Что делать, если ваш сайт взломали


Оглавление (нажмите, чтобы открыть):

Что делать, чтобы сайты не взломали

У разных вебмастеров есть достаточно историй, когда у них уводили сайт, почту, интернет-кошелек и так далее. Поэтому если вы не выполняете нормы техники безопасности, то неплохо бы начать прямо сейчас, пока вас не вздрючили кулхацкеры.

Двухфакторная аутентификация

Прежде всего, используем двухфакторную аутентификацию везде, где только можно:

  1. Регистратор доменов (знаю точно, что такая фишка есть на рег.ру);
  2. Хостинг (на новой панели FastPanel у FastVPS она есть, у Бегета тоже есть);
  3. Почта (на mail.ru даже есть).

Вероятно, это самый надежный способ защиты. Взломать аккаунт со входом через двухфакторную аутентификацию очень тяжело.

Админка CMS

Тут подключить способ защиты из предыдущего подзаголовка очень геморройно. На WordPress самый лайтовый вариант — это поставить и настроить плагин Clearfy в связке с Login LockDown и сменить адрес админки. Этого хватает для большинства случаев. Самый же мощный плагин для защиты WordPress — это All in One WP Security & Firewall. У него такое огромное количество настроек, что вы только по их названиям уже узнаете многое о взломах сайтов и хакинге.

Другие предосторожности

Создавайте FTP-пользователя только тогда, когда это нужно. Как выполнили задачу — удаляйте. При каждом входе в FileZilla проверяем его на обновления.
Следует обновлять CMS регулярно.
Заходим с браузера Chrome. У Firefox открытый код, поэтому данный браузер более уязвим.
Пароли. Используйте программы вроде LastPass или KeyPass для генерации и хранения сложных паролей.
Антивирус. Нищебродский вариант — это Avast в связке с Malwarebytes. Второй, вполне надежный вариант — это купить Касперского.

Защита от палева

Если список всех ваших сайтов спалят, скорее всего поймут и их общие слабые места. Могут возникнуть и другие проблемы. Поэтому тут могут быть такие меры предосторожности:

  1. Разносим сайты по разным IP. Как вариант — вообще по разным хостингам;
  2. Заводим несколько аккаунтов Adsense. Я слышал, что можно менять идентификатор через Google Tag Manager, но людей, которые умеют это делать, никто живьем не видел.

Что делать если взломали страницу

Практически каждый современный пользователь имеет личную страничку в одной, а то и нескольких, социальных сетях. Здесь мы переписываемся, делимся фотографиями, развлекаемся. Многие еще и обмениваются важными сообщениями, которые необходимо скрывать от посторонних глаз. Посторонние глаза сегодня – хакеры, взламывающие аккаунты невнимательных пользователей. Давайте же разберемся, что делать, если взломали страницу.

Как мошенники взламывают страницы

Чтобы поймать преступника, нужно мыслить как преступник. На самом деле, существует куча способов взлома в социальных сетях. Кроме того, этот список постоянно пополняется. Как правило, доступ персональным данным злоумышленники получают благодаря человеческой глупости. Наиболее распространены следующие способы взлома:

  • Злоумышленник пытается выведать у вас личные данные от аккаунта (почта, личные сообщения, СМС и т.д.). Никогда не передавайте их.
  • Фальшивые сайты. Суть проста: создается копия страницы социальной сети, где необходимо ввести данные. Невнимательный пользователь вводит, а затем «пытает» поисковые системы вопросам: что делать, если твою страницу взломали. Всегда смотрите на адрес сайта в поисковой строке браузера.
  • Вирусные атаки тоже довольно распространены. И вновь небрежность пользователя. Не качайте файлы из непроверенных источников. Обязательно пользуйтесь антивирусом.
  • Простой пароль – самая главная причина взлома. Специальные программы попросту в считанные секунды подбирают пароли: 123456; qwerty; zxcvbn и т.д. Используете более сложные.

Что делать, если вашу страницу взломали

Итак, сложные пароли не уберегли – хакеры получили доступ к вашему аккаунту. Приступает к действиям:

  • Запустите антивирусную программу, чтобы убедиться в отсутствии вредоносного ПО на компьютере.
  • Обязательно смените пароль (если используете везде одинаковый) на других ресурсах (почта, социальные сети, аккаунты на сайтах и т.д.).
  • Напишите письмо в техническую поддержку социальной сети с указанием проблемы. Вероятно, поддержка сумеет восстановить доступ, в крайнем случае – заблокирует аккаунт, чтобы злоумышленник не мог получить доступа к личным сообщениям.
  • Если доступ восстановлен, смените пароль на более сложный.

Как вычислить взломщика страницы

Самый простой способ определить взломщика – просмотреть активность аккаунта. Найти этот пункт можно в любой социальной сети. Здесь вы увидите, с каких IP-адресов и браузеров происходил вход. IP поможет установить приблизительный адрес взломщика. Для этого можно воспользоваться специальными сервисами самостоятельно, либо отправиться с заявлением в правоохранительные органы.

Что делать, если вашу страницу взломали?

Время чтения: 12 минут Нет времени читать?

От кражи аккаунта в социальных сетях не защищен никто. Такое неоднократно случалось как со знаменитостями, так и с небольшими аккаунтами, количество подписчиков которых не превышало тысячу.

Почему крадут аккаунты и как обезопасить себя?

Если у владельца аккаунта большая аудитория, то доступ крадут для получения вознаграждение от владельца, т.к. популярный аккаунт часто является источником хорошего заработка (иногда основного) за счет рекламы.

Если же аккаунт небольшой, то с целью использования его как бота, который будет подписываться и лайкать другие аккаунты (например, для новых и старых аккаунтов в Инстаграм разный лимит подписок и лайков в день).

Часто и крупные и малые украденные аккаунты используют для рекламы запрещенных товаров и услуг.

Независимо от причин, ситуация очень неприятная, ведь злоумышленники теперь знают ваши личные данные — телефон, почту и переписку.

Как понять, что вас взломали?

1. Вас “выкинуло” из аккаунта и вы не можете войти. Если до этого вам не нужно было каждый раз при входе в соцсеть или приложение вводить логин и пароль, то это уже первый “звоночек”.

2. На почту или телефон пришло оповещение о входе с другого устройства. Как правило, в электронном письме предоставляется возможность подтвердить или опровергнуть, что это были вы.

Если промедлить, то злоумышленники могут удалить его, что говорит о том, что у вас взломали еще и почту. Для ее восстановления следует обратиться к службе поддержки.

3. У вас не получается восстановить пароль из-за замены вашего телефона или почты на другой. Приложение или соцсеть выдают: “На данный номер (почту) не зарегистрировано ни одного аккаунта”.

4. Вы не можете найти свой аккаунт по никнейму, ссылке или отмеченным фотографиям (Instagram). Это означает, что мошенники уже успели сменить имя аккаунта. Не очень актуально для ВК и Фейсбука, т.к. там смена имени занимает несколько дней. Для этих соцсетей обычно быстро меняют почту, номер телефона и адрес страницы.

Что делать, если вас взломали?

Как вернуть аккаунт Instagram

1. На странице входа нажмите на “Помощь с входом в систему”. Затем введите название вашего аккаунта, телефон или почту, которые использовались для регистрации.

Выберите способ подтверждения аккаунта.

Если любой из этих 3 способов помог вам зайти на свою страницу, то сразу же меняйте пароль и включайте двухфакторную аутентификацию. Вы вернули свой аккаунт.

Если же эти варианты не помогли, то нажмите на “Нужна дополнительная помощь?” и заполните форму для отправки.

После этого вам придет следующее письмо (на предпочтительный эл.адрес).

Ваше фото с написанным от руки кодом и в формате .jpeg (а не .jpg), следует отправить в ответ на данное письмо. Через пару часов служба поддержки Instagram проверит, действительно ли аккаунт принадлежит вам и пришлет еще одно письмо с ссылкой на смену пароля.

Как вернуть аккаунт Вконтакте

Постарайтесь сразу же сменить пароль у почты, привязанной к странице Вконтакте.

Если кнопка “Забыли пароль?” вам не помогла, то для обращения в техподдержку воспользуйтесь другим доступным аккаунтом.

Среднее время ожидания ответа от техподдержки Вконтакте — 1 сутки. В лучшем случае, вы сможете восстановить даже удаленные данные.

Как вернуть аккаунт Facebook

Также как и в ситуации с Вконтакте, измените пароль почты. Затем перейдите на страницу www.facebook.com/help в раздел “Конфиденциальность и личная безопасность” и выбрав “Взломанные и фальшивые аккаунты”.

Нажмите “Мне кажется, что мой аккаунт был взломан или кто-то использует его без моего разрешения”.

Facebook сразу же предложит вам перейти по ссылке https://www.facebook.com/hacked

и выбрать подходящий вариант.


Как обезопасить свой аккаунт?

1. Привязывайте к аккаунту не только действующую почту, но и телефон, к которому у вас есть постоянный доступ

2. Подключите двухфакторную аутентификацию в Инстаграм

3. Придумайте сложный пароль и держите его в секрете

4. Не скачивайте и не вводите свои данные входа в сомнительные приложения и сайты из непроверенных источников

5. Не забывайте выходить из соцсетей на чужих компьютерах и смартфонах

Как понять, что ваш сайт взломали?

В настоящее время взломы сайтов становятся массовым, поставленным на поток процессом. Сайты могут взламывать ради использования их мощностей (популярный нынче майнинг, участие в ботнете и т.д.). Также злоумышленники могут быть заинтересованы в краже содержимого вашего ресурса или продвижении собственного контента (реклама, фишинг). В любом случае, злоумышленники постараются выжать максимум из успешного взлома, то есть остаться незамеченными как можно дольше, извлекая из взломанного сайта как можно больше выгоды.

Существуют очевидные признаки взлома: на страницах мелькает куча рекламы, которую вы не размещали, меняется вид страниц, вы не можете зайти в кабинет администратора, гугл и яндекс сообщают о том, что ваш сайт вредоносный, а IP появился в спам-базах.

Но зачастую сразу обнаружить, что сайт взломан, невозможно – ведь явных отклонений от обычной работы нет. Так какие признаки могут указать на то, что ваш сайт взломали?

Итак, куда смотреть?

В первую очередь обратите внимание на изменения в производительности сервера и посещаемости вашего сайта. Если страницы грузятся медленнее, а трафик отличается от того, какой у вас обычно был – время обеспокоиться.

Настраиваем логи

Очень важным пунктом в обнаружении взлома являются логи сервера. Поэтому стоит удостовериться, что журналирование настроено правильно. Тогда, в случае чего, вы будите иметь все необходимые сведения касательно произошедших событий.

Рассмотрим возможную настройку логов. В приведенных ниже примерах в качестве ОС используется Linux, а в качестве сервера – nginx.

Настройка logrotate для nginx не является чем-то особо сложным. Достаточно создать файл /etc/logrotate.d/nginx, содержащий следующий код:

По возможности, лучше добавить автоматическое копирование логов в корпоративное облако или на другой сервер, дабы злоумышленник, если он решит почистить логи, не лишил бы вас их навсегда.

Смотрим внутрь

Итак, логи у вас есть. Теперь стоить проверить серверные access логи на подозрительную активность. Приходило множество запросов с одного и того же IP? Множество запросов с разных IP, но сами запросы и интервалы между ними похожи? Все это еще один дополнительный повод проверить, не перехватил ли уже кто-нибудь доступ к сайту.

Подобную проверку можно организовать через парсинг access логов с помощью awk. Вот несколько команд для awk, которые помогут проанализировать access логи для nginx:

• IP-адреса, отсортированные по количеству запросов:

awk ‘‘ access.log | sort | uniq -c | sort -rn

• 10 последних уникальных запросов, отсортированных по количеству:

awk ‘‘ access.log | sort | uniq -c | sort -rn | tail -n 10

• Уникальные IP-адреса, отсортированные по количеству запросов к странице /administrator/ (сюда можно подставить любую вас интересующую — например, одну из тех, что вы получили с помощью предыдущей команды):

/administrator/)’ access.log | awk ‘‘ | sort | uniq -c | sort -rn

• IP-адреса и страницы, к которым запрашивали доступ, отсортированные по количеству попыток

awk ‘‘ access.log | sort | uniq -c | sort –r

• Для мониторинга аномальной активности может помочь и отслеживание подозрительных юзерагентов. Например, написано просто «Google», указана очень старая версия «Internet Explorer», или браузером числится краткое «Mozilla», вместо полной строки с указанием версии и платфомы. Команда ниже выведет все уникальные юзерагенты, отсортированные по количеству обращений с их использованием:

awk -F'»‘ ‘‘ access.log | sort | uniq -c | sort -rn

Идем по «следам»

Также если вы заметили, что логи резко выросли в объеме или в access логе много раз обращаются к страницам, которых у вас не было – еще один повод насторожиться. Подобное изменение трафика может являться следствием различных причин. Одна из них может быть связана с тем, что ваш сайт стал медленнее грузиться (о чем речь пойдет позже), однако не все случаи столь тривиальны. Сегодня существует вредоносное ПО, которое будет просто перенаправлять пользователей на сайты, нужные злоумышленнику, причем оно может не влиять на авторизованных пользователей, что поможет дольше скрывать факт взлома.

Обычно встречающиеся вредоносы часто оставляют за собой и другие «следы». В панели администратора возникают новые пользователи, которых туда никто не добавлял (чаще всего со странными именами), на сервере появляются скрипты и файлы, взявшиеся непонятно откуда, а почтовый ящик может содержать подозрительные письма. Также стоит проверить, нет ли в запланированных задачах новых и неизвестных для вас.

«Присматриваем» за своим имуществом

А чтобы легко отслеживать, не изменял ли кто-либо ваши файлы, стоит добавить в cron простой скрипт, который будет это проверять:

./ — текущая папка (необходимо указать нужную)
‘*.php’ — любой файл с расширением .php (если у вас скрипты на Python, то ставим расширение .py и так далее)
-1 — указание временного промежутка. Его стоит устанавливать в зависимости от того, как часто вы хотите проверять, не пытался ли кто-нибудь изменить ваш код. В данном примере выставлена одна минута.

Если какие-то файлы были изменены, то имена этих файлов запишутся в файл files.txt и отправятся на почту. Вместо утилиты sendmail можете использовать любую, которая вам больше нравится (например, Postfix).

Контролируем «прожорливость»

Если вы заметили, что сайт стал грузиться медленнее, хотя вы ничего не добавляли, это тоже повод проверить, на что же идут ресурсы. Сильно поможет, конечно, если у вас есть история/логи, касающиеся производительности. Таким образом можно будет посмотреть, не было ли внезапного роста нагрузки на сайт, хотя никаких обновлений и новых элементов вы не добавляли. Если производительность выше, чем вы ожидаете, то стоит задуматься, не взломали ли вас.

Мастер Йода рекомендует:  Что нужно знать про массивы в JavaScript

Для отслеживания производительности очень удобно использовать утилиту sysstat.

Настройка постоянного логирования осуществляется добавлением в файл /etc/cron.d/sysstat следующих строк:

Первая строка обозначает, что раз в 15 минут будут собираться данные системы. Храниться они будут в /var/log/sysstat/saDD, где DD — текущая дата. Вторая строка, что в 23:55 будет создан полный отчет за прошедший день. Лежать он будет в /var/log/sysstat/sarDD
Посмотреть данные для CPU можно следующей командой:

Данные по использованию памяти:

Полный список ключей для вывода можно найти на официальном сайте.

А я на вас ссылался?

Стоит ещё проверить все исходящие ссылки с вашего сайта (например, с помощью данного сервиса или других подобных) – не появилось ли новых? Тех, что вы не добавляли? Вдобавок хорошо бы проверить, что отображается в поисковиках касательно вашего сайта и по каким фразам к вам попадают посетители. Посмотрите на всякий случай, как работает ваш сайт для разных платформ/стран/браузеров – вредоносы могут срабатывать только для какой-нибудь определенной категории пользователей, это делается с целью оставаться незамеченными.

Необходимо проверять указанные выше признаки и места по меньшей мере раз в неделю, дабы сильно не выпускать из рук ситуацию, если сайт все же был взломан. Отслеживание новых обновлений для используемого ПО и важных обновлений безопасности, наряду с планированием бэкапов и периодической сменой паролей, вообще должны быть частью стандартных периодических процедур.

О том, что делать, когда вас уже взломали, мы поговорим в одной из следующих статей.

Мой Сайт Взломали! Кошмар Вебмастера

Недавно я зашёл на свой блог «Храм Пути» чтобы проверить наличие новых комментариев к статьям и ответить на парочку самых интересных, но там меня ожидал неприятный сюрприз. Сработала переадресация и вместо привычного интерфейса, мне открылся совсем посторонний ресурс, не буду говорить какой, чтобы не привлекать к нему лишнего внимания. Что же делать если Вашу почту или сайт взломали хакеры? Мой горький опыт наверняка окажется многим полезен и потому друзья, я поделюсь им с вами.

Чтобы сделать подобное перенаправление, злоумышленник, скорее всего, получил доступ к моему хостингу или доменному регистратору. Мне предстояло срочно устранить проблему, поэтому я постарался успокоиться и составил в уме план действий.

Первым делом я написал в службу поддержки хостинга, чтобы поставить их в известность, а пока набирал текст, оценивал возможные последствия. Опасность была в том, что я мог использовать один и тот же пароль в нескольких сервисах. Плюс если он такой же как к почте, к которой привязан аккаунт хостинга, то дело обстояло ещё хуже.

После того, как написал ребятам из тех поддержки, я приступил к смене паролей на почте, домене, в социальных сетях и остальных важных сервисах. Оказалось, что злоумышленник всё-таки завладел аккаунтом хостинга, так как я не смог зайти в личный кабинет только там. Нужно было пройти процедуру восстановления пароля, а потом менять параметры dns и восстанавливать файлы сайта из резервных копий.

Так как последние бэкапы могли быть уже изменены или заражены вредоносным кодом, я решил воспользоваться наиболее старыми сохранениями с личного компьютера, а дальше обновлять нужные сектора базы данных поочерёдно. Затем я проснулся…

https крик. мой сайт взломали! кошмар вебмастера

Да, мне тоже снятся кошмары и страхи у меня своеобразные. Обычно это контрольная по алгебре в школе, которую я давно закончил или что-то наподобие вышеописанного. Тем не менее, я подумал, что многим моим читателям пригодятся советы опытного вебмастера относительно интернет безопасности. Поэтому я не поленился встать и написать для вас несколько рекомендаций.

Потерять доступ к социальным сетям довольно скверно, ведь что взбредёт злоумышленнику в голову неизвестно. Например, он может писать всякие ужасные вещи от Вашего имени. Просмотрев историю переписки, он может получить доступ к личной информации и использовать её для шантажа. Ещё хуже если Вы используете одинаковые пароли везде, включая почту, тогда восстановить общий доступ будет сложнее.

Сейчас популярны мифы о супер хакерах, которые могут взломать абсолютно всё, но на самом деле, очень многое зависит именно от Вас. Расскажу о методах базовой защиты, которые использую сам.

Как защитить свой сайт, анкету ВКонтакте и почту от взлома?


1. Используйте разные пароли в зависимости от степени важности. Самые сложные должны быть от почты, социальных сетей и сервисов вроде хостинга. Необходимо чтобы они все были разными. Можно комбинировать хорошо знакомые Вам слова и цифры, чтобы получить различные вариации длиной не менее 14 символов. Для всех остальных сайтов, которые не представляют особой важности, хватит одного простого пароля из 6-8 символов. Не думаю, что кого-то может заинтересовать Ваш доступ к торрентам или форумам настолько, чтоб он тратил время и ресурсы на взлом. Но как быть с человеческой памятью, ведь она так ненадёжна.

2. У Вас должен быть блокнот или текстовый файл на флешке, куда Вы будете записывать все пароли. Однако, если Вы смотрели фильм «Сноуден», то давно заклеили веб камеру пластырем и уже должны понимать, что все файлы, хранящиеся на компьютере, могут быть легко похищены работниками спец служб, в том числе по их личной инициативе.

Если Вы живёте с кем-то, кому не вполне доверяете, то бумажный блокнот тоже весьма ненадёжен. Члены Вашей семьи или даже вторая половинка, могут оказаться агентами иллюминатов, масонов или опус деи, что почти наверняка так и есть.

масоны в семье. мой сайт взломали!

Вот почему все записи должны быть зашифрованы и понятны только Вам. Не умеете придумывать шифры? Можно писать слова не полностью и в обратном порядке. Например, Вы используете пароль «VosstanieMachin89765», где слова означают Ваш любимый фильм, а цифры являются почтовым индексом. Записывайте их в таком виде: 798caMsoV, что при чтении задом наперёд образует — VosMac897. Таким образом это будет напоминание о полном значении слов, а другой человек ничего не поймёт. Лучше менять пароли хотя бы раз в полгода, по крайней мере от тех аккаунтов, которыми пользуетесь постоянно.

3. Помимо масонов и иллюминатов, следящих за Вами через веб камеру, существуют такие неприятные штуки, как клавиатурные шпионы. Они записывают весь текст, который Вы набираете на клавиатуре, включая все поисковые запросы и отправляют информацию на постороннюю почту лёгким txt файлом.

Найти их в интернете довольно легко, а установить на компьютер — дело нескольких секунд. Допустим, Вы идёте на кухню заварить чая дорогому гостю и даже чайник не успеет вскипеть, как предатель уже сделает своё дело.

когда гость предатель. мой сайт взломали!

Кроме того, есть платные версии таких шпионов, которые делают регулярные скриншоты экрана или снимки веб камерой. Антивирусы тут не помогут, так как принимают их за обычные программы.

Чтобы не допустить такой слежки, почаще просматривайте список автозагрузки в windows и удаляйте там всё, в чём не уверены. Для этого нажмите на клавиатуре кнопку с изображением окон + R и введите в открывшемся поле значение «msconfig», после чего попадёте в нужную панель. Перед удалением подозрительного процесса или программы, сверяйте их названия в поисковике, дабы не затронуть важных системных функций.

4. Ещё один совет относительно сохранности паролей — всегда используйте личный номер телефона в качестве привязки важных сервисов, вроде почты или доменного регистратора. Не поленитесь зайти в нужные разделы безопасности и сделать всё как надо. Если необходимо указать секретное слово, то оно ни в коем случае не должно совпадать с паролями. Пусть оно будет длинным, сложным и при этом надёжно зашифрованным в блокноте.

5. Не пользуйтесь устаревшими браузерами. Буквально недавно в интернете была обнаружена очень серьёзная уязвимость, связанная со ссылками на сайтах, имеющих атрибуты target=»_blank» . Их использовали почти все вебмастера, даже на таких крупных ресурсах, как facebook. Теперь этот атрибут нужно использовать в паре с rel=»noopener» . Как думаете, многие админы следят за новинками в мире взломов и имеют безопасное содержимое на своих сайтах? Facebook проблему обнаружил и быстро исправил, а вот остальные ресурсы, особенно отечественные, в этом плане не такие ответственные, что уж говорить о простых блогах.

Современный и регулярно обновляемый браузер, может обеспечить Вам относительную безопасность. Обыватели часто недовольны тем, что браузер время от времени обновляется и не задумываются зачем вообще это нужно. Запомните, что команда разработчиков, состоящая из пары дюжин или даже сотни специалистов, не просто так внедряют эти меры. Перед выходом новое программное обеспечение всегда проходит множество тестов. Такие обновления могут защитить от многих вещей, о которых Вы даже не подозреваете. Но к сожалению, от браузера зависит далеко не всё.

6. Если Вы зашли на сайт без https соединения, то все вводимые Вами данные, включая пароли, могут быть видны злоумышленникам. Более того, всё содержимое сайта может передаваться Вам со значительными изменениями как самого текста, так и медиа компонентов. Наиболее опасно использовать бесплатные точки wifi (в кафе, гостиницах, метро). В лучшем случае в контент сайтов будет встроена агрессивная реклама, в худшем — могут быть похищены вводимые пароли и платёжные данные банковских карт.

тотальная слежка. мой сайт взломали!

Благо что все популярные в СНГ поисковики и социальные сети уже перешли на безопасное https соединение с надёжными ssl протоколами. На таких ресурсах Вы можете быть спокойны за отображаемую информацию и вводимые данные. Всегда помните, что если в строке браузера, где указан адрес сайта, на котором Вы находитесь, нет изображения зелёного замочка и надписи «защищённое соединение», он не безопасен.

Во многих цивилизованных странах на государственном уровне давно было принято решение обязать все городские службы и банки, перевести свои интернет ресурсы на https, а у нас… Позор, что на постсоветском пространстве, даже официальные сайты некоторых правительств продолжают оставаться на http.

В общем будьте бдительны. Часто пользуетесь бесплатными точками wifi? Тогда лучше вообще забудьте про http. Только https соединение может обеспечить более-менее безопасное шифрование передаваемых данных.

Подведём итоги

Надеюсь, что не забыл ничего важного, а если и забыл, то всё потому, что пишу это в 3 часа ночи, едва оправившись после жуткого кошмара.

Друзья, к сожалению, мы живём не в идеальном обществе. Что бы там не говорили современные гуманисты и прочие филистеры, но даже они вынуждены запираться в своих квартирах по ночам, опасаясь за жизнь и сохранность имущества. Мы прячемся от других людей за железными дверьми, словно от диких зверей, и этим всё сказано.

В интернете, как и в реальном мире, не всё обстоит так, как нам хотелось бы. Здесь также хватает различных мошенников и аферистов, но простые советы, которые я описал выше, могут сохранить ваши личные данные в безопасности, поэтому не пренебрегайте ими. Всем удачи и жизни без взломов.

Пожалуйста, добавь мне мотивации для написания новых статей. Сделай репост записи в соц сети или оставь добрый комментарий. Мне важны ваши отклики.

Что делать, если ваш сайт взломали

Если так случилось, что ваш сайт был взломан, то прежде всего наш совет — это немедленно обратиться за помощью к специалистам. О том, как определить был ли ваш сайт взломан, вы можете почитать в нашей статье.

Главной вашей задачей после взлома сайта является обеспечить безопасность хранения информации, а так же обеспечить безопасность пользователям вашего сайта. Помните, что при удачной атаке хакеров, вы не только получаете вредоносный код к себе на сайт, но так же можете потерять базу данных пользователей со всей контактной информацией и паролями. Таким образом, злоумышленники могут разместить огромное количество спама на вашем ресурсе и завладеть паролями к социальным сетям и почтовым ящикам ваших клиентов.

Так же вам необходимо провести анализ взлома вашего сайта, чтобы узнать об имеющейся у вас в коде уязвимости и закрыть ее как можно скорее. Так же не стоит забывать о том, что очень часто хакеры, получив доступ к вашему ресурсу, предпочитают оставлять пути для последующего взлома вашего ресурса. Выявить такие пути может только высококвалифицированный специалист.

И так, далее пошаговая инструкция как вам следует действовать в случае взлома вашего сайта:

1. Проверьте ваш домашний компьютер на наличие вирусов. Не обязательно бежать в магазин и покупать платный антивирус, мы рекомендуем вам использовать Antivira или Comodo.

2. Установите FireWall на ваш локальный компьютер. Использование файрвола намного снижает риск проникновения вредоносной программы на ваш компьютер. Так же мы рекомендуем воспользоваться Comodo бесплатный и один из лучших файрволов, или же Zone Alarm, тоже хорошая но платная альтернатива.

3. Свяжитесь с вашим хостинг провайдером. Взлом мог коснуться не только вашего сайта, особенно, если вы не арендуете свой собственный сервер, а пользуетесь обычным хостингом. Поставте администраторов в известность и попросите провести анализ взлома.

4. Смените все пароли, начиная от паролей к почтовым ящикам и заканчивая паролями к ФТП.

5.Предупредите своих пользователей о том, что сайт был взломан и порекомендуйте им сменить пароли к вашему сайту.

6. Срочно сделайте бэкап всех файлов, что расположены на вашем сервере.

7. Проверьте файл .htaccess на наличие кода. Хакер может использовать этот файл для перенаправления посетителей с вашего ресурса на сайт с установленным вредоносным кодом.

8. Будьте готовы к тому, что придется удалить все файлы с вашего сервера. Установленый код может быть спрятан на столько хорошо, что вам придется удалять все файлы и базу данных со своего сервера. Однако, для того, чтобы восстановить сайт, вам нужен будет бэкап, который должен был быть сделан ранее, поэтому обязательно прочтите нашу статью о важности резервного копирования файлов сервера [ссылка]

9. Сделайте апдейт до самой новой версии вашей CMS.

Подводя итоги, стоит отметить, что взлом легче предотвратить, нежели потом восстанавливать сайт с нуля. Безопасность вашего сайта, это большая ответственность, которая по плечу только профессионалам. Не стоит доверять сайт в первые попавшиеся руки, однако и пренебрегать безопасностью тоже не стоит.

Узнай больше

Protect your website

Your website got hacked and blacklisted by Google? Select Security Package to keep your website clean and protected.

Интернет Капуста

Как Создать Сайт Новичку, заработать и узнать все секреты Интернета

Что делать, если сайт взломали?

Здравствуйте, дорогие читатели!

В этом году вирусные заболевания, как организованная DDoS-атака поразили многие регионы нашей страны. А всё потому, что погода очень странная. Если сегодня тёплый весенний день, то это ещё ничего не значит. Завтра может наступить холодный день, даже морозный. Перепады погоды уже никого не удивляют. А выпавший снег в начале апреля…Это было нечто. В итоге я проболела простудой, но сейчас я снова возвращаюсь в строй.

Мастер Йода рекомендует:  Русскоязычный видеокурс «Vue.js для начинающих»

Взлом сайта. Сколько боли в этом предложении. Сколько девичьих слёз и мужских свирепых матов услышали бы взломщики, если бы имели эту возможность.

Эта тема настолько актуальна, что разговоры о ней не закончатся никогда. Однажды может так случится, что вы окажетесь жертвой злоумышленников, которые атаковали ваш сайт с помощью DDoS-атаки. Я уже писала о DDoS-атаках здесь.

Возможно, взлом сайта может осуществится каким либо другим способом. В итоге, вы просто не сможете зайти на сайт. Если хостинг, где хранится ваш сайт надёжный, то он сразу же заблокирует доступ на сайт и временно его заморозит. Также будет недоступна панель управления хостингом, а вам на почту придёт письмо — предупреждение.

Бывают взломы не такие приметные, когда на сайте в какой либо файл прописывается команда вредоносного содержания, которая направляет пользователей на другие сайты.

Несколько месяцев назад у меня была небольшая проблема, которая немного сотрясла мою нервную систему. Мне на телефон пришло сообщение с хостинга Спринтхост, что доступ на сайт временно заблокирован, в связи с подозрительной активностью на сайте. Мне предлагалось удалить вредоносный код с сайта самой или воспользоваться помощью специалиста. Работники службы хостинга дали мне ряд советов, которые следовало сделать после того, как я проверю все файлы.

Оказалось, что код был внедрён так хитро, что активность на сайте стала проявляться только тогда, когда уникальные посетители стали заходить с мобильных устройств на мой сайт. Если человек заходил на сайт с компьютера, то ничего не происходило, а если он заходил на главную страницу сайта с мобильного устройства, то его перебрасывало на сайты различного рекламного характера.

Оказалось, что злоумышленник прописал код в файле, который знаком каждому веб-мастеру. Это файл .htaccess, который позволяет управлять многими настройками. Вы можете настроить его так, как Вам надо – в интересах Вашего сайта. Если вы хотите изменить работу сайта, то достаточно внести изменения в этот файл и сайт будет работать так, как вам надо.

Вы можете так отредактировать этот файл, что будут доступны следующие команды, например:

Сделать стартовой страницей сайта любую страницу, а не не index.html, сделать редирект — перенаправление, ограничить доступ к отдельным папкам, страницам, по вашему усмотрению. А также можно установить пароли на папки, запреты или разрешения, проводить настройку php и так далее. Обычно этот файл хранится в корневой папке сайта.

Например, у меня этот файл хранится здесь:

Вот в этом файле и был прописан редирект, который с мобильных телефонов перенаправлял посетителей на другие сайты:

И сайты это были всегда разные. В общем, поискала я информацию, исправила и всё нормализовалось. Поэтому проверяйте иногда этот файл, сделайте дубликат его на всякий случай, чтобы можно было с чем сравнить.

В итоге, на мой сайт уже обратили внимание:

Но, взломы бывают разные.


Как взламывают сайты на WordPress?

В принципе, взламывают сайты на любом движке. Важен только тот момент, что взломщики хотят за счёт вашего ресурса попиарить какие-либо другие сайты или же просто это преднамеренный заказ на то, чтобы причинить вред вашему сайту. И не обязательно сайты взламывают методом перебора паролей через вход в админ-панль управления сайтом.

На данный момент опытные злоумышленники с помощью различных программ и своего ума ищут всевозможные дыры и уязвимости в безопасности. Поэтому так важно на сегодняшний день делать обновления. Иногда взламывают сайты ради простого интереса, так сказать ради оттачивания мастерства хакерского искусства.

Чаще всего, взломы и заражения происходят при помощи скриптов и автоматизированного программного обеспечения. Создаются специальные программы, которым задают определённые цели, и запускают в сеть. После обнаружения жертвы, происходит проникновение, взлом, и внедрение задачи.

Признаки взлома сайта.

В большинстве случаев, если хостинг, на котором находится сайт, не заметил ничего подозрительного и не заблокировал временно сайт, то какое то время сайт будет работать, как будто ничего и не произошло. Но, следующие события могут развиваться по следующему сценарию: злоумышленник начинает использовать взломанный сайт в собственных целях. Вот тогда то и могут у вас появится подозрения.

Например, медленная работа сайта, при проверке на соответствующем ресурсе вы можете обнаружить много исходящих внешних ссылок, непонятно откуда появившихся. Начинают всплывать окна перед посетителями с просьбой обновить устаревший браузер или скачать какую-либо программу.

Когда вредоносные скрипты уже начинают работать активно, то не заметить взлом сайта было бы уже просто странно. Если ваш сайт открывает посетитель, то антивирусник начинает пищать от страха, и предупреждать пользователя, что сайт может нанести ему вред. Яндекс и Google также вносят сайт в реестр небезопасных сайтов и пишут об этом рядом с сайтом в поисковом запросе, если он ещё стоит на позициях поисковика.

В итоге сайт ваш будет полностью под чужим управлением. Но, наверное, такое не случается, чтобы человек совсем ничего не заметил. Обычно на любые подозрительные моменты автор сайта сразу же реагирует и начинает искать выход. Сам или привлекая помощь специалистов, тут уже у всех это происходит по разному.

Если сайт взломали, что делать?

1. Просмотрите и проанализируйте в панели управления хостингом все даты, когда что было изменено в последний раз и вы ли это делали. Так вы можете определить те файлы, в которых могли произойти изменения без вашего вмешательства.

2. Попытайтесь определить, каким образом был взломан сайт. Если вы не сможете это определить сами, воспользуйтесь помощью специалиста или службы поддержки Хостинга.

3. Восстановите сайт из резервной копии, самой последней, которая хранится на хостинге или была сохранена на компьютер.

4. Срочно поменяйте все пароли доступа к панелям управления сайта, хостинга и т.д.

5. Устраните уязвимость, через которую сайт взломали, удалите все ненужные файлы и коды.

6. Проверьте свой компьютер тщательно полной проверкой антивирусом, так как у вас может уже стоять троянская программа или что то подобное.

Рекомендации и советы.

  1. Не следует заходить в панель управления с чужого компьютера, а если это необходимо, то просто потом сразу же меняйте пароли, если вы не уверены в надёжной безопасности.
  2. Ни в коем случае не давайте разрешение браузеру сохранять ваш пароль, особенно, если это чужой компьютер. При выходе с рабочего режима, нажимайте кнопку: «ВЫХОД».
  3. Не доверяте свои пароли никому, кроме надёжных фрилансеров, которые делают вам какую-либо работу по сайту. И после завершения работы, всё равно поменяйте пароли.
  4. Не используйте один и тот же пароль для всех своих аккаунтов. Ведь для удобства многие именно так и поступают. И злоумышленники взломав ваш пароль, могут просто ради интереса проверить пароли везде, где можно. В итоге, все ваши аккаунты будут взломаны.
  5. Пароль, естественно, должен быть сложным, об этом уже кто только не говорил и не писал.
  6. Не следует назначать администраторами и модераторами людей, которых вы плохо знаете. Старайтесь управлять сайтом через панель управления.

Вот и всё на этом. Надеюсь, что информация вам была полезной. И эта фраза не будет бросать в дрожь:

Что делать, если сайт взломали?

Понравилась информация? Поддержи Интернет Капусту, нажми:

Что делать, есть ваш WordPress-сайт взломали хакеры

Что вы чувствуете, когда вдруг вам приходить письмо о том, что ваш сайт взломали и теперь требуют некую сумму денег, чтобы вернуть всё на свои места? Гораздо хуже, если вы об этом не знаете, а открыв сайт поутру, видите, что какая-нибудь сирийская кибер-армия вместо главной страницы вывесила свои политические лозунги или странные баннеры на вашем сайте.

Чтобы избежать подобных неприятностей и дополнительных затрат, советую вам прочесть эту статью. В посте будет несколько групп советов для пользователей с разным уровнем подготовки и разными навыками для администрирования собственных сайтов на движке wordpress.

Общие уязвимости

Для среднестатистического пользователя WordPress есть ряд общих уязвимостей, которые на самом деле не связаны с работой самого движка WordPress.

Проблемы могут быть:

  1. в вашей локальной сети или в вашем компьютере
  2. в работе вашего хостинг-провайдера

Работа личного ПК или локальной сети: в этом случае надо очистить локальный ноутбук, ПК или сеть от ошибок, вирусов и других проблем. Устанавливайте регулярно свежие антивирусы, удаляйте вредоносное ПО и настройте правильно ваш роутер. Если вы не совсем уверены в том, что вам хватит навыков для борьбы с вирусами и вредоносным ПО в вашей локальной сети, не поскупитесь на хороший сетевой брандмауэр.

Работа хостинг-провайдера: проверьте, адекватно ли работает ваш провайдер хостинговых услуг. Взлом может касаться не только вашего, но и множества других сайтов, размещенных на серверах вашего провайдера. Если так произошло, то работа всех сайтов может быть нарушена. Возможно, стоит удалить какой-то плагин или отключить определенные настройки на сервере. В крайнем случае, оперативно смените хостинг-провайдера.

В самом крайнем (и неприятном) случае вам придется переустанавливать сайт. Вот для чего надо регулярно делать резервные копии и сохранять файлы базы данных сайта и ключевых его настроек. В случае неприятностей сайт из резервной копии можно будет развернуть на новом хостинге.

Уязвимости в безопасности WordPress

Есть множество способов атаковать WordPress, но следующие 4 пункта являются наиболее типичными способами для взлома сайтов:

  1. Слабые пароль и логин
  2. Уязвимости в темах оформления и плагинах
  3. Устаревшее ядро и версия WordPress
  4. Работа хакера исключительно по WordPress-сайтам

Слабые пароль и логин: вы наверняка заметили, что встроенный механизм защиты сайтов подсказывает вам, когда выбранный вами логин и пароль недостаточно сильны, чтобы защитить ваш сайт. В идеале ваш пароль должен содержать цифры, буквы и разный регистр для букв, чтобы максимально защитить ваш веб-ресурс от взлома. Если вы не можете запомнить слишком сложный пароль, лучше запишите его где-нибудь. Запомните простую истину: чем короче и проще пароль, тем быстрее он взламывается простым перебором.

Уязвимости тем и плагинов: даже у популярных платных плагинов бывают уязвимости. Именно поэтому просто почитайте отзывы о плагинах, которые собираетесь использовать, прежде чем что-либо устанавливать. Избегайте плагинов и тем, которые не размещены в официальной библиотеке WordPress.org. Ориентируйтесь на рейтинги и отзывы других пользователей, чтобы не установить себе вредоносное или поддельное ПО.

Устаревшая версия WordPress: если регулярно и своевременно не обновлять сайты, то можно столкнуться с многочисленными проблемами. С выходом нового релиза WordPress лучше всего незамедлительно обновить все свои сайты по одной простой причине: с выходом новой версии публикуется список найденных и исправленных ошибок в предыдущих версиях, что становится оружием в руках хакеров для взлома старых версий WordPress.

Умелые WordPress-хакеры: помните, что такие хакеры всегда могут найти уязвимость, а потому регулярно всё обновляйте и следуйте рекомендациям, которые прочтете ниже.

Что делать, если сайт все-таки взломали

В случае, если сайт взломан, сделайте следующее:

  1. Оставайтесь спокойны: взлом уже произошел, так что надо теперь взять себя в руки и найти путь для решения проблемы.
  2. Для начала проверьте локальный ПК или ноутбук на предмет вирусов или вредоносов, обновите все программы и антивирусную базу.
  3. Войдите в свой аккаунт на хостинге и проверьте, что там происходит. Если вас взломали, наверняка в панели администратора на хостинге будет уведомление о попытке несанкционированного доступа к вашей учетной записи.
  4. Смените все пароли для FTP/SFTP/MySQL и для всех пользователей, у которых есть доступ к вашему сайту.
  5. Воссоздайте сайт из резервной копии. Для резервного копирования и восстановления можно использовать BackWPup.
  6. Закройте любые уязвимости, которые могут пригодиться хакерам, и защитите файл wp-config.php.
  7. Обновите всё.
  8. Подумайте о том, что стоит перейти на премиум-хостинг классом повыше или воспользуйтесь Sucuri либо ManageWP , если всё равно будете использовать shared-хостинг и дальше.
  9. В будущем следуйте всем рекомендациям из этой статьи.

Лучшие советы по безопасности WordPress

На будущее постарайтесь избегать возможных хакерских атак и попыток взлома. Это не так уж и сложно, просто не забывайте следующие правила:

  1. Регулярно обновляйте ядро движка, все темы и плагины на сайте.
  2. Постоянно делайте резервные копии всего на сайте — от ядра до плагинов, тем и всего контента. Есть масса плагинов для этих целей: VaultPress, BackupBuddy, BackWPup, BlogVault.
  3. Никогда не пользуйтесь паролем и логином, которые устанавливаются на сайте по умолчанию.
  4. Выбирайте пароль, который трудно подобрать или угадать, используйте буквы и цифры, различные символы. Случайный разброс символов защитит вас лучше, чем пароль, который легко подобрать.
  5. Защитите файл wp-config.php.
  6. Скройте свое имя пользователя .
  7. Скройте на сайте текущую версию WordPress.
  8. Ограничьте число попыток для авторизации пользователя.
  9. Отключите редактирование файлов из панели управления, добавив строку в файле wp-config.php: define(‘DISALLOW_FILE_EDIT’, true);
  10. Установите WordPress File Monitor для получения уведомлений от вашего сайта каждый раз, когда происходит редактирование файлов на вашем сайте.
  11. Всегда используйте SFTP для соединения через FTP-клиент.
  12. Используйте платные плагины для защиты сайта.
  13. Также не забудьте о самостоятельных подручных способах защиты, для знакомства с которыми прочтите это руководство по WordPress.

И еще пару советов

Нанимайте профессионалов для работы по настройке и оформлению вашего сайта. Не доверяйте случайным разработчикам. Не используйте сомнительный хостинг или бесплатные решения, о которых ничего не знаете. Наймите человека, который будет отвечать за безопасность вашего сайта.

Платные сервисы в значительной мере снижают риск того, что сайт будет взломан, домен — угнан, а вашему проекту будет нанесен ущерб.

Источник: elegantthemes.com


Насколько полезным был этот пост?

Нажмите на звезду, чтобы оценить этот пост!

Что делать, если сайт взломан?

Что делать, если сайт взломан?

Статья рассчитана на людей, которые впервые сталкиваются с проблемой и используют распространенные системы управления сайтами.

Начнем с профилактических действий, которые необходимы для того, чтобы Ваш сайт имел наименьший риск заражения:

  1. Ваша система управления сайтом должна быть последней версии и поддерживаться разработчиками (получать обновления), если поддержка прекратилась или версия системы не последняя, обновите её до последней версии (перед обновлением системы управления сайтом, убедитесь в том, чтобы Ваши плагины и используемая тема сайта были совместимы с новой версией).
  2. Старайтесь использовать популярные проверенные плагины с официальных сайтов разработчиков (категорически не стоит использовать платные плагины, которые Вы скачаете бесплатно с сайта отличного от официального сайта разработчика). Все плагины должны регулярно обновляться и быть последней версии.
  3. При использовании оформлений (тем) сайта найденных в интернете, проверяйте о них отзывы и проверяйте их код, очень часто в них встраивают зловредный код, через который на Вашем сайте будет показываться реклама или производиться иные действия (со временем этот же код может быть использован злоумышленниками для взлома Вашего сайта). Если выходит новая версия оформления сайта, старайтесь её устанавливать, так как это может быть не просто оформление стилей, скриптов и изображений, но и обновление PHP файлов, в которых может содержаться обновление безопасности.
  4. Для минимизации рисков взлома, рекомендуем удалять с сайта неиспользуемые плагины и темы сайта (несмотря на то, что они неактивны, они могут использоваться злоумышленниками для взлома сайта).
  5. Установите плагин, который будет наблюдать и фиксировать изменения в файлах сайта. Например, для систем управления сайтами WordPress, есть плагин Wordfence Security, данный плагин следит за файлами системы управления сайтом и уведомляет в случае обнаружения изменений в них — это позволяет оперативно обнаружить заражение сайта и предпринять меры.
  6. Регулярно делайте резервные копии и храните их на отдельном сервере или скачивайте к себе на компьютер. Они пригодятся не только для восстановления в случае заражения, но и в случае простой поломки сайта.
Мастер Йода рекомендует:  Создание потрясающего текстового эффекта

Исходя из описанного: основной залог безопасности сайта — это регулярное обновление системы управления сайтом, плагинов и используемой темы.

Как взламывают сайты и для чего это делают? В большинстве случаев сайты взламывают через публичные уязвимости в системах управления сайтами, плагинах, темах и очень редко из-за проблем безопасности в программном обеспечении со стороны хостинг провайдера.

Злоумышленники обычно имеют набор уязвимостей, которые используют в ходе поиска сайтов. Обнаружив сайт, содержащий уязвимость в каком-либо из компонентов, злоумышленник загружает зловредные файлы или модифицирует существующие с целью произведения почтовых рассылок (спам), сканирования и заражения других сайтов, создания сети для атак сайтов, размещения рекламы или переадресации пользователей на мошеннические ресурсы (это самые часто встречающиеся последствия заражения сайтов).

Взлом через программное обеспечение хостинг провайдера в наше время практически исключен, так как предоставляемые панели управления (DirectAdmin, Cpanel, ISPmanager, VestaCP и прочие) настраивают программное обеспечение так, что пользователи изолированы друг от друга. Помимо этого, многие хостинг провайдеры применяют дополнительные меры для повышения безопасности клиентов (например, использование виртуальной файловой системы CageFS от CloudLinux).

Как определить, что сайт взломан? Взлом сайта может быть, как бессимптомным, так и сопровождаться ранее описанными последствиями заражения (произведение почтовых рассылок (спам), сканирование и заражения других сайтов, создание сети для атак сайтов, размещение рекламы или переадресация пользователей на мошеннические ресурсы). Основной признак заражения — это модификация файлов сайта или же обнаружение неизвестных Вам файлов.

В следствии этого, для оперативного реагирования необходимо следить за состоянием файлов, как советовали ранее, используйте для этого специализированные плагины для Вашей системы управления сайтами (например, Wordfence Security для WordPress).

Что делать, если сайт взломали? Первое, что необходимо сделать — это очистить сайт от зараженных файлов. Самый надежный способ очистки сайта от зловредного кода — это восстановление данных из чистой резервной копии (перед восстановлением убедитесь, что файлы в резервной копии не заражены). Если резервной копии нет или она оказалась заражена, то необходимо очистить сайт от зловредных файлов с помощью специализированного программного обеспечения.

Для поиска зараженных файлов рекомендуем воспользоваться бесплатным решением AI-Bolit от компании «Ревизиум». Выполнять сканирование необходимо из командной строки (инструкция на сайте компании), но это доступно только на тарифах с SSH (профессиональная линейка тарифов). Начинающим пользователям мы рекомендуем скачивать все файлы на свой компьютер и выполнять сканирование с помощью программы для Windows по подробной инструкции на сайте разработчиков. В ходе сканирования можете столкнуться с различными сложностями, многие из них разобраны в разделе часто задаваемых вопросов на сайте компании «Ревизиум».

Второе, что можем порекомендовать — это сервис VirusDie от компании «Вирусдай». Сервис платный, но имеет бесплатный тестовый период в 1 день. По личным оценкам, он находит больше зараженных файлов, чем утилита от компании «Ревизиум». Есть Вам не хватило времени тестового периода, то есть одна хитрость — Вы можете зарегистрироваться на англоязычной версии сервиса, в нём тестовый период составляет 14 дней.

После произведения чистки сайта рекомендуем сделать резервную копию сайта, так как указанные сервисы не всегда полностью очищают от зловредных сайтов. В дальнейшем, если зловредная активность остается, необходимо изучать журналы веб сервера и смотреть, куда производились запросы в момент создания или изменения зловредных файлов. Файлы, к которым производились обращения обычно содержат зловредный код, Вам его необходимо очистить в резервной копии и восстановить из неё файлы сайта (это важно, так как при обращении к зловредным файлам могли создать новые файлы, через которые будут в дальнейшем производить заражение сайта и зловредную активность). Данные операции рекомендуем выполнять опытным пользователям.

Об антивирусах. Проверка антивирусами для компьютера не даст никакого результата, данные антивирусы не заточены под поиск заражений в PHP файлах, если они и находят заражения, то в очень малом количестве (поиск основан не основе анализа кода, а на сравнении хешей файлов).

Со своей стороны, мы ежедневно проверяем сайты с помощью антивирусов ClamAV и

Модуль защиты LiteShield. В начале 2020 года для всех версий PHP был подключен модуль защиты LiteShield, он используется для блокировки части функций и работы почты на зараженных аккаунтах.

С помощью данного модуля можно заблокировать выполнение eval или отдельных функций в нём, заблокировать отдельные функции, ограничить подключаемые пути в include или require, вывести информацию по блокировкам в файл и отключить модификатор «\e» в preg_replace.

Ниже представляем Вам набор правил, которые можно прописать в файл .htaccess. Данные правила отключают большинство опасных функций, которые используются в зловредных скриптах, ограничивают работу почты (если это не требуется, уберите функцию mail из списка). При использовании данных правил, на последних версиях (на момент написания статьи) распространенных систем управления сайтами не наблюдается никаких проблем в их работе.

Что делать если взломали сайт?

Недавно попросили срочно восстановить сайт, который никак не восстанавливался. Бекапы не помогали. Работа была срочная, но не сложная — восстановить простенький сайт на Joomla. Сайт был восстановлен, и результатом работы, помимо работоспособности сайта, явилась некая памятка, т.к. после серфинга в сети оказалось, что подобная проблема весьма частая.

В связи с тем, что бекапы тоже оказались зараженными и поврежденными, было принято решение восстанавливаться по максимуму. Применялся самый простой метод: сравнение файловой структуры сайта с эталонной структурой чистого дистрибутива. Сразу же обращаю внимание на изобретательность хакеров: простое сравнение картинок показывает, что в корневом каталоге сайта оказалось много странных файлов, странность которых видна невооруженным глазом по их названию. Как видно, названия очень похожи на нужные и привычные, например, tmp.php, upload.php.

Здесь обращаю внимание на то, что структуру своего проекта нужно знать! Многие начинающие sitemap.xml сочтут за нужный (если вы сами не формировали карту сайта — откуда бы ей взяться?), так же как и, к примеру, файл upload.php. В данном случае это четко вредоносные файлы — вскрытие подтверждает.

Следующий момент, когда взломали сайт — эта та зараза, которую порождает занесенный вирус.

В папке с модулями оказалось много папок с названиями, маскирующимися под правильные названия модулей. Стандартное название папки с модулями в Joomla имеет вид mod_название модуля: непонятные папки были сразу видны даже невооруженным глазом. Еще раз вспоминаем про необходимость знания структуры своего проекта.

После небольшого анализа функционала сайта было понятно, что вирус попал и расплодился через папку с картинками, доступ к которой по условиям сайта был у зарегистрированных пользователей.

Из чего следует вывод: если вы разрешаете загрузку файлов через веб — обязательно вводите ограничения на типы и объём файлов. Например, файлам php в папке с изображениями совершенно делать нечего.

Чтобы не взломали сайт обращайте внимание на файлы с непонятными названиями и расширениями.

Размер возможного заражения:

В одной из папок было создано почти 18 тысяч папок с вредоносным контентом. Это не предел. Даже если вирус не повреждает сайт, он очень быстро заполнит всё доступное дисковое пространство.

А вот пару строк, вытащенных из файла .htaccess. Разница с правильным файлом по весу — 10 байт, тем не менее, есть переадресация, и сайт потерял работоспособность.

Поэтому, чтобы не хакнули сайт, помимо непонятных файлов, следует контролировать объём файлов. Вирус «побил» нужный файл framework.php

Памятка

Используйте тестовый сайт
Если веб-проект серьезный, то обязательно следует использовать как тестовый, так и «боевой» сайт. При этом для тестового сайта лучше всего использовать систему контроля версий, например Git. Важно, чтобы не было двусторонней синхронизации: последняя рабочая версия на тестовой машине не загрузит заразу с боевого автоматом, и у вас всегда будет эталон.

Локальные бекапы
Примечание: если сайт построен на какой-нибудь CMS, рекомендуется иметь не только бекапы на сервере, а ещё и локальную версию этого бекапа, с которой можно сравнивать, и которая не может быть заражена извне. Такое же правило касается файлов самой системы — её, в крайнем случае, можно скачать с официального сайта.

Ограничивайте загрузку файлов

Для того, чтобы не взломали сайт не забывайте включать проверку на типы загружаемых пользователями файлов, ограничения на загрузку файлов и права на папки. Обычно сами CMS-системы уже отлажены отноcительно своей собственной безопасности, а вот веб-мастера часто сами оставляют глупые дыры. Подобные ограничения можно делать как в CMS, так и в настройках хостинга. В особо продвинутых системах можно подключать проверку по хеш-сумме.

Используйте мониторинг
Если есть хоть малейшее подозрение, что сайтом могут заинтересоваться злоумышленники, настоятельно рекомендуется включать систему мониторинга, в которую входит:

  • Периодический мониторинг появления новых файлов
  • Проверка изменения файлов с соответствующим уведомлением, это позволит отслеживать изменения и концентрироваться на том, что нужно. Естественно, это не заменит чтения логов, если вы хотите разобраться, кто и как вас сломал. Если ваш проект работает достаточно активно, то, как минимум, следует мониторить критичные части системы — они не должны меняться: далеко даже не каждый месяц вносятся изменения непосредственно в системные файлы.
  • Чтобы сайт не был взломан периодически нужно проверять файлы, которые загружают пользователи или те файлы, которые меняются динамически.
  • Обращать внимание на права на папки и файлы и правильно их выставлять.
  • Скрытие каталогов от листинга через robots.txt

Это рабочий минимум, о котором следует постоянно помнить, но также это те грабли, на которые постоянно наступают начинающие разработчики.

Для начинающих: профессия «Веб-разработчик».

Недавно попросили срочно восстановить сайт, который никак не восстанавливался. Бекапы не помогали. Работа была срочная, но не сложная — восстановить простенький сайт на Joomla. Сайт был восстановлен, и результатом работы, помимо работоспособности сайта, явилась некая памятка, т.к. после серфинга в сети оказалось, что подобная проблема весьма частая.

В связи с тем, что бекапы тоже оказались зараженными и поврежденными, было принято решение восстанавливаться по максимуму. Применялся самый простой метод: сравнение файловой структуры сайта с эталонной структурой чистого дистрибутива. Сразу же обращаю внимание на изобретательность хакеров: простое сравнение картинок показывает, что в корневом каталоге сайта оказалось много странных файлов, странность которых видна невооруженным глазом по их названию. Как видно, названия очень похожи на нужные и привычные, например, tmp.php, upload.php.

Здесь обращаю внимание на то, что структуру своего проекта нужно знать! Многие начинающие sitemap.xml сочтут за нужный (если вы сами не формировали карту сайта — откуда бы ей взяться?), так же как и, к примеру, файл upload.php. В данном случае это четко вредоносные файлы — вскрытие подтверждает.

Следующий момент, когда взломали сайт — эта та зараза, которую порождает занесенный вирус.

В папке с модулями оказалось много папок с названиями, маскирующимися под правильные названия модулей. Стандартное название папки с модулями в Joomla имеет вид mod_название модуля: непонятные папки были сразу видны даже невооруженным глазом. Еще раз вспоминаем про необходимость знания структуры своего проекта.

После небольшого анализа функционала сайта было понятно, что вирус попал и расплодился через папку с картинками, доступ к которой по условиям сайта был у зарегистрированных пользователей.

Из чего следует вывод: если вы разрешаете загрузку файлов через веб — обязательно вводите ограничения на типы и объём файлов. Например, файлам php в папке с изображениями совершенно делать нечего.

Чтобы не взломали сайт обращайте внимание на файлы с непонятными названиями и расширениями.

Размер возможного заражения:

В одной из папок было создано почти 18 тысяч папок с вредоносным контентом. Это не предел. Даже если вирус не повреждает сайт, он очень быстро заполнит всё доступное дисковое пространство.

А вот пару строк, вытащенных из файла .htaccess. Разница с правильным файлом по весу — 10 байт, тем не менее, есть переадресация, и сайт потерял работоспособность.

Поэтому, чтобы не хакнули сайт, помимо непонятных файлов, следует контролировать объём файлов. Вирус «побил» нужный файл framework.php

Памятка

Используйте тестовый сайт
Если веб-проект серьезный, то обязательно следует использовать как тестовый, так и «боевой» сайт. При этом для тестового сайта лучше всего использовать систему контроля версий, например Git. Важно, чтобы не было двусторонней синхронизации: последняя рабочая версия на тестовой машине не загрузит заразу с боевого автоматом, и у вас всегда будет эталон.

Локальные бекапы
Примечание: если сайт построен на какой-нибудь CMS, рекомендуется иметь не только бекапы на сервере, а ещё и локальную версию этого бекапа, с которой можно сравнивать, и которая не может быть заражена извне. Такое же правило касается файлов самой системы — её, в крайнем случае, можно скачать с официального сайта.

Ограничивайте загрузку файлов

Для того, чтобы не взломали сайт не забывайте включать проверку на типы загружаемых пользователями файлов, ограничения на загрузку файлов и права на папки. Обычно сами CMS-системы уже отлажены отноcительно своей собственной безопасности, а вот веб-мастера часто сами оставляют глупые дыры. Подобные ограничения можно делать как в CMS, так и в настройках хостинга. В особо продвинутых системах можно подключать проверку по хеш-сумме.

Используйте мониторинг
Если есть хоть малейшее подозрение, что сайтом могут заинтересоваться злоумышленники, настоятельно рекомендуется включать систему мониторинга, в которую входит:

  • Периодический мониторинг появления новых файлов
  • Проверка изменения файлов с соответствующим уведомлением, это позволит отслеживать изменения и концентрироваться на том, что нужно. Естественно, это не заменит чтения логов, если вы хотите разобраться, кто и как вас сломал. Если ваш проект работает достаточно активно, то, как минимум, следует мониторить критичные части системы — они не должны меняться: далеко даже не каждый месяц вносятся изменения непосредственно в системные файлы.
  • Чтобы сайт не был взломан периодически нужно проверять файлы, которые загружают пользователи или те файлы, которые меняются динамически.
  • Обращать внимание на права на папки и файлы и правильно их выставлять.
  • Скрытие каталогов от листинга через robots.txt

Это рабочий минимум, о котором следует постоянно помнить, но также это те грабли, на которые постоянно наступают начинающие разработчики.

Для начинающих: профессия «Веб-разработчик».

Добавить комментарий