대부분의 고객은 Google에서 '죽음의 레드 스크린'을 보거나 고객이 알려주었을 때 웹 사이트가 해킹되었음을 발견합니다. 이는 웹사이트가 오랫동안 감염되어 웹사이트의 평판과 개인정보를 손상시켰을 수 있기 때문에 위험할 수 있습니다.
웹사이트는 오늘날 모든 비즈니스의 중심이 되었습니다. 그들은 전자 상거래 거래, 고객 데이터, 마케팅 및 그 사이의 모든 것을 처리합니다. 그러나 웹사이트 보안은 제품을 구축하는 동안 무시되고 결국 해킹당하는 것 같습니다. 보안 업계에 이런 말이 있습니다.
호스팅 위치, 개발팀 규모, HTTPS에 관계없이 모든 웹사이트는 적절한 보안 조치 없이 해킹에 취약합니다. 보안은 진행 중인 프로세스이며 100% 보안은 신화입니다. Astra는 고객이 사전 예방적 보안 조치를 취하고 해킹 시나리오를 완화할 수 있도록 준비할 것을 강력히 권장합니다.
이 기사를 통해 귀하의 웹사이트가 해킹당했다는 징후를 찾아보도록 하겠습니다.
귀하의 웹사이트가 해킹되었다는 15가지 신호
1. 웹사이트 방문 시 Google 크롬(또는 다른 브라우저)에 경고가 표시됨
귀하의 고객(또는 귀하)이 귀하의 웹사이트가 해킹되었을 수 있다는 경고 메시지가 포함된 Chrome 메시지를 본다면 아마도 그럴 것입니다. 이 메시지는 웹사이트가 Google 세이프 브라우징에 의해 차단된 경우 표시됩니다.
Google Chrome, Mozilla Firefox, Safari 및 Opera와 같은 인기 있는 브라우저는 Google의 블랙리스트를 사용하여 방문자에게 경고 메시지를 표시합니다. 귀하의 웹사이트가 해킹당했을 때 Google이 표시하는 몇 가지 경고 메시지를 살펴보십시오. 경고 메시지는 Google이 웹사이트에서 찾은 내용에 따라 다르지만 대략 다음과 같습니다.
2. Google Search Console에서 웹사이트가 해킹되었거나 맬웨어가 있다는 메시지를 보냅니다.
웹사이트가 Google Search Console(이전에는 Google 웹마스터 도구라고 함)에 연결된 경우 Google은 웹사이트가 해킹당했음을 알리는 메시지(및 이메일)를 보냅니다. 이는 Google이 일부 악성 코드, 스팸 콘텐츠를 감지했거나 귀하의 웹사이트가 손상되었다고 믿을 만한 합리적인 의심이 있음을 의미합니다. 소셜 엔지니어링 콘텐츠를 수정하고 승인되지 않은 Google Ads를 재활성화하는 방법에 대한 자세한 블로그를 확인하세요.
일반적으로 이 메시지에는 의심되는 URL과 가능한 공격 경로에 대한 세부 정보가 포함됩니다. 이 가이드의 뒷부분에서 이러한 메시지를 받았을 때 취해야 할 조치에 대해 설명합니다.
3. 귀하의 호스팅 회사가 귀하의 웹사이트를 비활성화했습니다
웹 사이트 호스팅 회사는 악성 코드가 있는지 정기적으로 서버를 검사하고 종종 해킹된 웹 사이트를 즉시 비활성화하여 해당 서버의 다른 웹 사이트로 감염이 확산되지 않도록 합니다. 호스팅 회사가 다음을 포함하되 이에 국한되지 않는 여러 가지 이유로 웹사이트를 비활성화할 수 있습니다.
- 서버에서 악성 코드가 발견되었습니다.
- 귀하의 웹사이트 도메인은 Google, Norton Safe Web, Spamhaus 등에 의해 차단되었습니다.
- 서버에서 스팸 또는 피싱 이메일 전송
- 웹사이트에서 실행되는 악성 코드로 인한 높은 CPU 사용량
다음은 호스팅 회사(Godaddy, HostGator, Hostinger 등)에서 계정을 일시 중지한 경우 이유와 해결 방법에 대한 자세한 블로그입니다.
4. 계정의 아웃바운드 포트 80, 443, 587 및 465가 차단됨
경우에 따라 호스팅 회사에서 웹사이트를 완전히 비활성화하는 대신 웹사이트에 대한 리소스를 제한할 수 있습니다. GoDaddy, HostGator 및 BigRock에는 계정에 대해 80, 443, 587 및 465와 같은 아웃바운드 포트에 대한 연결을 차단하는 자동화된 시스템이 있습니다. 이러한 보안 조치는 악성코드 감염을 차단하고 서버에서 스팸을 차단하기 위한 것입니다.
악성 파일이 서버에서 격리되고 웹사이트가 자동화된 바이러스 스캐너를 통과하면 차단 해제를 요청할 수 있습니다.
5. 고객이 신용 카드가 해킹당했다고 불평합니다.
수년에 걸쳐 해커는 교묘해지고 악의적인 기술을 사용하여 웹사이트에 입력되거나 저장된 신용 카드 정보를 수집합니다. 그들은 인터넷에서 이러한 카드 정보를 판매하여 다양한 금액($1에서 $1000 이상)의 사기 거래를 수행하는 데 사용됩니다.
이러한 공격은 전자 상거래 상점의 보안 취약성으로 인해 발생합니다. Magento, OpenCart 또는 PrestaShop과 같은 콘텐츠 관리 시스템(CMS)을 사용하는 경우 설치된 플러그인 중 하나에 몇 가지 중요한 보안 결함이 있을 수 있습니다.
관련 기사 – Magento, OpenCart 및 WooCommerce의 신용 카드 해킹
6. 귀하의 이메일은 스팸 폴더로 전송됩니다.
해커는 해킹된 웹사이트에서 악성코드를 사용하여 수많은 사람들에게 스팸 이메일을 보내는 것으로 알려져 있습니다. 이메일의 스팸성으로 인해 전 세계의 이메일 서버가 귀하의 서버와 IP 주소를 블랙리스트에 올렸을 수 있습니다. 결과적으로 귀하가 보낸 합법적인 이메일도 스팸 폴더에 들어갑니다. Every email in the spam folder is a loss of business &online reputation!
7. Strange Looking JavaScript In Your Website Code
If you notice any strange looking, obfuscated, or cryptic looking JavaScript code in the web page source, quickly comment it out. It may be used to steal passwords, credit card information or other sensitive customer information. It can also be used to redirect your visitors to other malicious website, pop-ups, advertisements etc.
Our security researchers recently found malicious jQuery code in a huge number of hacked Magento Stores. This tiny code snippet sends credit card information to malicious servers on the Checkout page. If you are facing similar problem check our detailed blog on Credit/Debit card malware hack.
8. Your Website Becomes Very Slow And Shows Error Messages
If you notice that your website has suddenly become very slow and shows error messages, it is likely that malware is utilizing your server resources. Most targeted pages are the checkout, payment, login and signup pages. For a page that normally loads in 4 seconds if it takes 10+ seconds, something is wrong.
9. You Find Unexpected Error Messages In Your Error Logs
Often you will find unexpected messages in the error logs about deprecated functions, undefined offsets, connection denied or other errors. If the file path or error looks unfamiliar, verify the authenticity of the code or run a malware scan. Some of the most common error messages are:
PHP Deprecated: Function ereg_replace() is deprecated in /home/xxxxxxxx/public_html/js/extjs/resources/images/magento/grid/kala.php(1) : eval()'d code on line 1PHP Notice: Undefined index: _upl in /home/xxxxxxxx/public_html/index.php on line 64PHP Fatal error: require_once(): Failed opening required '/home/xxxxxxxx/public_html/js/shell.phpPHP Parse error: syntax error, unexpected 'if' (T_IF) in /home/xxxxxxxx/public_html/js/index.php on line 40
10. You Find New Admin Users Or FTP Accounts Which You Haven’t Created
If you find new admin users, database users, FTP users it is a strong sign that you are hacked. Privileged accounts are left behind by hackers to continue having access to your website and server. Such accounts are used to backdoor your website and access if whenever they wish to.
Check our detailed blog posts how to safeguard admin panel for various CMS (WordPress, Magento, Opencart, Joomla etc.)
11. Files Have Been Recently Modified
If you notice core system files being recently modified, compare the files to earlier versions to find what has changed. An attacker could have modifies the files to run malicious code, send spam emails or create back-doors to your website.
If there are files with suspicious looking filenames, server-side scripts (.php, .aspx, .py etc) files in upload directories, it is a strong indication that your website is hacked.
Related Articles – How to identify &fix hacked WordPress files
12. Ads &Pop-ups Open When Visiting Your Website
If your website visitors see spam advertisements or popups, your website is likely to be compromised due to Cross-site Scripting (XSS) or malicious code injection. Hackers earn money from ad impressions. Google safe browsing team will send you a mail that they have detected social engineering content on your website.
13. Your Website Is Being Redirected to Hacked Sites
Again a sign of Cross-site Scripting or Server-side code manipulation where a hacker is able to redirect your web traffic to phishing pages, compromised websites or even competitor websites.
14. You See A Traffic Spike, Sometimes On Pages That Don’t Exist
Hackers use your hacked website for ‘spamvertising’ causing a traffic spike. Spam emails are sent from your server with links to existing or new pages that are created by the hacker. This comes from the words “spam” and “advertising”.
Spamvertising is used to vandalize blogs, website, forums and comment sections with hyperlinks in order to get a higher search engine ranking for the hacker’s website.
15. Unknown Code Or Redirects In The .htaccess File
In most cases of malicious redirects, the .htaccess file has been hacked and injected with redirection code. This is possible through “backdoor(s)”that a hacker may have placed on website files. Some of the possible symptoms:
- Your site shows a blank page and doesn’t load
- Your site gets redirected to some malicious website
- Your site redirects you to Google
- Your site can’t be accessed by Google
- Your .htaccess file keeps getting modified
What To Do If You Suspect Your Website Is Hacked
1. Run A VirusTotal.com Website Scan: VirusTotal is an amazing tool backed by Google which simultaneously scans over 70+ major blacklist and malware engines to check whether your website is hacked or not.
2. Check Blacklist Status on Google Safe Browsing Site Status page: Simply replace the ‘getastra.com’ with the URL of your website at the end of the URL and it will show you the blacklist status of your website with Google. It also shows you the details of the hack and steps you should take to fix this.
3. Disable Access To Your Website: Before any serious damage is done and the customer gets to know about the hack, put your website in maintenance mode and restrict access only to authorized users. You can do this by placing a .htpasswd.
4. Run The Virus Scanner In Your cPanel: Most of the hosting providers have automated Virus Scanners in the cPanel dashboard to find any known malware. These scans perform a basic search and help you identify the infected files. However, keep in mind that these scanners do not identify the reason for the hack, the vulnerability scanners do not protect your website from being re-infected .
5. Protect Your Website With a Website Firewall (WAF): Protect your website with a firewall like Astra Web Protection , which will prevent any such hacks in the future and ensure your website doesn’t get hacked. A web application firewall monitors the incoming traffic on your website and blocks the malicious requests. With Astra, you can also block bad bots and automated security tools by laying our strategic ‘honeypots’ and other sophisticated mechanisms.
6. Get Professional Website Malware Cleanup: You can engage security professionals to clean the hacked website for you.