Страшные истории о взломах сайтов многие привыкли видеть в фильмах про компьютерных хакеров, при этом мало кто задумывается о безопасности собственного ресурса, полагая, что уж его веб-сайт точно никому не нужен. При этом, исходя из обычной статистики в Рунете более ста сайтов ежедневно подвержены взлому, а проверке на уязвимость более десяти тысяч. Базы антивирусов содержат информацию о нескольких тысячах вредоносных скриптах, список которых ежедневно обновляется. Так кому и для чего оказался нужен именно ваш сайт, как определить «взлом» самому и что предпринять в первую очередь, мы ответим в сегодняшней заметке.
Для чего взламывают сайты?
Получив печальную новость о взломе веб-сайта первое, что приходит в голову владельцу – «зачем кому-то понадобилось сидеть и специально взламывать мой сайт, ведь на нем всего 5 страниц и он несколько лет не обновлялся?». На самом деле 9 из 10 так называемых «взломов» происходят автоматически программами-ботами, нашедшими брешь в коде одного из устаревших модулей. Задача вредоносного ПО отнюдь не кража данных кредитной карточки, или фотографий из вашего облака. Скрипт, попавший на сайт скорее всего скопирует клиентскую базу для последующей продажи, разместит на сайте новую страницу со спам информацией и внешними ссылками (казино, рулетка, займы и подобными) или через ваш сервер сам совершит массовую спам-рассылку. Так что вредоносный код в макете сайта это не происки злостных конкурентов, а обычный нелегальный сбор информации. И чем старее и проще брошенный сайт, тем легче в нем найти уязвимость.
Замечали рекламные письма с тарифами е-мэил рассылок по базам РФ? Контакты компаний для таких баз как раз и собирают боты и вредоносные скрипты.
Быстро определяем взлом
При возникновении подозрений о попадании на сайт чужеродного ПО, необходимо посмотреть в контрольной панели хостинга историю изменения файлов. Многим спам-программам необходимо внести изменения в .htaccess или другие системные файлы. Если видим подозрительное изменения, то это первый тревожный звонок.
Следующим шагом заходим в CMS и проверяем логи системного журнала. Наша задача зафиксировать вход с чужеродного ip или странные действия на страницах. Особое внимание уделяем строчкам с указанием *.js, если вы не добавляли скриптов на страницы сами, скорее всего это и есть вредоносный червь.
Открываем поисковую систему Google (Гугл намного быстрее Яндекса индексирует новые страницы) и в строке поиска набираем команду «site:мой_домен.ru». Тщательно просматриваем все проиндексированные страницы и ищем чужеродный url. Если бот добавил новую спам-страницу, она будет в списке и попадется на глаза.
Если ваш ресурс добавлен в Google Search Console, то посмотрите уведомления в личном кабинете. Любое подозрительное действие на сайте отражается в нем. Когда сайта в панели Гугла нет, то просто попробуйте открыть его в Chrome, в случае заражения вместо привычного дизайн появится красное предупреждающее окно.
Что делать когда взломали сайт?
При взломе ресурса или подозрения на наличие «лишних файлов», имеет значение как быстро владелец примет меры, ведь счет идет не на дни, а на часы. В противном случае можно потерять не только клиентскую базу, но поспособствовать размещению огромного количества спама. Также имейте в виду, что вредоносные программы довольно умны, они маскируются под файлы системы и оставляют лазейки для повторного взлома, поэтому, необходимо как можно скорее проделать все действия из этого списка:
-
Проверка антивирусов. Все устройства с которых хоть раз был в ход в админ панель сайта необходимо проверить на вирусы. Для этого не нужно сразу покупать дорогостоящие лицензионные программы, достаточно будет воспользоваться trial-версией, это быстрее и проще, однако в последствие установить хороший антивирус обязательно нужно.
-
Сканируем файлы сайта через контрольную панель хостинга. Многие хостинг компании имеют в кабинете пользователя предустановленные сервисы мониторинга сайта, в том числе на предмет вредоносного кода и скриптов. Проверьте содержимое всех папок на сервере сами или через техническую поддержку хостинга
-
Меняем доступы. После проверки ресурса необходимо сменить все доступы. В первую очередь, меняем пароли у учетных записей системы управления (для всех уровней доступа), затем фтп доступ на хостинге и общий доступ к контрольной панели. Новые пароли лучше делать в верхнем и нижнем регистре, с использованием цифр.
-
Делаем backup системы. После очистки сайта необходимо создать чистую копию (бэкап) веб-сайта и базы на случай рецидива и во избежание потери информации. Копию обязательно скопировать на внешний носитель, рекомендуем также хранить её и в облаке.
-
Обновляем CMS до последней версии. Самая частая причина взлома, бреши в системе управления. Связано это с устаревшей версией CMS сайта (очень часто такой проблеме подвержены бесплатные движки Wordpress и Joomla), которая уже не поддерживается разработчиками. Во избежание подобных неприятностей всегда обновляем ядро системы до последней версии, предварительно сделав backup сайта.
Ошибки, приводящие к взлому
Зачастую сами владельцы веб-сайтов непреднамеренно виноваты в заражении и попадании на сайт вредоносного программного обеспечения. Если хотя бы один из пунктов ниже присутствует в вашей работе с ресурсом, риск взлома сайта повышается.
Регистрация на сайте. При разработке интернет-магазинов программисты часто делают личный кабинет с регистрацией пользователей. Если случайно поставить всем вновь зарегистрированным пользователям статус администратора, то появление на сайте вирусов и ботов, вопросов времени.
Совет. При регистрации пользователей всегда оставляйте ручную проверку недавно зарегистрированных юзеров и проверяйте права доступа каждого профиля. Так вы сможете отсеять ботов и не допустить получения админских прав случайной учетной записи.
Простой пароль. Такая банальная вещь, как простой пароль присутствует у каждого второго клиента. Боясь забыть доступы, пользователи используют простейшие комбинации, которые легко подбирает программа злоумышленника.
Совет. Не обязательно придумывать сложный пароль с символами «@$^*#», достаточно написать русское слово английскими буквами и добавить несколько цифр (номер квартиры, код домофона, год рождения).
Копирование контента из редактора. Практически все памятки систем управления содержат информацию, о крайне нежелательном копировании контента из документов форма .doc, .xls и подобных. Элементы оформления в текстовых редакторах имеют схожие с html-кодом символы, что может привести к поломке страницы или целого раздела. В некоторых случаях возможно даже принести на сайт кусок вредоносного кода (например при переносе таблиц с формулами)
Совет. Перед тем как вставить текст из «ворда», скопируйте его в блокнот, это уберет все оформление текста вместе с опасными элементами кода. Правку контента нужно всегда делать в редакторе системы управления.
Заливка файлов. Вредоносное ПО и вирусы у компьютеров и сайтов отличаются, и не всегда антивирус может идентифицировать вирус, написанный под веб-сайт. При заливке файлов на сервер, лучше ограничится стандартными типами документов, архивов и изображений. Другие форматы могут содержать вирусы и трояны.
Совет. Если файл со странным расширением обязательно требуется залить, то рекомендуется сначала добавить его в отдельную папку на хостинге и провести проверку на вирусы через его контрольную панель, а уже потом выводить на странице.
Заключение
Хочется отметить, что взлом сайта намного проще не допустить, чем потом устранять его последствия, вплоть до подъема всего ресурса с ноля. Соблюдение мер предосторожности это не паранойя, а безопасность вашего бизнеса в сети, не доверяйте его знакомым и новичкам, лучше потратиться на техническую поддержку сайта, чем потом переделывать и чинить ресурс.
