Hosting suspendat din cauza malware: cum repui site-ul online fără să-l pierzi din nou

Deschizi site-ul firmei și, în loc de pagina ta, vezi un text sec pe fond alb: „This account has been suspended". Sau primești un email de la găzduire, scris parcă de un robot, în care apar cuvinte ca „malware", „abuse" și o cale către un fișier de pe serverul tău pe care nu l-ai văzut în viața ta. Telefonul începe să sune: clienții nu mai intră pe site, comenzile s-au oprit, iar tu nu ai nici cea mai vagă idee ce s-a întâmplat sau ce trebuie să faci în următoarea oră.

Ghidul ăsta e pentru tine, proprietarul de firmă mică pus brusc în fața unui cont suspendat pentru malware, fără să fii tehnic și fără timp de pierdut. Îți explic de ce te-a suspendat hostul (și de ce, de cele mai multe ori, nu e un abuz, ci o măsură de protecție), ce să NU faci în panică, cum cureți cauza, cum dovedești că site-ul e curat și cum formulezi cererea de reactivare ca să nu fii suspendat din nou peste două zile.

De ce ți-a suspendat hostul contul

Prima reacție e să te superi pe găzduire: „mi-au închis site-ul fără să mă întrebe". E de înțeles, dar suspendarea nu e o pedeapsă, ci un stingător de incendiu. Pe găzduire partajată, contul tău stă pe același server și, foarte des, pe același IP de ieșire cu alte zeci sau sute de site-uri. Când unul e compromis, problema nu rămâne la tine.

Concret, hostul te suspendă din câteva motive care, puse cap la cap, îl obligă să acționeze repede:

• Răspândirea malware-ului. Un site infectat poate contamina alte conturi de pe același server sau poate fi folosit ca punct de plecare pentru atacuri. Hostul oprește focul înainte să sară la vecini.
• Abuzul spre exterior. Foarte des, un cont spart începe să trimită spam în masă sau să lanseze atacuri. Asta murdărește reputația IP-ului comun și poate trimite mailul tuturor celor de pe server direct în folderul de spam.
• Riscul de blacklist pe IP partajat. Dacă IP-ul comun ajunge pe o listă de blocare, suferă toți clienții, nu doar cel infectat. Sistemele automate de la Google și Microsoft pot pune întreg intervalul de IP-uri pe liste, așa că furnizorii reacționează imediat.
• Consumul de resurse. Scripturile malițioase, mai ales cele care trimit mail sau scanează alte site-uri, încarcă serverul și încetinesc totul în jur.
• Propria răspundere și reputație. Un furnizor care lasă conștient un site spart să funcționeze își riscă propria reputație și relația cu centrul de date. Sub presiunea unei sesizări de abuz, suspendarea e calea cea mai sigură.

Ce să NU faci în primele minute

Sub stresul site-ului picat, multe firme fac exact mișcările care prelungesc problema. Hai să le scoatem din față, fiindcă fiecare dintre ele te poate costa zile întregi de nefuncționare.

Nu cere reactivarea de zece ori la rând. Un tichet panicat, fără nicio dovadă că ai curățat, nu grăbește nimic. Dimpotrivă, aglomerează coada și îl pune pe operator în poziția de a refuza, fiindcă nu i-ai dat niciun motiv să te creadă curat.

Nu repune pur și simplu același site. Cea mai costisitoare greșeală e să restaurezi un backup făcut după ce ai fost deja infectat, sau să încarci la loc aceleași fișiere. Dacă în ele stă backdoor-ul prin care a intrat atacatorul, hostul detectează din nou malware-ul și te suspendă a doua oară, uneori în aceeași zi. Ajungi într-un cerc în care tot repui și ești tot suspendat.

Nu șterge totul la întâmplare. Ștergerea oarbă a fișierelor distruge tocmai proba care arată pe unde a intrat atacatorul și poate strica site-ul fără să rezolve infecția. Lucrează în ordine, nu în panică.

Nu ignora calculatorul tău. De multe ori datele de acces la găzduire sau la FTP sunt furate direct de pe stația proprietarului, printr-un program care fură parole. Dacă nu cureți și calculatorul, schimbi parolele degeaba: atacatorul le ia din nou.

Pașii corecți, în ordine, ca să repui site-ul

Reactivarea nu e primul pas, ci ultimul. Înainte de ea, ai de strâns proba, de curățat cauza și de confirmat că s-a oprit. Parcurge ordinea de mai jos: fiecare pas îl pregătește pe următorul, iar sărirea peste unul e fix motivul pentru care multe conturi „curățate" sunt suspendate din nou.

Dacă nu ești sigur că poți face curățarea singur, nu improviza pe un site care e oricum scos din uz. Pașii de curățare propriu-zisă, cu fișierele tipice de verificat și ordinea exactă, îi găsești detaliat în ghidul despre cum cureți un site WordPress virusat. Iar dacă infecția a trecut deja și prin trimitere de spam, vezi și ce faci când site-ul tău trimite spam și ai ajuns pe blacklist, fiindcă acolo stă o bună parte din motivul suspendării.

Cum dovedești că ai curățat (partea pe care o sar cei mai mulți)

Aici se câștigă reactivarea rapidă. Operatorul care îți citește tichetul nu te cunoaște și nu are de unde să știe că ai rezolvat. Treaba ta e să-i dai motive concrete să te creadă, nu să-l rogi frumos. Un tichet bun de reactivare conține, pe scurt și la obiect:

• Recunoașterea problemei. Confirmă că ai înțeles ce au detectat, citând fișierele sau căile pe care ți le-au indicat ei.
• Ce ai făcut concret. Ce ai curățat sau restaurat, ce ai reinstalat din surse oficiale, ce conturi de administrator străine ai șters.
• Ce ai schimbat și securizat. Parolele rotite (găzduire, FTP, baza de date, admin), actualizările aplicate, pluginurile sau temele piratate eliminate, doi factori activați.
• Dovada. Raportul de scanare de după curățare, care arată că nu mai e infectat. Asta e piesa care convinge cel mai repede.
• Cererea clară. „Vă rog să reactivați contul, atașez raportul de scanare." Scurt și fără presiune.

Pentru cazuri de malware, reactivarea durează de regulă de la câteva ore la una sau două zile lucrătoare, în funcție de host și de coada de tichete. Un tichet complet, cu dovezi, se procesează vizibil mai repede decât unul gol. Dacă hostul cere o scanare finală din partea lui înainte să deblocheze, e normal: vrea să confirme cu instrumentele proprii înainte să-și asume riscul de a te repune online.

Cum eviți o nouă suspendare

Un site suspendat o dată pentru malware e foarte des suspendat și a doua oară, fiindcă atacatorii revin pe aceeași ușă pe care nu ai închis-o complet. Motivul numărul unu al recidivei e simplu: ai curățat simptomul, nu cauza. Ai șters un fișier, dar mai era unul, sau o parolă validă rămasă în mâna atacatorului.

Ca să nu te întorci aici, măsurile care contează cel mai mult sunt:

• Un filtru de securitate în fața site-ului. Un WAF (firewall pentru aplicații web) oprește o bună parte din exploatările prin care intră, în primul rând, codul malițios, înainte să ajungă la site.
• Autentificare în doi pași peste tot. Activează 2FA pe găzduire, pe admin și pe email. O parolă furată nu mai e de ajuns ca să intre cineva.
• Actualizări la zi și mai puține componente. Ține nucleul, temele și pluginurile actualizate, șterge tot ce nu folosești și renunță definitiv la variantele piratate, care vin aproape mereu cu backdoor-uri.
• Backup offsite, testat. Păstrează copii în afara serverului, din care poți restaura rapid o versiune curată. Un backup pe care nu l-ai testat niciodată nu e cu adevărat un backup.

Pentru întreaga poveste a recidivei, de ce reapare virusul după curățare și cum o oprești pentru totdeauna, citește ghidul despre de ce se reinfectează un site după curățare. E cea mai utilă lectură imediat după ce ai repus contul online, fiindcă acolo stau exact greșelile care duc la a doua suspendare.

Când și cui mai raportezi

Dacă nu te descurci tehnic, poți cere îndrumare la DNSC, Directoratul Național de Securitate Cibernetică, la numărul unic 1911. Iar dacă prin site s-au scurs date personale, de exemplu baza de clienți, emailuri sau date de card, intervine o obligație legală: notificarea ANSPDCP fără întârziere nejustificată, în principiu în cel mult 72 de ore de la momentul în care afli de breșă, conform articolului 33 din GDPR. Suspendarea în sine nu înseamnă automat o breșă de date, dar compromiterea din spatele ei poate fi una.