Az interneten nem az akciófilmekből ismert magányos zseni keresi a gyenge pontokat, hanem türelmet nem ismerő robotok milliói. Ezek a programok éjjel-nappal ugyanazokat a fájlneveket és könyvtárakat pásztázzák: „.env”, „wp-config.php.old”, „phpinfo.php”, „/server-status”. Nem érdekli őket a márka, az esztétika vagy az, hogy egy oldal kicsi vagy nagy; csak az számít, hogy a következő lépéshez találnak-e egy útvonalat, ami megnyílik. A vállalkozói oldalról nézve ez azért különösen veszélyes, mert egyetlen elhibázott beállítás vagy elfelejtett tesztfájl képes elindítani egy kárfolyamatot: először bejutnak a rendszerbe, majd hozzáférnek az adatbázishoz, végül adatot visznek, zsarolnak, vagy felhasználják a szervert újabb támadásokhoz. Dajka Gábor szakértőként azt látom, hogy a legtöbb incidens nem kifinomult trükkön múlik, hanem hétköznapi figyelmetlenségen: az éles környezetben maradt debug-oldalakon, a webgyökérben felejtett mentéseken, vagy azon, hogy egy belső fájlnév kiszivárgott a keresők felé. A sajtó azért kapja fel rendre ezeket a történeteket, mert az ügyfél számára mindez nem technikai részlet: az ő szemében a márka vagy megbízható, vagy nem. Ha egy apró fájl miatt elpárolog a bizalom, azt a legjobb kampány sem hozza vissza azonnal. Ez a cikk nem rémhíreket kínál, hanem egy tiszta képet: hogyan lesz egy fájlból üzleti veszély, hol keletkezik a kár, és mit lehet tenni – gyorsan, fegyelmezetten, realista erőforrással.
Hogyan lesz egy fájlból üzleti kár?
A támadási lánc mindig ugyanabba a mederbe folyik, még ha az áradás mértéke eltérő is. Az első lépés a felderítés. A robotok sablonlistákkal dolgoznak: ismert keretrendszerek tipikus fájlnevei, régi mentések és konfigurációs utak. Ha valamelyik megnyílik – például egy „/.env” vagy egy „/wp-config.php.bak” –, a támadónak nem kell több: a benne talált jelszavak, tokenek, adatbázis-elérési adatok önmagukban átjárót jelentenek. A második fázis azonos az értékesítési tölcsér analógiájával: ha a hitelesítő adatok működnek, belép a rendszerbe, és megnézi, hogy az adatbázisban milyen ügyféladatok érhetők el, mennyire különül el a publikus és a belső réteg, illetve van-e naplózás, ami lebuktatná. Itt válik pénzügyi kérdéssé a történet: ügyféladat, rendelési előzmény, szállítási címek – ezek mind pénzt érnek a feketepiacon, és mind reputációs kockázatot jelentenek. A harmadik lépés többféle kimenetet hozhat: adatlopás és csöndes eladás, az oldal átállítása spam-szolgáltatásra, vagy klasszikus zsarolás, amelyben a támadó titkosít, és „helyreállítási díjat” kér. Dajka Gábor tapasztalata szerint a kis- és középvállalkozásoknál gyakran nem a közvetlen pénzlevonás a fő kár, hanem a leállásból fakadó bevételkiesés és a bizalomvesztés. Egy egynapos webshop-kimaradás árbevételben, visszaforduló hirdetési megtérülésben és ügyfélszolgálati terhelésben mérhető; ha ehhez hozzájön a sajtó, a közösségi médiás visszhang, a károk könnyen megsokszorozódnak. A negyedik lépés a lábnyom eltüntetése: a támadó igyekszik úgy használni a szervert, hogy közben a tulajdonos a lehető legkésőbb vegye észre. Épp ezért a „nincs gond, mert megy a weboldal” hamis megnyugvás – a csend gyakran nem a biztonság jele, hanem a rosszabb forgatókönyv előszobája.
Mely fájlokból lesz a leggyorsabban baj?
Az alábbi lista nem teljes, de lefedi a leggyakoribb belépési pontokat, amelyeket a robotok kérlelhetetlenül végigpróbálnak. A minta az évek során alig változott: konfigurációk, mentések és tesztoldalak. A tanulság két mondatban összefoglalható: ne legyen elérhető semmi, ami hitelesítő adatot vagy környezeti beállítást tartalmaz, és ne maradjon a webgyökérben olyan fájl, ami csak a fejlesztőnek készült. Ha mégis szükség van rá (például ideiglenesen), akkor IP-szűrés mögé vagy külön, nem publikus útvonalra kell tenni, és határidővel eltávolítani. Ahol működik a fegyelem, ott a robotok lepattannak; ahol nincs, ott előbb-utóbb meglesz a „gyenge láncszem”.
| Fájl/útvonal | Miért veszélyes? | Megjegyzés |
|---|---|---|
| /.env, /.env.local | Környezet, DB-jelszó, API-token | Laravel, Symfony, Node és .NET világban is gyakori |
| /wp-config.php.bak, /wp-config.php.old | Adatbázis-hozzáférés, sók | WordPress mentés a webgyökérben – klasszikus hiba |
| /phpinfo.php, /info.php | Teljes környezeti lenyomat | Verziók, modulok, pathok – iránytű a támadónak |
| /.aws/credentials | Felhős kulcsok | Tároló, CDN, backup hozzáférés – láncreakciót indíthat |
| /.git/, /.git/config | Forrás elérése, titkok visszafejtése | Gyakran feledik a gyökérben, pedig tiltandó |
| /server-status, /server-info | Szerververziók, modulok | Csak belső IP-ről legyen elérhető, ha egyáltalán |
| /xmlrpc.php | Brute-force és visszaélések | WordPressnél külön figyelmet igényel |
Pénzügyi hatás: a „veszteség-lánc” működése
A vállalkozói döntéshozókat végső soron a pénz érdekli: mennyibe kerül megelőzni, és mennyibe kerül nem megelőzni. A válasz kényelmetlen, de tiszta: a megelőzés olcsóbb. A veszteség-lánc jellemzően nem egyetlen tételből áll, hanem több kisebb, egymást erősítő elemből. Elsőként jön a közvetlen incidenskezelés költsége (fejlesztői óra, rendszergazdai beavatkozás, forgalomfigyelés), amit sokan hajlamosak „benyelni”. Második a leállás: egy reklámokra támaszkodó webshopnál a konverziók esése azonnal kimutatható, a kampányok megtérülése romlik, a hirdetési fiókok optimalizációja is sérül. Harmadik a kötelező értesítések és jogi teendők köre: ha személyes adat érintett, mérlegelni kell az érintettek és a hatóságok tájékoztatását, ami nem csak formaiság, hanem reputációs kérdés. Negyedik a visszafordíthatatlan bizalomvesztés: sok ügyfél egyszerűen nem jön vissza, vagy hosszabb gondolkodási idő után dönt, a kosarát gyakrabban hagyja el. Végül ott a közvetett költség: a belső fókusz heteken át az „oltásra” megy el, miközben a termékfejlesztés és az értékesítés hátrébb csúszik. Tapasztalatom szerint a „pár tízezer forintos” megelőző munka hiánya könnyen többszázezres, vagy akár milliós nagyságrendű, több hónapra elhúzódó veszteségfolyammá nő. A legjobb vezetők ezért úgy tekintenek a biztonsági alapokra, mint egy járulékra: nem azért fizetik, mert „szeretik”, hanem mert az üzletmenet biztosításának része. Ha ezt a szemléletet elfogadjuk, a technikai lista hirtelen üzleti to-do-vá válik, és azonnal érthetővé lesz a prioritás: ami hitelesítő adatot vagy rendszerlenyomatot árul el, azt az első körben kell lezárni.
Gyakorlati akcióterv: 30–60 perc alatt mit lehet rendbe tenni?
Nem mindig fér bele egy teljes infrastruktúra-átvilágítás. De sokat ér már az is, ha fegyelmezetten végigviszünk egy rövid, célzott ellenőrzést. Az alábbi lista azokra a lépésekre koncentrál, amelyek a legnagyobb kockázatot veszik ki a rendszerből. Dajka Gábor módszere egyszerű: először elvágni az egyértelmű bejáratokat, aztán rendezni a maradékot. Ehhez nem kell különleges eszközpark, elegendő a hozzáférés a tárhelyhez és a webszerver beállításaihoz. A cég oldalán ez úgy jelenik meg, hogy „eltűntek a robotok” a naplókból, a CPU-terhelés kisimul, és megszűnik az a fura érzés, hogy „mintha valaki mindig hátulról bökdösné az oldalt”.
- Szűrd ki az egyértelműen felesleges végpontokat: tiltsd az „/xmlrpc.php”-t, a „/server-status”-t, és a „/server-info”-t. Ezeket csak belső IP-ről engedd, ha egyáltalán szükségesek.
- Tedd tiltólistára a privát gyökérfájlokat: „/.env”, „/.git/”, „/.aws/”, „/.vscode/”, „/.ssh/” – ezekre „deny all”.
- Távolítsd el a teszt- és debug-oldalakat: „phpinfo.php”, „info.php”, „test.php”, „time.php”, „temp.php”. Ezek éles környezetben nem maradhatnak.
- Ne tárolj mentést a webgyökérben: minden „.bak”, „.old”, „.save”, „.zip” mehet a weben kívülre vagy titkosított tárhelyre.
- WordPress-specifikus lépés: a „/wp-cron.php”-t IP-re korlátozd (pl. 127.0.0.1), a fájlfeltöltéseknél kapcsold be a MIME-ellenőrzést, az admin felületet védd kétfaktoros hitelesítéssel.
- Naplózás és jelzés: kapcsold be az alapértesítéseket sikertelen belépésről, szokatlan fájlmódosításról, és tedd láthatóvá a naplókat legalább 7–14 napra visszamenően.
Megjegyzés: aki rendszeresen szerkeszt .htaccess-t vagy Nginx-konfigot, készítsen sablont ezekre a tiltásokra, és használja minden új projekt indításakor. A fegyelem hosszú távon sokkal többet számít, mint a bonyolult megoldások.
Kommunikáció, megfelelés, márka: mit tegyünk, ha mégis megtörtént?
A legjobb cégek nem attól jók, hogy velük sosem történik incidens, hanem attól, ahogyan kezelik. Itt válik különösen fontossá a transzparens, de mértéktartó kommunikáció. Ha gyanú merül fel, célszerű azonnal kijelölni egy felelőst, aki a műszaki és az üzleti szálat összefogja. A műszaki csapat lezárja a nyilvánvaló bejáratokat, mentést készít a vizsgálathoz, majd olyan szintig állítja helyre a szolgáltatást, hogy az ügyfelek ismét biztonságosan rendeljenek. Közben a vezetés előkészíti a tájékoztatást: mit tudunk, mit nem, mi a következő lépés, és mikor frissítünk újra. Ha személyes adat érintett, a tájékoztatás nem csak etikai, hanem jogi kérdés is; a bejelentések rendje és határideje országonként eltérő, ezért érdemes előre lefektetni a protokollt jogi támogatással. A gyakorlatban a jó incidenskezelés három kommunikációs elvet követ: rövid, tárgyilagos információk; rendszeres frissítés; és a kár enyhítését szolgáló konkrét tanács (például jelszócsere, kéttényezős belépés bekapcsolása). A sajtóval való kapcsolatban nem hasznos a titkolózás: ha egy történet megírható, meg is fogják írni – jobb, ha a cég a saját narratíváját és ténylistáját adja ki, nem pedig találgatásokra hagyatkozik. A reputáció nem az incidensből, hanem az arra adott válaszból épül újjá. Ezen a ponton az is oktatási lehetőség: megmutatni az ügyfeleknek, hogy a vállalkozás érti a kockázatot, és képes belőle jobb működést csinálni. Dajka Gábor: Online marketing és pszichológia című könyvemben is azt hangsúlyozom, hogy a márka nem dísz, hanem működési kultúra; a biztonság pedig ennek szerves része.
Dajka Gábor marketingszakértő, business coach és befektető szerint
Az üzleti siker nem a hibátlanság illúziójára épül, hanem arra, hogy a kritikus pontokat időben felismerjük, és szisztematikusan kivesszük a veszélyből. Egy rosszul elérhető konfigfájl nem „programozói baki”, hanem szervezeti hiányosság: nincs fegyelem a kiadásban, nincs világos felelősség a rendszerkarbantartásra, nincs ellenőrző lista, amivel a csapat élesítés előtt végigmegy a tételeken. Aki ezen változtat, az valójában nem az IT-t javítja, hanem az üzlet képességét arra, hogy megbízhatóan szolgáljon ki ügyfeleket. És ez a megbízhatóság piaci előny. Provokatívan fogalmazva: a kiberbiztonság az a marketing, amit nem lát az ügyfél, de érez a termékben. Minden döntéshozónak azt ajánlom, tekintse ezeket a fájlokat jelzőlámpának: ha a cégben bárki meg tudja írni és kirakni a „phpinfo.php”-t élesre, akkor ott a folyamat is élesítésre szorul. Tisztább kiadási csatorna, jól karbantartott sablonok, és egy rövid, kötelező ellenőrző kör – ennyi kell ahhoz, hogy a robotok számára unalmas, a vevők számára pedig megbízható legyen a weboldal. Ez nem költség, hanem működési döntés, amely hosszú távon olcsóbb, mint bármelyik válságkommunikációs kampány.
Szakértő válaszol – GYIK
Miért pont ezekre a fájlokra „buknak” a robotok?
Mert ezekben a fájlokban található a legrövidebb út a rendszer belsejébe: jelszavak, tokenek, elérési adatok vagy részletes környezeti információ. A robotok listákkal dolgoznak, amelyeket évek gyakorlata csiszolt: ha valaki valahol elkövette ugyanazt a hibát, a minta felkerült a listára. A támadó oldaláról ez tiszta megtérülési számítás: olcsó milliárdszám próbálkozni, és elég néhány találat ahhoz, hogy az egész „üzlet” megérje.
Mit tegyen egy magyar KKV, ha nincs saját rendszergazdája?
Először is jelöljön ki egy felelőst, aki a tárhelyszolgáltatóval és a webfejlesztővel kapcsolatban van, és aki negyedévente végigmegy egy egyszerű ellenőrző listán. Másodszor kérjen a fejlesztőtől és a tárhelytől sablonos biztonsági beállításokat: mi van tiltva, milyen IP-ről elérhető az admin, hova mennek a mentések. Harmadszor legyen incidens-protokoll: ki szól kinek, mik a legelső lépések, és milyen nyelven kommunikálunk az ügyfelekkel. Ez a három dolog önmagában képes a kockázat nagy részét kivenni, különösen akkor, ha az „egy fájl mindent visz” típusú hibákat célzottan tiltatjuk.
Mekkora költséggel számoljak: megelőzés vs. incidenskezelés?
Tapasztalatom szerint a megelőző lépések – sablonos szerverkontrollok, karbantartott tiltólisták, kétfaktoros admin – nagyságrendileg a marketing havi büdzséjének töredékéből megvannak. Egy valós incidens költsége ezzel szemben nem csak óradíjakban mérhető: kieső forgalom, hirdetési pazarlás, ügyfélszolgálati terhelés, esetleges jogi kötelezettségek. Ezek együtt könnyen többhavi marketingköltésnek megfelelő kiadássá állnak össze. Ebből az következik, hogy pénzügyileg is racionális első körben az alapokat rendbe tenni.
Miért jelennek meg újra és újra ugyanazok a fájlnevek a naplókban?
Mert a botok nem alkalmazkodnak egyedi viselkedéshez, hanem szisztematikusan végigpróbálják a bevált listákat. Egy sikeres forgatókönyv a világ bármelyik szerverén működhet, ezért mindig újra előveszik. Ezért nincs „egyszer s mindenkorra” megoldás; a fegyelem tartja vissza a kockázatot: a tiltások, a karbantartás, a frissítések.
A sajtó miért kapja fel ezeket az eseteket?
Mert közérthető narratívát kínálnak: „egy fájl miatt ügyféladatok kerültek ki” – ezt bárki érti. A történetben nem az a hírérték, hogy milyen modul fut a szerveren, hanem az, hogy a márka hogyan bánik a rábízott adatokkal, és hogyan reagál a bajban. Ha ezt jól kezeljük, a sajtóban is a professzionális hozzáállás üzenete jelenik meg.
Források
OWASP Top 10 – A05:2021 Security Misconfiguration
MITRE ATT&CK – T1552 Unsecured Credentials
WordPress dokumentáció – Hardening WordPress
