isn’t enough. Robots.txt disallow only blocks
search engine crawlers, not regular users. A 404 response is the
page isn’t found. A 503 signals the service
is unavailable. However, harmful content can
still be returned to users as if it were a 200. By taking your site completely
offline, the malicious code and/or spammy files the cyber
criminal placed on your site won’t be exposed to users and
can’t cause further damage. Therefore, if the hacker
installed malware on your site, no longer can your
compromised pages infect others as she had hoped. Once your site is offline, the
second action to consider is contacting your hoster
to give them a heads up of the situation. This is helpful because your
hoster may already be taking action to correct the issue, or
if the hosting provider was themselves compromised, it may
help them understand the scope of the problem. At this point, your site is
offline and your hoster has been notified. Now it’s time for the third
and last action in quarantining your site– account management. View a list of your site’s users
and check if the cyber criminal created a new login. If she did, delete it. Then, for all users and all
accounts related to the site, change the passwords. This includes logins for FTP
and database access, system administrators, and content
management system, CMS, authoring accounts. When this is completed, your
site is now quarantined. Please continue to the next step
in recovery of a hacked sight, Touch Base with
Webmaster Tools. [MUSIC PLAYING]

4 Comments

  • Галина Нагаева

    Для просмотра видео на русском языке  – включите титры в плеере.!
    3 видео – Шаг 3. Закройте сайт на карантин
    Необходимые условия

    Возможность закрыть сайт на техническое обслуживание (обсудите варианты с поставщиком услуг хостинга). На следующих этапах вам придется снова возобновлять работу сайта на непродолжительное время.
    Разрешения на управление аккаунтом (права на просмотр и удаление пользователей, а также на изменение всех паролей).
    Дальнейшие действия

    Закройте сайт на техническое обслуживание, чтобы он стал недоступен для пользователей. Например, можно отключить веб-сервер или изменить DNS-записи домена, указав на статическую страницу на другом сервере, которая возвращает код статуса HTTP 503.
    Закрыв взломанный сайт на техническое обслуживание, вы можете спокойно выполнять работы по восстановлению, не опасаясь вмешательства хакера, а также обезопасите своих посетителей от спама и вредоносного ПО. Короткая недоступность на время восстановления, скорее всего, не отразится на рейтинге вашего сайта в результатах поиска.

    Если вы не знаете, как закрыть сайт, обратитесь к поставщику услуг хостинга. Например, он может настроить код статуса HTTP 503 для вашего сайта на другом сервере, который не подвергся взлому, что будет самым оптимальным решением. Не забудьте сообщить своему поставщику услуг хостинга, что вам придется неоднократно включать и выключать свой сайт для тестирования. Попросите предоставить вам инструмент для самостоятельного выполнения этой процедуры.
    Недостаточно просто возвращать коды статуса HTTP 4xx или 5xx, поскольку вредоносный контент также может передаваться пользователям вместе с ошибками 404, 503 и т. п. Код ошибки 503 помогает пользователям понять, что ваш сайт недоступен лишь временно, но его должен возвращать другой, незараженный сервер или сайт.
    Также не получится обойтись одной командой disallow в robots.txt, поскольку она блокирует только поисковых роботов, а пользователи по-прежнему могут загружать вредоносный контент.
    Если вы ещё не сообщили поставщику услуг хостинга о взломе, сейчас самое время сделать это. Если их системы тоже взломаны, полученная от вас информация поможет им оценить масштаб проблемы.
    Тщательно проверьте список пользователей.
    Проверьте список администраторов сайта и выясните, не создал ли хакер новые аккаунты. Найдя такие аккаунты, запишите их для дальнейшего расследования, а затем удалите, чтобы закрыть лазейку для хакера.
    Измените пароли для всех администраторов сайта: пароли к FTP, базе данных, серверу и системе управления контентом (CMS).
    Готово – ваш сайт закрыт на карантин. Теперь необходимо проверить информацию в Инструментах для веб-мастеров.

  • Zahidul Islam

    How can I change all the users password in my site? Lets say there are 500 users.
    Lets say I did that. How can my users login later?

Leave a Reply

Your email address will not be published. Required fields are marked *