Взлом сайта. Кто это делает и зачем? | Вебмастер DataLife Engine

Любой владелец сайта рана или поздно сталкивается с хакерским взломом своего сайта. Причем узнать о взломе, владелец сайта может и не сразу, а спустя довольно продолжительное время. Время, от момента взлома до обнаружения, сайт будет продолжать функционировать, при этом выполняя и другие неприятные функции о которых владелец сайта и не подозревает. За эту “подпольную работу” поисковые системы на сайт могут наложить банн, что станет очень неприятным сюрпризом для владельца сайта. Так кто же, для чего и как взламывает сайты? Как обнаружить и защитится от взлома? На эти вопросы  я постараюсь дать ответы в данном посте.


Более чем в 90% случаев жертвами хакерских атак являются сайты, попавших «под раздачу» случайно, в результате автоматизированных атак, которые называются «нецелевыми».  Нецелевая атака на сайт – это попытка получения несанкционированного доступа к веб-ресурсу, при которой злоумышленник не ставит целью взломать конкретный сайт, а атакует сразу сотни или тысячи ресурсов, отобранных по какому-то критерию. Например, сайты, работающие на определенной версии CMS (системы управления сайтом). Такого рода атаки бьют по «площадям», стараясь охватить максимальное количество сайтов при минимуме затрат. Злоумышленник формирует выборку сайтов по определенным критериям (например, выбираются сайты, работающие на уязвимой версии какого-либо плагина для CMS WordPress), и далее пытается на всех сайтах из списка проэксплуатировать данную уязвимость. При удачной попытке хакер старается извлечь из этого пользу: закрепиться на сайте, загрузив хакерский скрипт (бэкдор, веб-шелл), добавить еще одного администратора, внедрить вредоносный код или получить необходимую информацию из базы данных. Это означает, что  как только сайт попадает в поисковую выдачу, он сразу же становится объектом нецелевых атак. При этом неважно, каков масштаб сайта, сколько у него посетителей, какой индекс цитирования  и к какой тематике относится. Важны только технические характеристики, по которым он может попасть в хакерскую выборку. Злоумышленники по тем или иным признакам находят потенциально уязвимые сайты и пытаются получить к ним доступ.

В настоящее время в общем доступе можно найти огромное количество описаний уязвимостей той или иной CMS и плагинов к ним, а так же готового ПО созданного для атак сайтов используя базу известных уязвимостей. Таким образом любой школьник посмотрев очередной видеоурок на youtube или почитав в интернете и скачав соответствующее ПО может начать ломать сайты просто так, ради интереса. А если при этом еще и немного подумать, то взлом можно поставить на поток извлекая при этом вполне реальную выгоду в виде продаж ссылок с тысяч взломанных сайтов или продажи шеллов на них.

Перечислю варианты использования взломанного сайта:
1.    Размещение ссылок на продвигаемые ресурсы. Возможен вариант продажи ссылок.  При этом ссылки могут находится не на реальных страницах, созданных владельцем сайта, а на специально залитых или сгенерированных, которые обычному посетителю не видны.
2.    Размещение на сайте посторонней рекламы.
3.    Создание мобильного редиректа. Это означает, что пользователи с настольных компьютеров ничего не заметят, но пользователи мобильных устройств будут перебрасываться на какой-нибудь левый сайт — в лучшем случае с предложением скачать какую-нибудь программу, в худшем с вирусом (причём первое не исключает второго).
4.    Размещение на сайте вируса, заражающего компьютеры посетителей или ворующий пароли.  В этом случае заражённый компьютер невезучего посетителя может стать частью сети ботов, ломающих чужие сайты.
5.    Использование вашего сервера как площадку для запуска своих скриптов (опять же для взлома или других чёрных дел).

Теперь варианты обнаружения взлома:
1. п.1 можно увидеть, если регулярно проверять количество страниц на сайте; это можно делать через кэш Google/Яндекса или через панель вебмастера: резкое и незапланированное увеличение числа страниц — прямое предупреждение.
2. О наличии фальшивых страниц могут говорить внезапно появившиеся входящие ссылки, ведущие на страницы, которых на сайте не предполагалось; такие ссылки можно заметить с помощью панели вебмастера Яндекса (инструменты Google в этом смысле менее эффективны — Google такие ссылки либо совсем не индексирует, либо быстро выбрасывает).
3. п.3 можно заметить, просматривая сайт с мобильника или получив предупреждение от панели вебмастера Яндекса; если предупреждение уже получено, это плохо, но лучше, чем не замечать вовсе. Можно также время от времени проверять свой .htaccess (проверять надо содержание, а не дату последнего редактирования, потому что бот, вписывающий редирект, может оставлять дату нетронутой).
4. Периодически проводить проверку сайта с помощью специального ПО, например AI-Bolit.

В случае обнаружения взлома, рекомендую восстановить сайт из заранее созданного бэкапа.

Теперь о том, как свести вероятность взлома к минимуму. Первое, это использовать сложные пароли, которые так просто не подобрать. Второе, это регулярное обновление CMS сайта и плагинов до актуальной версии. Как только хакеры находят в CMS очередную уязвимость и о ней становится известно,  разработчики CMS выпускают обновление в котором данная уязвимость закрывается. Поэтому чем чаще вы следите за актуальностью версии движка сайта, тем меньше вероятность его взлома. Еще раз напомню, что нецелевые атаки направлены на сайты со старыми версиями CMS, в которых найдены уязвимости. Ну и конечно использование nulled версий CMS, не гарантирует, что в данный движок не внесен код, который можно использовать для получения доступа к сайту.

Надеюсь, что я смог раскрыть вопросы, обозначенные в начале данного поста и теперь вы знаете как и для чего взламывают наши сайты и куда двигаться, что бы усложнить взлом и защитить свой сайт от начинающего горе хаккера.

Оставить комментарий
 

Еще нет никаких комментариев.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *